La primera vez que oí hablar de fileless malware, yo también lo resumí mentalmente así: “vale, esto debe de ser un malware potentísimo”. Y, siendo honestos, la intuición no iba mal encaminada. El problema es que esa definición se queda corta. Lo que hace realmente especial al fileless malware no es solo el daño que puede causar, sino cómo se ejecuta, cómo se esconde y por qué a menudo deja menos rastro que el malware tradicional.
Dicho de forma simple: en lugar de depender de un archivo malicioso clásico descargado al disco, este tipo de amenaza suele aprovechar memoria, scripts y herramientas legítimas del sistema, como PowerShell, WMI o procesos nativos de Windows. Por eso también se asocia mucho con el enfoque living off the land (LOTL), que consiste en usar lo que ya existe dentro del equipo para avanzar en el ataque.
Lo importante aquí es un matiz que muchas guías explican regular: “fileless” no siempre significa 100% sin archivos en todos los pasos del ataque. Microsoft deja claro que no existe una única definición cerrada y que, en la práctica, algunas amenazas llamadas fileless combinan fases sin archivos con otras que sí tocan el sistema de ficheros. Aun así, el concepto sigue siendo útil porque describe ataques que reducen muchísimo su huella en disco y apuestan por memoria, registro, scripts o componentes legítimos del sistema.
Qué es el fileless malware y por qué no es “otro malware más”
Si tuviera que explicárselo a alguien sin lenguaje técnico, diría esto: fileless malware es una forma de ataque en la que el atacante evita, total o parcialmente, el archivo malicioso tradicional y usa memoria o herramientas legítimas del sistema para ejecutar acciones maliciosas. CrowdStrike lo define como actividad maliciosa que usa herramientas nativas y legítimas del sistema para lanzar el ciberataque, mientras que Fortinet insiste en la idea de que el código trabaja directamente en memoria en lugar de vivir en el disco duro.
Eso cambia mucho las reglas del juego. El antivirus clásico nació pensando en archivos: identificar binarios sospechosos, comparar firmas, escanear lo que se guarda en disco y bloquear lo conocido. Pero cuando el atacante mete código en memoria, abusa de PowerShell o inserta instrucciones en el registro, la foto cambia. Ya no basta con buscar “el archivo malo”; toca vigilar comportamientos, secuencias de ejecución, comandos anómalos y cadenas de procesos sospechosas.
A mí esta es la parte que más me ayuda a entender por qué genera tanto respeto. En mi caso, cuando decía que era un “potentísimo malware”, en realidad estaba mezclando dos ideas: capacidad de daño y capacidad de pasar desapercibido. Y, si me apuras, la segunda es la más preocupante. Porque una amenaza no necesita ser la más “espectacular” para ser devastadora; le basta con permanecer el tiempo suficiente dentro del entorno, robar credenciales, moverse lateralmente y exfiltrar datos sin que nadie la vea venir.
Por eso tampoco me gusta presentarlo como si fuera una familia única, cerrada y perfectamente delimitada. Me parece más preciso hablar de una técnica, una categoría operativa o una forma de ejecución. Microsoft incluso separa amenazas fileless por el tipo de huella que dejan: algunas no realizan actividad de archivo, otras usan el sistema de forma indirecta y otras necesitan ciertos archivos para operar aunque mantengan una persistencia “fileless” en partes clave del ataque.
Cómo funciona un ataque fileless paso a paso
Acceso inicial: phishing, exploits y documentos maliciosos
El ataque suele empezar de forma bastante conocida: un correo de phishing, un enlace, un documento preparado para explotar una vulnerabilidad o un software sin parchear. Fortinet explica que la entrada puede producirse cuando la víctima hace clic en un enlace o un adjunto manipulado, mientras que CrowdStrike subraya el papel de los exploit kits para inyectar el ataque directamente en memoria sin necesidad de escribir primero en disco.
Ejecución en memoria con PowerShell y herramientas legítimas
Aquí es donde el fileless malware se diferencia de verdad. En vez de dejarte un ejecutable típico en el sistema, el atacante aprovecha herramientas que ya están ahí: PowerShell, WMI, wmic.exe, scripts, procesos legítimos o incluso componentes del registro. Microsoft detalla que este tipo de malware puede infiltrarse en un proceso y ejecutar código dentro de su espacio de memoria, reduciendo así su huella y dificultando la detección tradicional.
La idea de living off the land encaja como un guante aquí. El atacante usa herramientas de administración y automatización que, por sí mismas, no son malas. Son utilidades normales del sistema. Precisamente por eso pueden estar permitidas, firmadas, whitelisteadas o consideradas “de confianza”. Y ahí está la gracia del ataque: no parece un intruso entrando por la puerta principal, sino alguien usando tus propias llaves para moverse por casa.
Persistencia, robo de credenciales y movimiento lateral
Una vez dentro, el objetivo rara vez es “infectar por infectar”. Lo habitual es mantenerse, ampliar acceso, robar credenciales, desplazarse lateralmente y extraer datos. CrowdStrike señala que los indicadores de ataque útiles incluyen ejecución de código, movimiento lateral y acciones diseñadas para ocultar la intención real. Fortinet menciona también actividad anómala de código y lateral movement como pistas de que algo serio está pasando.
La persistencia puede conseguirse, por ejemplo, mediante claves Run del registro o scripts almacenados en el propio registro. Microsoft pone un ejemplo muy ilustrativo: una clave del registro que lanza un comando de PowerShell de una línea, el cual a su vez ejecuta un script ofuscado guardado también en el registro. Esa cadena ya te enseña por qué estos ataques son tan incómodos: no se comportan como el malware de manual que deja un archivo clarísimo sobre la mesa.
Técnicas y tipos más comunes de malware sin archivos
Cuando alguien busca “tipos de fileless malware”, normalmente espera una lista clara. La forma más útil de entenderlo es pensar en técnicas predominantes, no en etiquetas bonitas. CrowdStrike destaca cuatro grupos muy reconocibles: exploit kits, registry-resident malware, memory-only malware y fileless ransomware. Fortinet, por su parte, simplifica el mapa en dos grandes bloques: inyección de código en memoria y manipulación del registro de Windows.
Memory-only malware
Aquí el código malicioso vive y se ejecuta sobre todo en memoria. No necesitas un archivo tradicional plantado en el disco para que el ataque funcione. Microsoft describe incluso escenarios totalmente fileless en los que la carga termina residiendo solo en memoria del kernel tras explotar una vulnerabilidad, dejando una huella mínima en disco.
Registry-resident malware
Esta técnica me parece especialmente traicionera porque se apoya en algo tan cotidiano como el registro de Windows. En vez de descargar un ejecutable clásico, el atacante inserta instrucciones o scripts en el registro y usa procesos legítimos para lanzarlos después. CrowdStrike y Microsoft coinciden en que esta aproximación ayuda a mantener persistencia y a evadir parte de la detección basada en archivos.
Living off the Land (LOTL)
Más que una subcategoría, esto es casi una filosofía de ataque. LOTL consiste en aprovechar binarios y herramientas legítimas ya presentes en el sistema, como PowerShell o WMI, para sostener y ampliar la intrusión. CrowdStrike lo relaciona directamente con ataques fileless y explica que precisamente por no depender de scripts o binarios clásicos resulta mucho más difícil de detectar con herramientas heredadas.
Fileless ransomware
También existe el uso de técnicas fileless dentro de cadenas de ransomware. No significa que todo el ransomware sea fileless, sino que ciertas fases del ataque pueden aprovechar memoria, scripts o herramientas legítimas antes de desplegar la parte más visible del impacto. CrowdStrike y Microsoft indican que grandes brotes de ransomware han usado métodos fileless en algún punto de la kill chain.
Ejemplos de fileless malware que suelen citarse
Si te mueves por artículos y glosarios de ciberseguridad, verás nombres que salen una y otra vez. Fortinet incluye entre sus ejemplos más citados Poweliks y Duqu 2.0, junto a referencias históricas más antiguas. No todos estos casos representan exactamente el mismo grado de “fileless puro”, pero sirven para ilustrar cómo ha evolucionado el abuso de memoria, scripts y mecanismos de persistencia menos evidentes.
Microsoft añade ejemplos útiles para entender la clasificación. Habla de DoublePulsar como caso de backdoor residente en memoria del kernel tras explotar una vulnerabilidad, de Poshspy como ejemplo de comando malicioso instalado en el repositorio WMI, y de Kovter para mostrar cómo puede existir una persistencia que parece fileless aunque siga necesitando ciertos archivos para activar parte del flujo. Ese matiz me parece oro para escribir con precisión y no caer en simplificaciones.
Lo importante, en cualquier caso, no es memorizar nombres como si esto fuera una lista de Pokémon del malware. Lo importante es entender el patrón: menos dependencia del archivo clásico, más abuso del propio sistema, más uso de memoria, scripts, registro y herramientas de administración. Ese patrón es el que explica por qué el fileless malware sigue siendo tan relevante en defensiva moderna.
Por qué el fileless malware es tan peligroso
Aquí vuelvo a la idea inicial. Sí: en mi caso, lo primero que pensé fue “esto es potentísimo”. Pero, cuanto más lo aterrizo, más claro veo que su principal ventaja no es la fuerza bruta, sino el sigilo. Al reducir o eliminar la presencia de archivos maliciosos clásicos, muchos controles heredados pierden visibilidad. Y cuando una amenaza reduce visibilidad, gana tiempo. Y cuando gana tiempo, puede hacer mucho daño.
También complica mucho el análisis forense. La memoria es volátil: si el equipo se reinicia, parte de lo que estaba ocurriendo puede desaparecer. Microsoft subraya precisamente que las amenazas fileless pueden vivir en memoria o apoyarse en componentes poco obvios del sistema, y por eso investigarlas y remediarlas exige más profundidad que el malware “de archivo”.
Además, el fileless malware se beneficia de algo muy incómodo para los equipos de seguridad: usa herramientas legítimas. PowerShell, WMI o determinados procesos firmados no son en sí el enemigo. De hecho, muchas empresas los necesitan a diario. Eso obliga a distinguir entre uso normal y uso abusivo, y esa frontera no siempre se detecta bien si la estrategia defensiva sigue centrada solo en firmas estáticas.
Por eso hoy tiene tanto sentido hablar de detección por comportamiento, monitorización de scripts, análisis de memoria y secuencias de procesos. Microsoft explica que su protección moderna combina monitorización de comportamiento, análisis en memoria, inspección de líneas de comando y AMSI para ver mejor ataques fileless y en memoria. Es exactamente el tipo de defensa que necesita una amenaza diseñada para no parecer una amenaza clásica.
Cómo detectar y prevenir el fileless malware
La primera mala noticia es esta: el antivirus tradicional por sí solo puede no bastar. La buena noticia es que eso no significa que el fileless malware sea invisible. Fortinet lo dice muy bien: aunque no deje el típico archivo malicioso, sigue ejecutando acciones que generan señales observables, como actividad anómala en comandos, memoria o movimiento lateral.
La primera capa que yo reforzaría siempre es la detección por comportamiento. CrowdStrike recomienda fijarse en IOAs —indicadores de ataque— más que en IOC basados exclusivamente en archivos. Microsoft, en la misma línea, explica que sus capacidades de behavioral blocking pueden identificar y detener amenazas por sus comportamientos y árboles de procesos, incluso una vez han empezado a ejecutarse.
La segunda capa crítica es la inspección de scripts y comandos. PowerShell, VBA, JavaScript y otros motores de scripting son terreno habitual para estas técnicas. Aquí entra AMSI, que permite inspeccionar contenido malicioso incluso cuando ha sido generado en tiempo de ejecución u ofuscado antes de pasar al motor de scripting. Microsoft detalla que AMSI añade una inspección mucho más profunda sobre scripts y ataques no tradicionales, precisamente para cubrir el hueco de las amenazas fileless.
La tercera capa es la higiene defensiva de siempre, que aquí sigue importando muchísimo: parchear vulnerabilidades, reducir privilegios, endurecer configuraciones, vigilar WMI y PowerShell, limitar macros donde no sean necesarias y formar a usuarios contra phishing. No suena sexy, lo sé, pero Fortinet y CrowdStrike vuelven una y otra vez al mismo fondo: muchos ataques fileless siguen necesitando una entrada inicial, y esa entrada inicial a menudo depende de un clic, una debilidad expuesta o una herramienta legítima mal controlada.
Fileless malware vs malware tradicional: diferencias clave
La diferencia más obvia está en el soporte del ataque. El malware tradicional suele dejar un archivo ejecutable, DLL, script o documento malicioso identificable en disco. El fileless malware intenta evitar ese patrón y apoyarse más en memoria, procesos legítimos, registro y herramientas nativas.
La segunda diferencia es la forma de detectar. Con malware tradicional, las firmas y los artefactos de archivo siguen siendo muy útiles. Con fileless, el peso se mueve hacia comportamientos: comandos sospechosos, inyección entre procesos, persistencia extraña, abuso de PowerShell, ejecución de macros, conexiones C2 o movimiento lateral.
La tercera diferencia es la forense y la respuesta. Cuando hay archivo, tienes más artefactos claros para conservar, analizar y aislar. Cuando el ataque se apoya en memoria o componentes volátiles, puedes perder parte del rastro si no reaccionas bien o si el sistema se reinicia. Ahí el fileless malware obliga a una respuesta más madura, con visibilidad de procesos, memoria, línea de comandos y telemetría de endpoint.
Conclusión
Si tuviera que cerrar este tema en una sola idea, sería esta: fileless malware da miedo no porque sea una criatura mágica e imparable, sino porque juega con ventaja frente a defensas demasiado centradas en archivos. Se mueve mejor en memoria, abusa de herramientas legítimas, deja menos huella evidente y obliga a observar el sistema con más contexto.
Y sí, después de analizarlo bien, yo reformularía aquella primera impresión de “es un potentísimo malware” por algo bastante más exacto: es una técnica de ataque especialmente sigilosa, incómoda de investigar y muy peligrosa cuando la defensa no está preparada para mirar comportamiento, scripts y memoria. Ahí está el verdadero problema. No tanto en la etiqueta, sino en la capacidad de colarse usando lo que ya tienes dentro del sistema.
Preguntas frecuentes sobre fileless malware
¿Qué es exactamente el fileless malware?
Es una forma de ataque en la que el código malicioso evita, total o parcialmente, el archivo tradicional en disco y se apoya más en memoria, scripts, registro o herramientas legítimas del sistema.
¿El fileless malware siempre es 100% sin archivos?
No necesariamente. Microsoft explica que no hay una única definición y que algunas amenazas llamadas fileless combinan fases sin archivos con otras que sí usan el sistema de ficheros.
¿Por qué el antivirus tradicional puede no detectarlo?
Porque muchas soluciones clásicas se apoyan mucho en firmas y análisis de archivos en disco. Si el ataque vive en memoria o usa herramientas legítimas, hace falta más detección por comportamiento, línea de comandos, scripts y memoria.
¿Qué herramientas suele abusar?
PowerShell, WMI y otros componentes nativos de Windows son ejemplos muy repetidos en las fuentes técnicas porque permiten ejecutar acciones usando utilidades legítimas ya presentes en el sistema.
¿Cómo se detecta mejor?
Con una combinación de indicadores de ataque, monitorización de comportamiento, inspección de scripts mediante AMSI, análisis de memoria, revisión de líneas de comando y telemetría de EDR.
¿Cómo se previene?
Reduciendo superficie de ataque: parcheo, control de macros y scripts, endurecimiento de PowerShell y WMI, mínima confianza, formación contra phishing y herramientas capaces de detectar actividad maliciosa aunque no exista un archivo “clásico”.