Volver al blog
Guías explicativas·14 min de lectura

¿Cómo detecta el aprendizaje automático el malware? La guía paso a paso

El antivirus tradicional compara archivos con una lista de firmas de malware conocidas. La detección basada en ML construye un modelo que reconoce los <em>patrones</em> del comportamiento malicioso, por lo que detecta amenazas que nadie ha visto antes. Así es como funciona, paso a paso.

Por Casper's Cloak Security Team

La versión resumida: el antivirus basado en firmas es como un portero con un álbum de fotos: si tu cara no está en el álbum, entras. La detección con aprendizaje automático es como un portero que ha estudiado miles de peleas y ha aprendido a leer el lenguaje corporal: aunque seas un desconocido, la forma en que te mueves te delata. Esa diferencia es lo que separa "detectamos el virus de ayer" de "detectamos un ataque de día cero que nadie había catalogado todavía". A continuación: qué hacen realmente las firmas, por qué no son suficientes, cómo funcionan los clasificadores de ML, los tres enfoques principales, qué hace Casper's Cloak específicamente en la capa de red, y las limitaciones honestas.

Detección basada en firmas vs. detección basada en ML de un vistazo

Antes de entrar en los detalles técnicos, aquí está la comparación de alto nivel. Ambos enfoques tienen su lugar; la pregunta es qué amenazas gestiona bien cada uno.

FactorBasada en firmasBasada en ML
Velocidad de detección de amenazas conocidasMuy rápida: coincidencia directa de hash o patrónRápida: extracción de características + clasificación
Detección de día ceroNinguna hasta que se escribe una firmaPuede detectar amenazas nuevas por patrón de comportamiento
Tasa de falsos positivosMuy baja: coincidencia exactaMayor: clasificación probabilística
Frecuencia de actualizaciónDistribuciones de BD de firmas por hora o al díaModelo reentrenado periódicamente; la inferencia corre de forma continua
Uso de recursosBajo: búsqueda de patrones en una base de datosModerado: depende de la complejidad del modelo y de dónde se ejecuta la inferencia
Dificultad de evasiónFácil: cambia un byte y evades la firmaMás difícil: hay que cambiar suficientes características para desplazar la clasificación

La respuesta del mundo real es «usa ambos». Las firmas son rápidas y precisas para amenazas conocidas; el ML detecta las nuevas. La mayoría de los productos de seguridad modernos las combinan en capas. La pregunta interesante es cómo funciona la parte de ML, y eso es en lo que dedicaremos el resto de este artículo.

Qué hace la detección basada en firmas (y por qué no es suficiente)

La detección basada en firmas es conceptualmente simple: un investigador de seguridad analiza una nueva pieza de malware, extrae una secuencia de bytes única (la «firma») y la añade a una base de datos. Cada archivo que analiza tu antivirus se compara con esa base de datos. ¿Coincidencia encontrada? Cuarentena. ¿Sin coincidencia? Limpio.

Este modelo funcionó bien hasta principios de los años 2000, cuando el nuevo malware aparecía a razón de decenas por día y los analistas humanos podían mantenerse al día. El AV-TEST Institute registra ahora más de 450.000 nuevas aplicaciones de malware y potencialmente no deseadas al día. Ningún equipo de analistas humanos escribe 450.000 firmas al día. Incluso la generación automática de firmas no puede seguir el ritmo, porque los autores de malware usan polimorfismo: cambian la secuencia de bytes del código en cada distribución manteniendo su comportamiento. Un virus polimórfico puede tener mil variantes, cada una con un hash diferente, cada una requiriendo una firma distinta. Las reglas del juego están en contra de la concordancia de patrones estáticos.

El segundo problema es la ventana de exposición. Entre el momento en que aparece un nuevo malware en la naturaleza y el momento en que una firma llega a tu dispositivo, hay un hueco. Ese hueco promedió 24–48 horas en 2020; con una automatización de canalización más rápida ahora es más corto, pero nunca es cero. Durante ese hueco, tu antivirus basado en firmas está completamente ciego a la nueva amenaza. Ahí es donde viven los ataques de día cero.

El tercer problema es el móvil. El análisis tradicional basado en firmas requiere comparar cada archivo con una gran base de datos, una operación que agota la batería y exige almacenamiento para la propia base de datos de firmas. iOS ni siquiera permite que las aplicaciones analicen los archivos de otras aplicaciones. En móvil, ejecutar un motor de AV tradicional en segundo plano es o bien poco práctico (consumo de batería en Android) o arquitectónicamente imposible (sandbox de iOS). La detección tiene que ocurrir en otro lugar.

Cómo aprenden los modelos de ML el aspecto de «malicioso»

La detección con aprendizaje automático adopta un enfoque fundamentalmente diferente. En lugar de memorizar muestras de malware individuales, entrenas un modelo sobre características: medidas cuantificables que tienden a diferir entre el software malicioso y el benigno (o entre el comportamiento de red malicioso y el benigno). El modelo aprende una frontera de decisión: «las cosas con estas combinaciones de características probablemente son maliciosas; las que tienen aquellas combinaciones probablemente son seguras».

Paso 1: Recopilar un conjunto de datos de entrenamiento

Necesitas ejemplos etiquetados: muestras conocidas como maliciosas y muestras conocidas como benignas. Para el ML basado en archivos, esto suele significar millones de archivos PE (Portable Executable) procedentes de fuentes de inteligencia de amenazas, repositorios públicos como VirusTotal, honeypots corporativos y consorcios de intercambio de malware. Para el ML basado en red, significa registros de consultas DNS etiquetados, registros de flujo de red y metadatos de registro de dominios: millones de dominios maliciosos conocidos y millones de dominios benignos conocidos.

Paso 2: Extraer características

Los datos en bruto no son útiles directamente para un clasificador. Transformas cada muestra en un vector de características: una lista de números que describen sus propiedades. Para un ejecutable de Windows, las características pueden incluir: la entropía de cada sección de código (el código empaquetado o cifrado tiene mayor entropía), las llamadas a la API importadas (el malware tiende a importar APIs de inyección de procesos y de manipulación del registro), la proporción de secciones de lectura-escritura frente a las de solo lectura, si el archivo tiene una firma digital válida, y patrones de cadenas en el binario. Para un nombre de dominio, las características pueden incluir: antigüedad del dominio, registrador, estado de privacidad WHOIS, atributos del certificado TLS, historial de registros DNS y estructura léxica del propio nombre de dominio.

Paso 3: Entrenar un clasificador

Con los vectores de características etiquetados en mano, entrenas un modelo de aprendizaje automático: árboles con gradient boosting (XGBoost, LightGBM), bosques aleatorios, redes neuronales profundas o combinaciones en ensemble de varios de ellos. El modelo aprende qué combinaciones de características se correlacionan con «malicioso» y cuáles con «benigno». La validación cruzada y los conjuntos de prueba de reserva garantizan que el modelo generalice a muestras no vistas, en lugar de memorizar el conjunto de entrenamiento.

Paso 4: Desplegar para inferencia

El modelo entrenado se despliega donde puede puntuar nuevas muestras en tiempo real. Para la detección basada en archivos, suele ser un agente de endpoint en el dispositivo del usuario o un sandbox en la nube. Para la detección basada en red, es un clasificador situado en línea en el resolvedor DNS o en el proxy de red. Llega una nueva muestra, se extraen las características, el modelo la puntúa (normalmente como una probabilidad entre 0,0 y 1,0) y un umbral determina la acción: bloquear, permitir o marcar para revisión humana.

La diferencia crítica respecto a las firmas: el modelo nunca ha visto esta muestra específica antes, pero reconoce el patrón. Una nueva variante polimórfica de ransomware existente cambia su secuencia de bytes pero sigue importando las mismas APIs de cifrado, sigue teniendo secciones de alta entropía y sigue careciendo de un certificado válido: el modelo la detecta porque las características coinciden con el patrón malicioso, aunque ningún humano haya escrito una regla para esta variante.

Los tres enfoques principales de ML para la detección de malware

La detección basada en ML no es una sola cosa: son al menos tres enfoques diferentes, cada uno operando en una capa distinta del stack y detectando categorías diferentes de amenazas.

1. Análisis estático: inspeccionar el archivo sin ejecutarlo

Los modelos de ML estáticos analizan la estructura, los metadatos y el contenido del archivo sin ejecutarlo. Las características incluyen los atributos del encabezado PE, la entropía de las secciones, las tablas de importación, las cadenas incrustadas, los metadatos de recursos, la identificación del empaquetador y, cada vez más, secuencias de bytes en bruto introducidas en redes neuronales convolucionales que aprenden sus propias características directamente del binario.

Puntos fuertes: rápido (no se necesita ejecución en sandbox), escala a millones de archivos, detecta muchas amenazas comunes. Puntos débiles: puede evadirse mediante ofuscación, empaquetado o código metamórfico que se reestructura a sí mismo. Un atacante suficientemente motivado puede transformar su binario hasta que las características estáticas parezcan benignas. El marco MITRE ATT&CK documenta estas técnicas de evasión en Evasión de defensas (TA0005).

2. Análisis dinámico/de comportamiento: ejecutar el archivo y observar lo que hace

El análisis dinámico ejecuta el archivo sospechoso en un sandbox (una máquina virtual instrumentada) y registra su comportamiento en tiempo de ejecución: qué archivos lee y escribe, qué claves de registro modifica, qué conexiones de red abre, qué procesos genera, qué llamadas al sistema realiza. Un modelo de ML entrenado con estos trazos de comportamiento puede clasificar la muestra según lo que hace, no según cómo se ve.

Puntos fuertes: mucho más difícil de evadir: aunque el binario esté ofuscado, el comportamiento tiene que desplegarse para que el malware logre su objetivo. El ransomware tiene que cifrar archivos; un keylogger tiene que interceptar el teclado; un beacon de C2 tiene que llamar a casa. El comportamiento es la verdad fundamental. Puntos débiles: lento (la ejecución en sandbox tarda segundos o minutos), costoso (las VM consumen cómputo) y algunos malware detectan los sandboxes y se niegan a ejecutarse. La evasión de sandbox es su propio juego del gato y el ratón.

3. Análisis del tráfico de red: clasificar conexiones sin inspeccionar los payloads

El ML a nivel de red opera sobre los metadatos de las conexiones de red: consultas DNS, atributos del handshake TLS, estadísticas de flujo, patrones de registro de dominios, sin descifrar ni inspeccionar el payload real. Este es el enfoque más relevante para la seguridad móvil de consumo, y es donde opera Casper's Cloak.

Puntos fuertes: funciona en cualquier dispositivo sin instalar un agente de endpoint que analice archivos, gestiona el tráfico cifrado sin romper el cifrado, escala a millones de consultas DNS por segundo, detecta la infraestructura de phishing y C2 a nivel de registro de dominio antes de que el malware llegue siquiera al dispositivo del usuario. Puntos débiles: no puede ver lo que hay dentro del payload cifrado, no puede detectar malware que no realice conexiones de red, y depende de la calidad de las características de dominio/red.

¿Qué características mira realmente el modelo?

Aquí es donde el abstracto «el ML detecta patrones» se vuelve concreto. Para la clasificación de ML a nivel de red, el enfoque más relevante para Casper, las características se dividen en seis categorías:

  • Antigüedad del dominio y patrones de registro. Los dominios maliciosos son abrumadoramente jóvenes: registrados días u horas antes de su uso, a menudo en masa mediante registradores automatizados. Un dominio registrado hace 72 horas a través de un registrador con privacidad WHOIS que también registró 200 dominios más en el mismo lote tiene estadísticamente muchas más probabilidades de ser malicioso que un dominio registrado hace ocho años con un historial WHOIS consistente. El clasificador pondera la antigüedad del dominio con mucho peso, y con razón: el Marco de Ciberseguridad del NIST identifica la gestión de activos y el riesgo de la cadena de suministro (incluida la procedencia del dominio) como controles fundamentales de la función de identificación.
  • Atributos del certificado TLS. Los sitios legítimos usan cada vez más certificados de autoridades de certificación establecidas con validación de organización. La infraestructura de phishing y malware recurre a certificados DV (Domain Validation) gratuitos y emitidos automáticamente, en concreto un gran volumen de certificados de Let's Encrypt emitidos en rápida sucesión para dominios sin presencia web previa. El clasificador examina el emisor del certificado, el período de validez, las entradas SAN (Subject Alternative Name) y si la cadena de certificados coincide con el propósito aparente del dominio.
  • Comportamiento DNS. La infraestructura de C2 del malware a menudo usa DNS de flux rápido (rotación rápida de direcciones IP detrás de un dominio), nombres de dominio generados por DGA (cadenas generadas algorítmicamente como xk3j7mq9.net) o tipos de registros inusuales (registros TXT usados para la exfiltración de datos). El clasificador analiza los valores TTL, el número de direcciones IP devueltas, la diversidad geográfica de las IPs resueltas y la entropía léxica del propio nombre de dominio.
  • Infraestructura de alojamiento. Los proveedores de alojamiento a prueba de balas y determinados ASN (Números de Sistema Autónomo) están desproporcionadamente asociados a la infraestructura de malware. El modelo aprende qué entornos de alojamiento se correlacionan con la actividad maliciosa, no como una lista de bloqueo, sino como una característica ponderada junto a todas las demás.
  • Patrones de solicitudes. Los beacons de C2 del malware tienden a producir patrones de tráfico distintivos: llamadas de retorno a intervalos regulares, cargas útiles pequeñas en ambas direcciones, conexiones a infraestructura sin contenido web legítimo. El clasificador puede identificar estos patrones a partir de los metadatos del flujo (tiempo, tamaño, dirección) sin inspeccionar el contenido cifrado.
  • Análisis léxico y estructural del nombre de dominio. Los dominios de DGA tienen alta entropía y baja pronunciabilidad. Los dominios de phishing imitan marcas legítimas con sustituciones de caracteres (paypa1.com, arnazon-security.com). Las características basadas en NLP miden la distancia de edición a marcas conocidas, las distribuciones de n-gramas de caracteres y si el dominio sigue los patrones estructurales de los registros legítimos.

Ninguna característica es determinante por sí sola: hay muchos dominios legítimos que son nuevos, usan Let's Encrypt o están alojados en infraestructura compartida. El trabajo del clasificador es ponderar todas las características simultáneamente y producir una puntuación de riesgo. Un dominio nuevo solo podría puntuar 0,3; ¿un dominio nuevo con un nombre similar a un DGA, un certificado de Let's Encrypt de 48 horas, alojado en un ASN conocido por abuso y sin contenido web? Ese puntúa 0,95+.

Cómo usa Casper's Cloak la detección de ML a nivel de red

La protección contra amenazas de Casper opera en la capa de resolución DNS. Cuando tu dispositivo realiza una consulta DNS, cualquier aplicación, cualquier conexión, la consulta pasa por el resolvedor de Casper antes de que se devuelva una dirección IP. Esto es lo que ocurre en los milisegundos entre la consulta y la respuesta:

  1. La consulta DNS llega al resolvedor de Casper. Tu teléfono pregunta «¿cuál es la IP de suspicious-domain.com?». La consulta viaja a través del túnel VPN cifrado, por lo que nadie en la red local (WiFi de una cafetería, ISP) puede verla.
  2. Comprobación de lista de bloqueo estática. Primero, una búsqueda rápida en listas de bloqueo curadas: dominios de phishing conocidos, dominios de C2 de malware conocidos, dominios de rastreadores conocidos. Esto es el equivalente de la comprobación de firma: precisa, rápida y limitada a amenazas conocidas. Si hay coincidencia, el dominio se bloquea inmediatamente.
  3. Puntuación del clasificador de ML. Si el dominio no está en ninguna lista estática, el clasificador extrae características: antigüedad del dominio, registrador, metadatos del certificado, historial de registros DNS, análisis léxico, infraestructura de alojamiento y patrones de consultas recientes para este dominio entre todos los usuarios de Casper (anonimizado y agregado). El modelo puntúa el riesgo del dominio.
  4. Decisión basada en umbral. Si la puntuación de riesgo supera el umbral configurado, el dominio se bloquea (el resolvedor devuelve NXDOMAIN). Si está por debajo del umbral, se devuelve la IP legítima. Las puntuaciones límite pueden activar un «bloqueo suave»: el usuario ve un intersticial de advertencia en lugar de un bloqueo duro, con la opción de continuar.
  5. Todo el proceso se completa antes de que se establezca la conexión. La clasificación ocurre en el momento de la resolución DNS, antes del handshake TCP, antes de la negociación TLS, antes de que se intercambie ningún dato. La conexión maliciosa nunca se abre.

Esto es lo que hace que la detección de ML a nivel DNS sea especialmente adecuada para móvil: protege todas las aplicaciones del dispositivo, no requiere análisis en el dispositivo (el modelo corre en nuestra infraestructura de resolución), no agota la batería y funciona tanto en iOS como en Android sin las limitaciones arquitectónicas que impiden al antivirus tradicional funcionar en móvil. Cubrimos el lado del phishing de esto en detalle en nuestro análisis de tres campañas de phishing reales.

Lo que la detección de ML a nivel de red de Casper no hace: no analiza archivos en tu dispositivo. No inspecciona el contenido de las conexiones cifradas. No monitoriza el comportamiento de las aplicaciones en el dispositivo. Si un archivo malicioso ya está en tu dispositivo y solo se comunica mediante una dirección IP (sin búsqueda DNS), el clasificador de capa DNS de Casper no lo verá. Este es el límite honesto de la detección a nivel de red: es extremadamente eficaz para detectar amenazas que implican infraestructura basada en dominios (que es la gran mayoría del phishing, la distribución de malware y la comunicación C2), pero no sustituye a la seguridad de endpoint en el dispositivo en entornos empresariales donde los atacantes sofisticados y dirigidos podrían usar canales de C2 solo por IP.

Limitaciones y advertencias honestas

La detección de malware basada en ML es una mejora real respecto a las firmas solas, pero tiene limitaciones reales que cualquier discusión honesta debe nombrar.

Los falsos positivos son un coste real

La clasificación probabilística significa que el modelo a veces marcará dominios legítimos como maliciosos. Una startup recién creada con un dominio registrado recientemente, un certificado de Let's Encrypt y alojamiento en un proveedor económico puede activar las mismas características que activa la infraestructura de malware. La tasa de falsos positivos para un clasificador DNS bien ajustado es típicamente del 0,01–0,1%: baja en términos porcentuales, pero cuando se procesan millones de consultas al día, incluso el 0,01% significa miles de consultas legítimas marcadas. El trabajo de ingeniería consiste en ajustar el umbral, construir mecanismos rápidos de lista de permitidos y reentrenar continuamente con retroalimentación de falsos positivos para bajar la tasa.

El ML adversarial es una disciplina real

Los atacantes que entienden los clasificadores de ML pueden diseñar su infraestructura para evadirlos: envejeciendo dominios antes de usarlos, obteniendo certificados EV, alojándose en proveedores de renombre, usando nombres de dominio de aspecto legítimo. Esto se llama aprendizaje automático adversarial, y es un área activa de investigación académica y del mundo real del gato y el ratón. El marco MITRE ATLAS (Adversarial Threat Landscape for AI Systems) cataloga las técnicas conocidas de ML adversarial específicamente para este dominio.

La ventaja del defensor: evadir una sola característica es fácil; evadir todas las características simultáneamente es costoso. Envejecer un dominio cuesta tiempo (y el tiempo es dinero para las campañas de ataque). Obtener un certificado EV requiere verificación de identidad organizacional. Alojarse en proveedores de renombre significa aceptar sus procesos de respuesta ante abusos. El clasificador de ML no necesita que cada característica sea individualmente imbatible: necesita que la combinación sea suficientemente cara de evadir como para que la mayoría de los atacantes no se molesten, y los que lo hacen quedan atrapados en otras características o en el siguiente ciclo de reentrenamiento.

Los payloads cifrados son opacos en la capa de red

El ML a nivel de red ve metadatos: nombres de dominio, atributos de certificados, estadísticas de flujo, no el contenido del payload. Si un payload malicioso se entrega por HTTPS desde un dominio de aspecto legítimo (un sitio WordPress comprometido, un archivo malicioso alojado en el almacenamiento de un gran proveedor de nube), el clasificador DNS puede no marcarlo porque las características del dominio parecen limpias. Por eso la detección a nivel de red complementa pero no reemplaza otras capas: el bloqueo de rastreadores en la capa DNS detiene el canal de exfiltración de datos; las protecciones a nivel de navegador y SO (Google Safe Browsing, XProtect de Apple) se encargan de la capa de inspección de payloads.

La deriva del modelo requiere reentrenamiento continuo

El panorama de amenazas cambia constantemente. Los atacantes cambian de registradores, adoptan nuevos proveedores de alojamiento, cambian sus algoritmos de generación de dominios. Un modelo entrenado con datos de 2025 perderá precisión en meses si no se reentrena con datos etiquetados recientes. El reentrenamiento continuo con nueva inteligencia de amenazas, más los bucles de retroalimentación de falsos positivos y falsos negativos en producción, es esencial. Un clasificador de ML desplegado no es un artefacto de «entrena una vez, despliega para siempre»; es un sistema vivo que necesita inversión continua.

Lo que esto significa para tu teléfono

Si estás leyendo esto en un teléfono, estadísticamente la mayoría de vosotros, aquí está el resumen práctico:

  • El antivirus tradicional no funciona bien en móvil. iOS no lo permite arquitectónicamente; en Android agota la batería y aun así no puede analizar la mayoría de los datos de las aplicaciones. El modelo de firmas fue construido para ordenadores de escritorio con acceso total al sistema de archivos.
  • La detección de ML a nivel de red funciona en todas las plataformas móviles. No necesita acceso al sistema de archivos, no necesita ejecutarse en el dispositivo y protege todas las aplicaciones simultáneamente. Cuando tu teléfono intenta llegar a un dominio de phishing, el clasificador de capa DNS lo bloquea antes de que la conexión se abra, independientemente de qué aplicación haya iniciado la conexión.
  • La combinación de listas de bloqueo estáticas y clasificación de ML cubre tanto amenazas conocidas como desconocidas. Las listas de bloqueo detectan los dominios que ya han sido catalogados; el clasificador de ML detecta los nuevos que no lo han sido. Juntos, son significativamente más eficaces que cualquiera de los dos por separado.
  • Ninguna capa cubre todo. El ML a nivel DNS detecta amenazas basadas en dominios (phishing, distribución de malware, comunicación C2, rastreo). No detecta amenazas alojadas en primera parte ni amenazas que eludan el DNS por completo. Un enfoque por capas, Casper en la capa de red, protecciones del navegador en la capa de contenido, protecciones del SO en la capa de sistema, te da la cobertura más amplia.

El punto más amplio: el aprendizaje automático en seguridad no es una moda ni es magia. Es una disciplina de ingeniería específica que reconoce patrones en datos, y para el problema específico de «¿es probable que este dominio sea malicioso?», el enfoque de reconocimiento de patrones supera ampliamente a las listas estáticas, especialmente para las amenazas de día cero que las firmas nunca detectarán a tiempo. La pregunta es si tus herramientas de seguridad lo usan y si son honestas sobre qué cubren y qué no.


Relacionado: Mensajes de phishing en 2026: anatomía de tres campañas muestra el clasificador de ML en acción contra la infraestructura de phishing del mundo real. Protección contra amenazas es la página de características de la detección basada en ML de Casper. Bloqueo de rastreadores cubre la capa complementaria de filtrado a nivel DNS. Para las bases académicas, el marco MITRE ATLAS cataloga las técnicas de ML adversarial, y el Marco de Ciberseguridad del NIST proporciona el contexto de gestión de riesgos más amplio en el que operan estos sistemas de detección.

Revisado por Casper's Cloak Security Team · Última actualización

Ver la detección de amenazas con ML en acción

Casper's Cloak ejecuta el clasificador de ML a nivel DNS descrito anteriormente: analiza cada consulta DNS de tu teléfono en tiempo real y bloquea los dominios maliciosos antes de que se abra la conexión. Combinado con listas de bloqueo estáticas, bloqueo de rastreadores y un túnel VPN cifrado. Descubre <a href="/features/threat-protection">cómo funciona la protección contra amenazas</a> o consulta los <a href="/subscriptions">precios</a>.