Un usuario abrió un documento de Office y habilitó las macros; el EDR muestra luego un proceso hijo generado por Word. ¿Cuál es tu primera acción?
Respuesta breve
Word generando un proceso hijo justo después de habilitar las macros es un patrón clásico de acceso inicial por documento malicioso. Aísla el host para limitar la propagación, captura las pruebas volátiles, e investiga el proceso generado, su actividad de red y cualquier persistencia. Pedir al usuario que cierre el archivo o reparar Office no aborda una carga útil en ejecución que quizá ya corrió. No hacer nada porque el archivo llegó por correo es al revés — el correo es justamente el vector de entrega de este ataque. Contén primero, luego investiga.
Cuando un usuario habilita las macros en un documento de Office y Word (winword.exe) genera de inmediato un proceso hijo — powershell.exe, cmd.exe, wscript.exe o un binario depositado — esa es la firma de manual de un documento malicioso que entrega un acceso inicial. La macro es el lanzador de la carga útil; el proceso hijo es la carga útil (o su descargador) en ejecución. Es una de las formas más comunes en que comienzan las intrusiones.
La primera acción correcta: contener, luego investigar
- Aísla el host vía EDR para cortar cualquier mando y control e impedir que la carga útil se propague lateralmente, manteniéndolo encendido para no perder las pruebas residentes en memoria.
- Captura los datos volátiles — procesos en ejecución, conexiones de red, el árbol de procesos completo, módulos cargados — antes de que cambien.
- Investiga el proceso generado: qué es, con qué contactó, qué escribió en disco, y si creó persistencia (una tarea programada, una clave Run o un servicio). Eso te dice si un solo host aislado basta o si tienes un problema más amplio.
Por qué fallan los distractores
- «Decir al usuario que cierre el documento» no hace nada contra una carga útil que ya se ejecutó. Cerrar Word no mata un
powershell.exegenerado ni deshace la persistencia. - «Ejecutar una reparación de Office» trata esto como un fallo de la aplicación. No es un fallo — es ejecución de código.
- «Nada — las macros son seguras si el archivo llegó por correo» está exactamente invertido. Los adjuntos de correo son el principal canal de entrega de macros maliciosas (MITRE ATT&CK T1566.001). El origen lo hace más sospechoso, no menos.
Qué está evaluando el entrevistador
Incluso a nivel junior, si tu reflejo ante una alerta en vivo es contener y preservar pruebas en lugar de ordenar o albergar ilusiones. Quieren ver que reconoces la macro-a-proceso-hijo como acceso inicial y que no avisas al usuario ni destruyes el estado volátil antes de haber entendido qué se ejecutó.
Posibles preguntas de seguimiento
- ¿Qué hace típicamente una macro maliciosa una vez ejecutada — nombra las siguientes etapas comunes?
- ¿Por qué mantener el host encendido cuando lo aíslas, y qué datos volátiles capturarías?
- ¿Cómo confirmarías si la carga útil estableció persistencia antes de que la contuvieras?