Ataques que un antivirus tradicional puede no detectar

Las amenazas modernas no siempre se presentan como un “virus”. Muchas están diseñadas precisamente para parecer actividad normal dentro de la empresa.

1. Ataques sin archivo

En un ataque sin archivo, el atacante no necesita instalar un programa malicioso tradicional. Puede usar herramientas que ya existen en el sistema, como PowerShell, scripts administrativos o procesos legítimos de Windows.

Desde el punto de vista del antivirus, no siempre hay un archivo extraño que analizar. El sistema está ejecutando herramientas reales, firmadas y permitidas. El problema no es la herramienta, sino el uso que se le está dando.

Este tipo de ataque es especialmente peligroso porque puede pasar desapercibido si la empresa solo cuenta con protección basada en firmas. Para detectarlo, se necesita una solución capaz de analizar comportamiento, contexto y actividad anómala en los equipos.

2. Phishing y robo de credenciales

El phishing sigue siendo una de las principales puertas de entrada a las empresas. Un correo falso, una página de inicio de sesión clonada o un mensaje aparentemente legítimo puede bastar para que un empleado entregue sus credenciales.

En ese escenario, el atacante no necesita infectar el equipo. Simplemente inicia sesión con un usuario y una contraseña válidos.

Para muchos sistemas, esa actividad parece normal: usuario correcto, contraseña correcta, acceso permitido. El antivirus no tiene nada que bloquear porque no hay malware visible.

Por eso, la seguridad empresarial debe incluir controles adicionales como autenticación multifactor, monitoreo de accesos sospechosos, alertas por ubicaciones inusuales y políticas de mínimo privilegio.

Cuando el problema está en la identidad, el antivirus por sí solo no alcanza.

3. Malware nuevo o modificado

Las bases de firmas funcionan bien contra amenazas conocidas. Sin embargo, los atacantes pueden modificar su código para generar nuevas variantes que todavía no han sido registradas.

Durante esas primeras horas o días, una amenaza puede pasar desapercibida si la herramienta de seguridad no cuenta con análisis de comportamiento, inteligencia de amenazas actualizada o capacidades avanzadas de detección.

Esto es especialmente relevante en campañas dirigidas, donde los atacantes adaptan sus herramientas para evadir controles tradicionales.

Un antivirus empresarial puede bloquear muchas amenazas conocidas, pero no siempre logra identificar malware nuevo, personalizado o diseñado para evitar firmas.

4. Ransomware operado por personas

El ransomware moderno no siempre funciona como un archivo que llega, se ejecuta y cifra información de inmediato.

En muchos casos, primero ocurre una intrusión. Luego viene el reconocimiento de la red, el robo de credenciales, el movimiento lateral, la escalada de privilegios y la desactivación de controles de seguridad. Solo después llega el cifrado.

Cuando la empresa nota el ataque, el atacante puede llevar horas, días o incluso semanas dentro del entorno.

El antivirus puede bloquear una muestra conocida de ransomware, pero no necesariamente detecta toda la actividad previa: conexiones anómalas, uso indebido de herramientas administrativas, acceso fuera de horario, extracción de datos o movimientos entre equipos.

Por eso, la protección contra ransomware no puede depender únicamente del antivirus.