En la mayoría de ataques no pasa esto: “entró un virus y ya”.

Lo que realmente ocurre es más peligroso: el atacante entra y luego descarga dentro de tu red todas las herramientas que necesita para moverse, robar información o lanzar ransomware.

A esto, en MITRE ATT&CK, se le conoce como Transferencia de herramientas de ingreso (T1105).

¿Qué es la “Transferencia de herramientas de ingreso”?

El atacante no trae todo el malware desde el principio, sino que usa tu propia infraestructura para ir trayendo más herramientas desde Internet o desde otros equipos comprometidos.

Pasos típicos:

Consigue acceso inicial (phishing, credenciales filtradas, servicio expuesto, etc.).

Desde dentro de la red, descarga herramientas adicionales (escáneres, backdoors, ransomware, ladrones de credenciales, etc.).

Protege tu infraestructura ahora

Implementa detecciones basadas en comportamiento como la técnica T1105 y reduce el riesgo de robo de datos y ransomware.

Habla con nuestro equipo

Las distribuye entre otros equipos de la organización para moverse lateralmente y consolidar el ataque.

Desde la perspectiva de negocio, esto significa:

🔸 Más tiempo del atacante dentro de tu red sin ser detectado.
🔸 Mayor impacto: robo de datos, cifrado masivo, caída de servicios críticos.
🔸 Mayor costo de recuperación y daño reputacional.

como descargan las herramientas los hackers

¿Cómo descargan herramientas los atacantes en la práctica?

Los atacantes no suelen usar “programas raros”. Usan utilidades legítimas que ya existen en los sistemas:

🪟 En Windows

    • Comandos y herramientas nativas como:
      certutil, powershell Invoke-WebRequest, curl, bitsadmin, copy, ftp, winget, etc.
  • Abuso de instaladores o gestores de paquetes para traer binarios adicionales.
  • Uso de aplicaciones y protocolos “normales”, como:
    • OneDrive, Dropbox, Google Drive u otros servicios en la nube.
    • Sincronizaciones automáticas de archivos que, en realidad, traen malware.

🐧 En Linux, macOS y ESXi

  • Utilidades como: curl, wget, scp, sftp, rsync, tftp, entre otras.
  • Descarga de scripts, binarios y herramientas de post-explotación desde servidores controlados por el atacante.

Lo crítico:
➡️ Muchas de estas acciones se parecen a actividad administrativa legítima, por eso los atacantes las usan para camuflarse.

Checklist: ¿Cómo detectar que alguien está trayendo “herramientas” a tu red?

Algunos controles clave que recomendamos implementar y monitorear:

A. Vigilar el uso de herramientas nativas de descarga

  • Alertas sobre uso inusual de:
    • certutil, powershell (sobre todo con Invoke-WebRequest, IEX, descargas de scripts),
    • curl, wget, bitsadmin, ftp, scp, etc.
  • Ejecuciones de estos comandos:
    • En servidores que normalmente no los usan.
    • En horarios atípicos o desde cuentas que no son de administración.

B. Revisar tráfico y destinos de red

  • Monitorear conexiones de salida hacia:
    • Dominios poco frecuentes o recién registrados.
    • Servicios de compartición de archivos que tu negocio no usa habitualmente.
  • Filtrar y limitar:
    • Qué servidores pueden salir a Internet.
    • Qué puertos y protocolos están permitidos.

C. Controlar sincronizaciones en la nube

  • Revisar accesos anómalos a servicios como OneDrive, Dropbox, Google Drive, etc.
  • Detectar descargas masivas o sincronizaciones repentinas en equipos críticos.

D. Correlación y monitoreo continuo

  • Uso de EDR/XDR y SOC 24/7 para:
    • Correlacionar eventos (comandos + descargas + conexiones sospechosas).
    • Responder rápido si se detecta transferencia de herramientas.

Reglas específicas basadas en MITRE ATT&CK T1105 para identificar este patrón de comportamiento, no solo “nombre de virus”.

Activa monitoreo 24/7

No esperes a que el ataque avance. Nuestro SOC identifica actividad sospechosa en tiempo real y responde antes de que escale.

Habla con nuestro equipo

Si solo se busca “malware conocido”, pero no se monitorea cómo se mueven y descargan herramientas dentro de tu red, se deja una puerta abierta a muchas familias de ransomware, APTs y grupos criminales modernos.

En TI Rescue trabajamos precisamente sobre este tipo de técnicas (como T1105 – Transferencia de herramientas de ingreso), combinando monitoreo 24/7, reglas de detección basadas en comportamiento y respuesta ante incidentes, para reducir el tiempo que un atacante puede permanecer “cómodamente” operando dentro de tu infraestructura.

Temas que podrían interesarte:

Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.