Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

¿Qué es el malware TrickBot?

El malware TrickBot es un troyano bancario lanzado en 2016 que ha ido evolucionando hasta convertirse en un malware multifase modular capaz de una amplia variedad de operaciones ilícitas, entre las que se incluyen:

  • Robo de credenciales, datos e información personal.
  • Mayores privilegios de cuenta para ampliar el acceso a la red comprometida.
  • Instalación de puertas traseras dentro de la red para permitir el acceso remoto.
  • Descarga e instalación de otro malware o ransomware para que realice los ataques secundarios, siendo el más habitual el ransomware Ryuk o Conti.
  • Desactivación de herramientas antivirus y otras medidas de ciberseguridad, como Windows Defender.
  • Automodificación para evitar la detección

Cuando aparece TrickBot, suele generar una gran preocupación por su carácter modular, ya que puede adaptarse y evolucionar para atacar debilidades específicas del entorno o de la red que puedan explotarse durante ataques de malware o de ransomware posteriores.

Informe Global sobre Amenazas 2025 de CrowdStrike

Informe Global sobre Amenazas 2025 de CrowdStrike

Consigue el informe sobre ciberseguridad imprescindible de este año.

Descargar

¿Cómo funciona el malware TrickBot?

Aunque el malware TrickBot es conocido por su capacidad de evolución y adaptación, numerosas campañas siguen el mismo proceso básico de ataque:

  1. El malware TrickBot se distribuye al objetivo mediante un enlace o un archivo adjunto infectado.
  2. Cuando este se descarga en el dispositivo infectado, se le pide al usuario que habilite las macros, lo que permite instalar el binario TrickBot. A continuación, el malware infecta la red y roba los datos usando varios modelos.
  3. A fin de allanar el terreno para futuros ataques, los atacantes de TrickBot pueden tratar de desactivar la protección antivirus.
  4. Como parte de un ataque secundario, TrickBot puede propagar el malware de forma lateral por toda la red, normalmente explotando una vulnerabilidad del protocolo Server Message Block (SMB).
  5. El grupo de TrickBot lleva a cabo un ataque posterior, como un ataque de ransomware Ryuk.
  6. Los ciberdelincuentes eliminan o cifran archivos de copias de seguridad y duplicados de manera manual.
  7. Ryuk cifra todos los datos del sistema e inicia la vía de ataque de ransomware.

Síntomas del malware TrickBot

Lamentablemente los usuarios pocas veces se dan cuenta de ningún síntoma de infección de TrickBot, ya que está diseñado para funcionar de manera encubierta. Es posible que el administrador de una red pueda notar algunos síntomas del ataque, como un cambio inusual en el tráfico o un intento de llegar a dominios extranjeros o de la lista negra. Sin embargo, resulta complicado detectar un ataque de TrickBot, si no imposible, para los usuarios dado el carácter expansivo y complejo de la mayoría de los modernos entornos de trabajo en la nube o híbridos, así como por la naturaleza sofisticada del malware TrickBot.

Las empresas deben protegerse con una serie de herramientas de ciberseguridad avanzada y extensa, que monitorice el tráfico de red y otras actividades de manera continua y en tiempo real, y que alerte al equipo de TI de cualquier comportamiento sospechoso o actividad inusual que necesite investigarse mejor.

Historia del malware TrickBot

TrickBot se creó en 2016 para robar información bancaria. Se cree que comparte algunos vínculos de Dyreza, otro malware muy eficaz que robaba credenciales unos años antes. TrickBot y Dyreza guardan un gran parecido a nivel operativo y estructural, incluida la forma en la que el malware se comunica con los servidores de mando y control.

Un año después de su lanzamiento, TrickBot había evolucionado para incluir un módulo de gusano, con gran probabilidad para replicar la eficaz campaña de ransomware WannaCry. En este punto, los creadores también desarrollaron un módulo para atacar las credenciales de Outlook, poniendo así en riesgo millones, si no miles de millones, de cuentas corporativas. Este desarrollo, así como otras evoluciones, permitió que TrickBot ampliara sus capacidades para incluir la recopilación de cookies, el historial de navegación y otra información confidencial. A finales de 2018, TrickBot estaba considerada como una de las mayores amenazas de ciberseguridad del mercado.

En estos últimos años, los expertos en ciberseguridad han observado una gran mejora en las técnicas subversivas de TrickBot, y eso supone una barrera aún mayor para las empresas a la hora de detectar un ataque activo.

Aparte de apropiarse de datos financieros o actuar como base de operaciones para ataques de ransomware, TrickBot puede utilizarse también para interrumpir servicios sociales importantes o minar procesos democráticos. Por ejemplo, en las últimas elecciones presidenciales de los Estados Unidos, los servicios de inteligencia confirmaron que este malware constituía una amenaza a la hora de garantizar un proceso electoral equitativo y seguro.

Noticias recientes de TrickBot de parte de CrowdStrike

WIZARD SPIDER Update: Resilient, Reactive and Resolute (Novedades sobre WIZARD SPIDER: resilientes, reactivos y resolutivos): Leer

En estos últimos meses, WIZARD SPIDER ha demostrado su resiliencia y esfuerzo por continuar las operaciones delictivas al trabajar con varios tipos de ransomware con procedimientos diferentes, utilizando TrickBot y BazarLoader para infiltrarse en los entornos de las víctimas y reaccionar a los intentos de estas de frenar los ataques.

Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware (Caza mayor con Ryuk: otro ransomware lucrativo y selectivo): Leer

WIZARD SPIDER es un grupo de ciberdelincuentes de gran sofisticación que utiliza el ransomware Ryuk desde agosto de 2018 para atacar a grandes organizaciones y pedirles elevadas sumas de dinero por los rescates. Esta metodología, conocida como "caza mayor (big game hunting)", señala un cambio en el modus operandi de WIZARD SPIDER. Estos atacantes son un grupo criminal de Rusia conocido por emplear el malware bancario TrickBot que tradicionalmente se había dedicado principalmente al fraude electrónico.

¿Cómo protegerse del malware TrickBot?

Para las organizaciones empresariales, el primer paso a fin de protegerse contra el malware TrickBot es la concienciación. Como los usuarios no pueden monitorizar y analizar el tráfico y la actividad de red sin ayuda de herramientas cuando hay un ataque en curso, es importante desarrollar una estrategia de ciberseguridad exhaustiva que proteja la red de la empresa, los endpoints y los usuarios mediante una serie de funciones avanzadas de prevención, detección y respuesta inteligentes.

Estas soluciones deberían automatizar algunos elementos principales de la monitorización y del análisis, así como mostrar alertas en tiempo real a los administradores para que esto den prioridad a las actividades. Esto incluye:

  • Monitorizar en busca de indicadores de compromiso (IOC) e indicadores de ataque (IOA).
  • Aislar de la red a los equipos infectados.
  • Actualizar y aplicar parches en la red y aplicaciones de software para proteger las vulnerabilidades del sistema.
  • Alertar al equipo de ciberseguridad de un comportamiento extraño o una actividad inusual en la red.

La empresa también debería dar unos pasos para garantizar la seguridad general de la red mediante prácticas recomendadas como las siguientes:

  • Establecer una visibilidad integral de la red, incluidos los endpoints y los usuarios.
  • Seguir el principio del mínimo de privilegios (POLP), que es un concepto de seguridad informática y una práctica que proporciona a los usuarios derechos de acceso limitados en función de las tareas necesarias de su puesto de trabajo.
  • Habilitar una estrategia de segmentación de red para segregar y aislar segmentos en la red empresarial para reducir la superficie de ataque.
  • Implementar la autenticación multifactor (MFA) y otras técnicas de seguridad de la identidad.

Debido a que los ataques de TrickBot se inician mediante un enlace o archivo adjunto malicioso, resulta importante también impartir formación a los empleados para que tengan un comportamiento online responsable y seguro. Esto incluye:

  • Impartir cursos sobre ciberseguridad para que los usuarios conozcan las técnicas de ataque habituales.
  • Compartir con regularidad ejemplos de correos electrónicos de campañas de phishing o ingeniería social para que los usuarios se mantengan alerta con respecto a esas técnicas.
  • Implementar un banner u otro tipo de notificación para alertar a los empleados de que un correo electrónico se ha creado en un origen externo.
  • Solicitar a los usuarios que cambien las contraseñas de manera regular y garantizar que se utilicen contraseñas sólidas.
  • Tener tu dispositivo bajo control y no permitir que lo usen otras personas.

Kurt Baker ocupa el cargo de Senior Director of Product Marketing para Falcon Intelligence de CrowdStrike. Cuenta con más de 25 años de experiencia en puestos directivos de alto nivel y su especialidad son las empresas de software emergentes. Es experto en inteligencia sobre amenazas, análisis de seguridad, gestión de la seguridad y protección avanzada frente a amenazas. Antes de incorporarse a CrowdStrike, Baker desempeñaba cargos técnicos en Tripwire y ha participado en la fundación de startups en mercados que van desde las soluciones de seguridad para empresas hasta los dispositivos móviles. Posee una licenciatura en filosofía y letras de la Universidad de Washington y en la actualidad reside en Boston, Massachusetts (EE. UU.).