Hace poco, un nuevo análisis del fenómeno conocido como “EDR killers” volvió a poner sobre la mesa una técnica que lleva tiempo explotándose en intrusiones de ransomware: muchos de estos programas diseñados para neutralizar soluciones de seguridad aprovechan controladores legítimos pero vulnerables para hacerse con privilegios de kernel. Según la investigación de ESET, más de medio centenar de herramientas de este tipo emplean la táctica conocida como BYOVD —bring your own vulnerable driver—, usando decenas de controladores con fallos conocidos para saltarse las protecciones del sistema.
En el campo de la ciberseguridad se ha convertido en una práctica recurrente: antes de lanzar el cifrador que dejará inaccesibles archivos, los actores maliciosos ejecutan una etapa previa dedicada exclusivamente a desactivar o evadir las defensas del endpoint. Esa “herramienta de choque” actúa al margen del ransomware principal y facilita que el cifrador se mantenga sencillo y estable, sin necesidad de incorporar sofisticadas capacidades de evasión en su propio código. El resultado es una cadena de ataque más modular y reutilizable, algo muy atractivo para modelos de negocio criminales como el ransomware-as-a-service.
La esencia del BYOVD es relativamente simple y peligrosa: en vez de cargar un controlador malicioso sin firmar —lo cual está bloqueado en sistemas modernos— el atacante instala o reutiliza un controlador legítimo, firmado por un proveedor, que contiene una vulnerabilidad explotable. Con ese fallo es posible ejecutar código en modo kernel (Ring 0), la capa más privilegiada del sistema, desde donde se pueden terminar procesos de seguridad, anular callbacks del kernel y manipular mecanismos que deberían proteger al equipo. Bitdefender explica bien este patrón en su explicación sobre BYOVD, donde se detalla cómo se abusa del modelo de confianza de controladores firmado por Microsoft para escalar privilegios: tecnología detrás del BYOVD.
El informe de ESET documenta casi noventa herramientas destinadas a matar EDRs, y señala que una porción significativa de ellas confía en esos controladores vulnerables. En algunos casos, las herramientas son desarrollos propios de grupos de ransomware “cerrados” que no dependen de afiliados; en otros, se trata de forks o modificaciones de pruebas de concepto públicas que acaban siendo usadas en el terreno. También existe un mercado subterráneo donde se compran y venden este tipo de utilidades como servicios, lo que baja la barrera de entrada para atacantes con menos habilidades técnicas.
No todas las familias de EDR killers usan drivers con firma. ESET detectó variantes que recurren a scripts y comandos administrativos nativos de Windows —como taskkill o net stop— para forzar la detención de servicios de seguridad, así como utilidades legítimas de soporte y análisis que permiten terminar procesos protegidos. Incluso han empezado a aparecer proyectos “sin driver” que, en lugar de explotar un controlador vulnerable, bloquean la comunicación o ponen a las soluciones de seguridad en un estado de “coma” mediante otras técnicas. En cualquiera de los casos, el objetivo es el mismo: dejar la máquina lo más desprotegida posible justo antes de que se ejecute el cifrador.
Desde la perspectiva de defensa, la recomendación habitual es obvia pero compleja de aplicar: es necesario impedir que controladores conocidos por ser abusables se carguen en los entornos corporativos. Microsoft mantiene políticas y documentación sobre el modelado de firma de drivers y las restricciones en los sistemas Windows, que ayudan a entender por qué la carga de controladores legítimos but vulnerables es una propuesta tan potente para los atacantes —y, por ende, tan problemática para los administradores: política de firma de código en modo kernel.
Sin embargo, bloquear controladores en una organización no es una cura mágica: los EDR killers aparecen al final de la cadena de ataque, en el momento en que el atacante está a punto de cifrar datos. Si una defensa concreta falla, el agresor puede probar con otra herramienta o método alternativo. Por eso los expertos insisten en que la protección efectiva exige defensas en profundidad: control de carga de drivers, monitorización continua, detección de comportamientos anómalos, segmentación de red y planes de respuesta que permitan contener actividades maliciosas en fases tempranas.
La investigación de ESET también evidencia una tendencia inquietante: los autores de estas herramientas han priorizado la sofisticación en las partes que interactúan con el sistema del usuario (user-mode) para evadir análisis y detección, dejando el cifrador final más simple. En otras palabras, el esfuerzo ya no está tanto en hacer que el ransomware pase desapercibido por sí mismo, sino en «dejar sin defensas» al sistema para que el cifrador haga su trabajo con menos obstáculos. Esta separación de funciones aumenta la eficiencia operativa de las bandas y facilita la reutilización de componentes maliciosos.
Para equipos de seguridad y responsables TI esto significa replantear cómo se miden y priorizan las protecciones: no basta con confiar en una solución EDR robusta si esta puede ser puesta fuera de juego por un exploit relativamente sencillo. Es fundamental contar con listas blancas y negras de controladores, aplicar parches y actualizaciones, monitorizar la instalación de drivers y los intentos de elevación de privilegios, y mantener mecanismos de detección que no dependan exclusivamente de procesos individuales. Recursos adicionales sobre la táctica BYOVD y cómo mitigarla están disponibles en análisis técnicos y firmas de la industria, que ayudan a entender el comportamiento y a identificar indicadores de compromiso: análisis detallado de ESET y explicaciones técnicas sobre BYOVD como la de Picus aquí.
En definitiva, los EDR killers siguen siendo una herramienta atractiva para los grupos de ransomware porque son baratos, fiables y se pueden usar de forma independiente del cifrador. La respuesta, por su parte, pasa por combinar prevención técnica, visibilidad constante y una estrategia de respuesta que abarque todo el ciclo del ataque. Solo así podrá reducirse el espacio de maniobra de quienes buscan apagar nuestras defensas justo antes de exigir un rescate por los datos.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...