¿Cuál es la diferencia entre análisis estático y análisis dinámico de malware?

El análisis estático examina el binario sin ejecutarlo (strings, desensamblado, headers PE), mientras que el análisis dinámico ejecuta la muestra en un entorno controlado para observar su comportamiento real: llamadas a API, cambios en el registro, tráfico de red y modificaciones en el sistema de archivos.

¿Qué herramientas necesito para montar un laboratorio de análisis dinámico?

Como mínimo necesitas un hipervisor (VirtualBox o VMware), una VM con Windows 10/11, herramientas de monitorización (Procmon, Process Hacker, Regshot), captura de red (Wireshark, FakeNet-NG o INetSim) y análisis de memoria (Volatility 3). Un snapshot limpio de la VM es imprescindible para restaurar entre análisis.

¿Cómo evitan los malware la detección en sandbox?

Las técnicas más comunes incluyen: detectar artefactos de VM (claves de registro de VMware/VirtualBox, MAC addresses de hipervisores), comprobar la cantidad de RAM o CPUs, verificar movimiento de ratón, usar timing attacks para detectar ejecución acelerada, y buscar procesos de herramientas de análisis como procmon.exe o wireshark.exe.

¿Es seguro ejecutar malware en una máquina virtual?

Es razonablemente seguro si se configura correctamente: red aislada (host-only o internal), carpetas compartidas deshabilitadas, Guest Additions mínimas, sin acceso a recursos de red corporativos y snapshots antes de cada ejecución. El riesgo de escape de VM existe pero es extremadamente raro en la práctica.

¿Qué es FakeNet-NG y por qué es útil en análisis dinámico?

FakeNet-NG es un simulador de red que intercepta todas las conexiones del malware y responde con servicios falsos (HTTP, DNS, SMTP, FTP). Permite capturar dominios C2, URLs de exfiltración y patrones de comunicación sin que el malware se conecte realmente a Internet, manteniendo el análisis seguro y contenido.

Intermedioanálisis dinámicosandboxingmonitorizaciónVolatilityMITRE ATT&CKanálisis de memoria

Análisis Dinámico de Malware: Técnicas de Sandboxing y Monitorización

Guía completa de análisis dinámico de malware en entornos sandbox: configuración de laboratorio, monitorización de sistema y red, análisis de comportamiento, volcado de memoria y extracción de artefactos. Técnicas defensivas con Procmon, Wireshark, Volatility y FakeNet-NG.

MalwareIntel Research·22 de mayo de 2026·20 min lectura

Serie: Guías de Herramientas — Parte 3

Qué es el análisis dinámico de malware

El análisis estático muestra lo que el malware podría hacer. El análisis dinámico muestra lo que realmente hace cuando se ejecuta.

Consiste en ejecutar una muestra de malware en un entorno controlado (sandbox) mientras se monitorizan todos los cambios que produce en el sistema: procesos creados, archivos modificados, claves de registro alteradas, conexiones de red establecidas y memoria manipulada. Cada una de estas observaciones se convierte en un indicador de compromiso (IOC) o un indicador de ataque (IOA) que los equipos defensivos pueden usar para detectar y responder a la amenaza.

A diferencia del análisis estático, el análisis dinámico no se ve afectado por ofuscación, empaquetado o cifrado del binario. El malware tiene que descomprimirse para ejecutarse, y cuando lo hace, revela su comportamiento real.

Este artículo cubre las siete áreas fundamentales del análisis dinámico: ejecución controlada, monitorización del sistema, actividad de red, análisis de comportamiento, análisis de memoria, extracción de artefactos y detección de técnicas anti-análisis.

1. Ejecución controlada: el laboratorio de análisis

El primer requisito es un entorno donde ejecutar malware sin riesgo para sistemas de producción. Esto implica una máquina virtual aislada con configuración específica.

Configuración de la VM

Componente	Recomendación	Justificación
Hipervisor	VMware Workstation o VirtualBox	VMware ofrece mejor rendimiento; VirtualBox es gratuito
SO guest	Windows 10/11 Pro (64-bit)	La mayoría del malware apunta a Windows. Usar versión con licencia para activar todas las features
RAM	4-8 GB	Suficiente para el malware y las herramientas de monitorización
Disco	60-80 GB (dinámico)	Espacio para el SO, herramientas y artefactos generados
Red	Host-only o Internal Network	Aislamiento total de la red corporativa y de Internet
CPUs	2-4 vCPUs	Algunos malware comprueban si hay solo 1 CPU como indicador de sandbox

Configuración de red segura

La red es el punto más crítico del aislamiento. Tres opciones, de más segura a más permisiva:

Host-only sin gateway: la VM solo puede comunicarse con el host. El malware no puede alcanzar ningún destino externo. Usar con FakeNet-NG o INetSim en el host para simular respuestas.
Internal Network con INetSim: dos VMs en red interna. Una ejecuta el malware, otra ejecuta INetSim para simular servicios de Internet (DNS, HTTP, SMTP). Sin salida real a Internet.
NAT con filtrado: la VM tiene acceso a Internet a través de NAT con reglas de firewall estrictas. Solo para casos donde el malware necesita contactar C2 reales para avanzar en su ejecución. Usar con extrema precaución y nunca en la misma red que sistemas de producción.

Snapshots: la red de seguridad

Antes de ejecutar cualquier muestra:

Instalar el SO limpio con todas las actualizaciones
Instalar las herramientas de análisis (Procmon, Wireshark, Process Hacker, Regshot, FakeNet-NG)
Configurar las herramientas para que arranquen con el sistema o estén listas para lanzar
Crear un snapshot llamado CLEAN-BASELINE
Tras cada análisis, restaurar al snapshot antes de ejecutar la siguiente muestra

Sin snapshots, cada análisis requeriría reinstalar la VM desde cero. Con snapshots, restaurar el estado limpio toma segundos.

Reducir artefactos de VM detectables

El malware moderno busca señales de que está en una VM. Algunas contramedidas básicas:

Renombrar la VM a algo genérico (no "MalwareAnalysisVM")
Instalar software común (Office, Chrome, Adobe Reader) para simular un equipo real
Crear documentos falsos en el escritorio y Documentos
Añadir entradas en el historial del navegador
Configurar un nombre de usuario y hostname realistas
Desinstalar Guest Additions si el malware no necesita interacción con el host

2. Monitorización del sistema

Una vez la VM está preparada, las herramientas de monitorización capturan cada cambio que el malware produce en el sistema operativo.

Process Monitor (Procmon)

Procmon de Sysinternals es la herramienta central del análisis dinámico en Windows. Captura en tiempo real todas las operaciones de:

Sistema de archivos: creación, lectura, escritura, eliminación de ficheros
Registro de Windows: lectura y escritura de claves
Red: conexiones TCP/UDP (complemento a Wireshark)
Procesos e hilos: creación y terminación

Flujo de trabajo con Procmon:

Iniciar Procmon y detener la captura momentáneamente
Configurar filtros: Process Name is [nombre_malware.exe] y Result is SUCCESS
Reiniciar la captura
Ejecutar la muestra
Esperar 3-5 minutos (o hasta que el comportamiento se estabilice)
Detener la captura y analizar los eventos

Los filtros son clave. Sin ellos, Procmon genera miles de eventos por segundo del propio sistema operativo que enmascaran la actividad del malware.

Process Hacker / System Informer

Process Hacker (ahora System Informer) va más allá del Administrador de Tareas estándar:

Árbol de procesos con relaciones padre-hijo (revela qué proceso lanzó a cuál)
Handles abiertos por cada proceso (archivos, mutex, pipes, claves de registro)
Strings en memoria del proceso (sin volcado completo)
DLLs cargadas y sus rutas
Conexiones de red por proceso
Tokens de seguridad y privilegios

Para análisis dinámico, el árbol de procesos es especialmente útil. Si malware.exe lanza cmd.exe que a su vez ejecuta powershell.exe -enc [base64], esa cadena de procesos revela la técnica de ejecución.

Regshot

Regshot toma dos snapshots del registro de Windows y compara las diferencias. El flujo es simple:

Tomar snapshot 1 (estado limpio)
Ejecutar el malware y esperar a que se instale
Tomar snapshot 2 (estado post-infección)
Comparar: Regshot muestra las claves creadas, modificadas y eliminadas

Las claves de registro más relevantes para malware incluyen:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run          (persistencia)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run          (persistencia elevada)
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce      (ejecución única)
HKLM\SYSTEM\CurrentControlSet\Services                      (servicios maliciosos)
HKCU\Software\[nombre_aleatorio]                            (configuración del malware)

3. Actividad de red

El tráfico de red revela con quién se comunica el malware, qué datos exfiltra y qué infraestructura C2 utiliza.

Wireshark

Wireshark captura todo el tráfico de red a nivel de paquete. Para análisis de malware:

Filtrar por IP de la VM: ip.addr == 192.168.56.101
Buscar resoluciones DNS sospechosas: dns.qry.name contains ".xyz" o dominios con alta entropía
Identificar tráfico HTTP no cifrado: http.request muestra URLs contactadas
Buscar beaconing (conexiones periódicas): ordenar por tiempo y buscar intervalos regulares
Extraer objetos transferidos: File > Export Objects > HTTP (o SMB, TFTP)

Indicadores de red típicos:

Indicador	Ejemplo	Significado
DNS query a DGA	`xk7r9f2.top`	Domain Generation Algorithm, típico de botnets
HTTP POST con datos codificados	`POST /gate.php` con body en base64	Exfiltración o registro con C2
Conexión a puerto no estándar	TCP 4444, 8443, 9090	C2 en puertos atípicos para evadir firewalls
TLS sin SNI o con cert self-signed	Handshake TLS a IP directa	C2 cifrado sin dominio legítimo
Tráfico DNS excesivo	Queries cada 2-5 segundos	DNS tunneling para C2 o exfiltración

FakeNet-NG

FakeNet-NG (de Mandiant/FLARE) intercepta todas las conexiones de red del malware y responde con servicios simulados. La ventaja sobre Wireshark es que no necesita acceso real a Internet:

Resuelve cualquier dominio DNS a la IP local
Responde a peticiones HTTP/HTTPS con páginas configurables
Simula servidores SMTP, FTP, IRC y otros protocolos
Registra todos los intentos de conexión con detalle

Esto permite al malware "creer" que tiene conectividad, avanzar en su cadena de ejecución y revelar dominios C2, URLs de descarga de payloads secundarios y patrones de comunicación.

Configuración típica:

# FakeNet-NG config: responder a DNS y HTTP
[Diverter]
NetworkMode: SingleHost
LinuxRedirectCommand: iptables

[DNS Server]
Enabled: True
Port: 53

[HTTPListener80]
Enabled: True
Port: 80
Custom: CustomResponse.html

INetSim

INetSim es la alternativa Linux para simular servicios de Internet. Se ejecuta en una VM separada conectada a la misma red interna que la VM de análisis:

Simula DNS, HTTP, HTTPS, FTP, SMTP, POP3, TFTP, IRC, NTP
Registra todas las peticiones en logs detallados
Sirve ficheros configurables para respuestas HTTP
Puede configurarse para devolver binarios específicos cuando el malware intenta descargar payloads secundarios

La combinación INetSim + VM de análisis en red interna es el setup más común en laboratorios profesionales de malware analysis.

4. Análisis de comportamiento

El análisis de comportamiento correlaciona las observaciones individuales (ficheros, registro, red, procesos) para construir una imagen completa de lo que hace el malware.

Llamadas a la API de Windows

Las llamadas al API revelan las intenciones del malware a nivel granular. Las categorías más relevantes:

Ejecución y procesos:

API Call	Propósito	Técnica MITRE ATT&CK
`CreateProcess`	Lanzar un nuevo proceso	T1059 (Command and Scripting Interpreter)
`NtCreateThreadEx`	Inyectar hilo en otro proceso	T1055 (Process Injection)
`WriteProcessMemory`	Escribir en memoria de otro proceso	T1055.001 (DLL Injection)
`VirtualAllocEx`	Reservar memoria en otro proceso	T1055 (Process Injection)
`SetWindowsHookEx`	Instalar hook de teclado/eventos	T1056.001 (Keylogging)

Persistencia:

API Call	Propósito	Técnica MITRE ATT&CK
`RegSetValueEx` en Run keys	Persistencia en registro	T1547.001 (Registry Run Keys)
`CreateService`	Crear servicio Windows	T1543.003 (Windows Service)
`CopyFile` a Startup folder	Persistencia en inicio	T1547.001 (Registry Run Keys)
`SchTaskCreate`	Tarea programada	T1053.005 (Scheduled Task)

Red y exfiltración:

API Call	Propósito	Técnica MITRE ATT&CK
`InternetOpenUrl` / `HttpSendRequest`	Comunicación HTTP	T1071.001 (Web Protocols)
`DnsQuery`	Resolución DNS (posible tunneling)	T1071.004 (DNS)
`WSASend` / `send`	Envío de datos por socket	T1041 (Exfiltration Over C2)

Herramientas como API Monitor o x64dbg con breakpoints en APIs permiten observar estas llamadas en tiempo real, con los parámetros exactos que recibe cada función.

Cambios en el sistema de archivos

El malware suele crear, modificar o eliminar ficheros como parte de su operación. Los patrones más comunes:

Dropper: crea un ejecutable en %TEMP%, %APPDATA% o C:\ProgramData y lo ejecuta
Downloader: descarga un payload secundario y lo almacena en disco antes de ejecutarlo
Ransomware: enumera ficheros por extensión, cifra y renombra (.encrypted, .locked, .xyz)
Infostealer: lee bases de datos de navegadores (Login Data, Cookies, Web Data en Chrome)
Rootkit: modifica o reemplaza ficheros del sistema (drivers .sys, DLLs)

Procmon con filtros de operación CreateFile, WriteFile y SetRenameInformationFile captura toda esta actividad.

Cambios en el registro de Windows

Además de las claves de persistencia mencionadas en Regshot, el malware interactúa con el registro para:

Desactivar defensas: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware = 1 (T1562.001)
Almacenar configuración: datos cifrados del C2, claves de cifrado, flags de estado
Evadir UAC: manipulación de HKCU\Software\Classes\ms-settings\shell\open\command (T1548.002)
Modificar asociaciones de archivo: para ejecutarse cuando se abren ciertos tipos de fichero (T1546.001)

5. Análisis de memoria

La memoria del proceso contiene información que nunca toca el disco: strings descifradas, configuraciones de C2, claves de cifrado, shellcode inyectado y código desempaquetado.

Volatility 3

Volatility es el framework estándar para análisis forense de memoria. A partir de un volcado de memoria de la VM (o del proceso), permite:

Listar procesos y detectar anomalías:

vol -f memory.dmp windows.pslist
vol -f memory.dmp windows.pstree

Buscar procesos con nombres sospechosos, procesos huérfanos (sin padre legítimo) o procesos legítimos spawneados desde ubicaciones inusuales (por ejemplo, svchost.exe lanzado desde %TEMP% en lugar de C:\Windows\System32\).

Detectar inyección de código:

vol -f memory.dmp windows.malfind

malfind identifica regiones de memoria con permisos PAGE_EXECUTE_READWRITE que contienen código ejecutable, un indicador clásico de inyección de código en procesos legítimos.

Extraer DLLs y módulos cargados:

vol -f memory.dmp windows.dlllist --pid 1234

Revela DLLs cargadas por el proceso, incluyendo DLLs inyectadas que no aparecen en el listado normal del sistema.

Extraer strings y configuraciones:

vol -f memory.dmp windows.vadinfo --pid 1234
strings -el memory.dmp | grep -i "http://"

Las strings en memoria del proceso a menudo contienen URLs de C2 en texto claro, credenciales robadas, configuraciones JSON del malware y otros datos que estaban cifrados en disco pero se descifraron en memoria para su uso.

Volcado de procesos

Además de Volatility, se pueden volcar procesos individuales directamente:

Process Hacker: click derecho en proceso > Create dump file
ProcDump (Sysinternals): procdump -ma [PID] malware_dump.dmp
Task Manager: click derecho > Create dump file (Windows 10+)

El volcado del proceso se puede analizar posteriormente con IDA Pro, Ghidra o x64dbg para examinar el código desempaquetado en memoria, que puede ser radicalmente diferente del binario original en disco.

6. Extracción de artefactos

El objetivo final del análisis dinámico es extraer indicadores accionables que los equipos defensivos puedan usar para detectar y bloquear la amenaza.

Dominios y direcciones IP de C2

Los dominios e IPs contactados por el malware son los artefactos de red más valiosos:

De Wireshark/FakeNet: exportar todas las resoluciones DNS y conexiones TCP
De memoria: extraer strings que coincidan con patrones de URL, IP o dominio
De Procmon: filtrar operaciones de red con destinos externos

Clasificar cada dominio/IP por su función: C2 primario, C2 de backup, descarga de payloads, exfiltración de datos, dead drop resolver.

Mutex y named pipes

Los mutex (mutual exclusion objects) son nombres únicos que el malware crea para evitar ejecutar múltiples instancias. Son identificadores forenses de alta fiabilidad porque:

Suelen ser únicos por familia o variante
Son verificables sin ejecutar el malware (buscar en procesos activos)
Permiten crear reglas de detección específicas

Process Hacker muestra los handles de tipo Mutant (mutex) abiertos por cada proceso. Ejemplos reales de mutex de familias conocidas:

Familia	Mutex	Uso
Emotet	`PEM[hash]` o `Global\I[hash]`	Prevenir re-infección
QBot	`{hash-guid}`	Una instancia por sesión
Agent Tesla	`[nombre_configurable]`	Definido en builder

Claves de registro de persistencia

Las claves de registro creadas o modificadas para persistencia son IOCs de alto valor:

Valor: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[nombre]
Datos: C:\Users\[user]\AppData\Roaming\[malware].exe

Documentar la ruta completa del valor, el nombre de la entrada y la ruta del ejecutable al que apunta.

Ficheros creados o modificados

Registrar la ruta completa, hash SHA-256, tamaño y propósito de cada fichero que el malware crea:

Payload principal droppeado en disco
Scripts auxiliares (.bat, .ps1, .vbs)
Ficheros de configuración
Ficheros de log del propio malware
Ficheros cifrados (en caso de ransomware)

Reglas YARA y Sigma a partir de artefactos

Los artefactos extraídos se traducen directamente en reglas de detección:

YARA: strings únicas del binario en memoria, patrones de bytes del shellcode, mutex names
Sigma: eventos de Sysmon/Windows Event Log que corresponden al comportamiento observado (creación de procesos con líneas de comando específicas, escritura en Run keys, conexiones a IPs documentadas)
Snort/Suricata: patrones de tráfico de red del C2 (URI paths, user-agents, certificados TLS)

7. Técnicas anti-análisis: cómo el malware detecta sandboxes

El malware sofisticado implementa múltiples controles para detectar si está siendo analizado. Si detecta un entorno de análisis, puede alterar su comportamiento, permanecer inactivo o autodestruirse.

Detección de máquina virtual

Técnica	Detalle	Contramedida
Claves de registro de VM	`HKLM\SOFTWARE\VMware, Inc.` o `HKLM\SOFTWARE\Oracle\VirtualBox`	Eliminar o renombrar las claves
MAC address del hipervisor	VMware: `00:0C:29:`, VirtualBox: `08:00:27:`	Cambiar MAC de la interfaz virtual
Nombre de dispositivos	`\\.\VMwareMouseDevice`, `\\.\VBoxGuest`	Desinstalar Guest Additions
CPUID instruction	Bit de hipervisor en EAX de CPUID leaf 1	Configurar hipervisor para ocultar el bit (VMware: `hypervisor.cpuid.v0 = FALSE`)
Nombre del BIOS/disco	Strings "VBOX" o "VMWARE" en firmware	Modificar configuración del hipervisor

Detección de herramientas de análisis

El malware enumera procesos activos buscando herramientas conocidas:

procmon.exe, procmon64.exe
wireshark.exe, tshark.exe
processhacker.exe, SystemInformer.exe
x64dbg.exe, x32dbg.exe, ollydbg.exe
ida.exe, ida64.exe
fiddler.exe
autoruns.exe

Contramedida: renombrar los ejecutables de las herramientas. No es infalible (el malware puede verificar hashes de binarios o ventanas de UI), pero evita la detección por nombre de proceso.

Técnicas de timing y entorno

Sleep acelerado: el malware llama a Sleep(600000) (10 minutos). Si el sandbox lo acelera para no esperar, el malware detecta la discrepancia midiendo tiempo real con GetTickCount o rdtsc
Interacción humana: verifica movimiento del ratón (GetCursorPos), clicks o pulsaciones de teclado. Si no detecta interacción en N minutos, asume sandbox
Recursos del sistema: comprueba RAM < 4 GB, disco < 60 GB o solo 1 CPU como indicadores de VM minimal
Nombre de usuario: busca nombres genéricos como "admin", "user", "malware", "sandbox", "test"
Documentos recientes: si %USERPROFILE%\Documents está vacío o Recent no tiene archivos, asume entorno artificial

Mapeo MITRE ATT&CK de técnicas anti-análisis

Técnica	ID MITRE	Subtécnica
Virtualization/Sandbox Evasion	T1497	Padre de todas las técnicas de evasión
System Checks	T1497.001	Comprobaciones de hardware, MAC, CPUID, disco
User Activity Based Checks	T1497.002	Movimiento de ratón, clicks, historial
Time Based Evasion	T1497.003	Sleep prolongados, timing checks con rdtsc
Debugger Evasion	T1622	`IsDebuggerPresent`, hardware breakpoints, NtQueryInformationProcess
Process Discovery	T1057	Enumerar procesos buscando herramientas

Configuración de un entorno seguro paso a paso

Esta sección consolida los pasos anteriores en un flujo práctico que un analista puede seguir desde cero.

Paso 1: Preparar el hipervisor. Instalar VMware Workstation o VirtualBox en una máquina dedicada al análisis (no en el portátil corporativo de uso diario). Configurar la red como Host-only.

Paso 2: Instalar la VM de análisis. Windows 10/11 Pro, 4 GB RAM, 2 CPUs, 80 GB disco. Activar Windows, instalar actualizaciones, crear un usuario con nombre realista.

Paso 3: Instalar herramientas. Procmon, Process Hacker, Regshot, Wireshark, FakeNet-NG, ProcDump, pestudio, CFF Explorer, HxD. Organizar en C:\Tools\ para acceso rápido.

Paso 4: Preparar el entorno. Instalar Office, Chrome, Adobe Reader. Crear documentos falsos. Añadir historial de navegación. Renombrar hostname y usuario. Reducir artefactos de VM.

Paso 5: Crear snapshot. Este es el snapshot CLEAN-BASELINE. Todo análisis empieza y termina restaurando a este punto.

Paso 6 (opcional): VM de servicios. Si usas INetSim, crear una segunda VM Linux en la misma red interna. Configurar INetSim para simular DNS, HTTP y otros servicios.

Flujo de monitorización paso a paso

Con el entorno preparado, este es el flujo de análisis de una muestra:

Restaurar snapshot CLEAN-BASELINE
Preparar captura: iniciar Wireshark (o FakeNet-NG), Procmon (con filtros configurados) y Regshot (tomar snapshot 1)
Transferir la muestra: copiar el malware a la VM (evitar carpetas compartidas; usar ISO montada o red interna con servidor HTTP temporal)
Ejecutar la muestra: dependiendo del tipo, ejecutar directamente, abrir el documento señuelo, o simular el vector de infección original
Observar 5-15 minutos: dejar correr el malware. Algunos tienen delays antes de activar su payload
Tomar Regshot snapshot 2 y generar comparación
Detener capturas: guardar .pcap de Wireshark, .pml de Procmon, reporte de Regshot
Volcar memoria: procdump -ma [PID] de los procesos sospechosos, o snapshot completo de la VM para Volatility
Analizar artefactos: correlacionar hallazgos de cada herramienta
Documentar IOCs: hashes, IPs, dominios, mutex, claves de registro, ficheros creados
Restaurar snapshot para el siguiente análisis

Mapeo MITRE ATT&CK del comportamiento observado

Cada observación del análisis dinámico debe mapearse a técnicas MITRE ATT&CK para estandarizar la inteligencia y facilitar la comunicación entre equipos.

Observación	Técnica ATT&CK	Táctica
Proceso hijo `cmd.exe /c powershell -enc`	T1059.001 (PowerShell)	Execution
Escritura en `Run` key del registro	T1547.001 (Registry Run Keys)	Persistence
`WriteProcessMemory` en `explorer.exe`	T1055.001 (DLL Injection)	Defense Evasion
DNS query a dominio DGA	T1568.002 (Domain Generation Algorithms)	Command and Control
HTTP POST con body base64	T1071.001 (Web Protocols)	Command and Control
Lectura de `Login Data` de Chrome	T1555.003 (Credentials from Web Browsers)	Credential Access
`CreateService` con binario en `%TEMP%`	T1543.003 (Windows Service)	Persistence
`Sleep(600000)` con timing check	T1497.003 (Time Based Evasion)	Defense Evasion
Cifrado masivo de ficheros	T1486 (Data Encrypted for Impact)	Impact
Deshabilitación de Windows Defender	T1562.001 (Disable or Modify Tools)	Defense Evasion

Este mapeo transforma observaciones técnicas en inteligencia estructurada que puede alimentar SIEMs, plataformas SOAR y reglas de detección automatizadas.

Limitaciones del análisis dinámico

El análisis dinámico no es una solución completa por sí solo:

Cobertura parcial: solo observa los paths de ejecución que se activan durante el análisis. Si el malware tiene lógica condicional (activo solo en ciertos países, fechas o cuando detecta un dominio específico en la red), puede que no ejecute todo su código.
Evasión de sandbox: como se ha detallado, el malware avanzado puede detectar el entorno de análisis y comportarse de forma benigna.
Tiempo de observación: algunos malware tienen delays de horas o días antes de activar su payload principal. Un análisis de 15 minutos puede no capturar el comportamiento completo.
Requiere ejecución: no es aplicable cuando no se puede o no se debe ejecutar la muestra (por ejemplo, wipers destructivos en entornos sin red de seguridad adecuada).

La práctica recomendada es combinar análisis estático (para entender la estructura y el código) con análisis dinámico (para observar el comportamiento real). Cada enfoque cubre las limitaciones del otro.

Herramientas complementarias y automatización

Para escalar el análisis dinámico más allá de la ejecución manual, existen plataformas de sandbox automatizadas:

Herramienta	Tipo	Características
Cuckoo Sandbox (open-source)	Automatizada	Análisis completo con reporting, API REST, análisis de red
CAPE Sandbox (fork de Cuckoo)	Automatizada	Mejor extracción de configs y payloads, actualizado activamente
ANY.RUN	Cloud (interactiva)	Sandbox interactiva en navegador, ideal para análisis rápido
Joe Sandbox	Cloud/On-premise	Deep analysis con ML, reporting detallado
Hybrid Analysis (CrowdStrike)	Cloud (gratuita)	Análisis gratuito con integración de VT

Estas plataformas automatizan el flujo que hemos descrito manualmente: ejecutan la muestra, monitorizan el sistema, capturan red, extraen artefactos y generan un reporte estructurado. El análisis manual sigue siendo necesario para muestras que evaden sandboxes automatizados o cuando se necesita investigación en profundidad.

Conclusión

El análisis dinámico convierte un binario opaco en una lista concreta de indicadores accionables: dominios C2, mutex, claves de registro, patrones de red y técnicas ATT&CK. Cada herramienta del flujo (Procmon para sistema, Wireshark/FakeNet para red, Volatility para memoria, Regshot para registro) cubre un ángulo diferente del comportamiento del malware.

La clave es la disciplina del proceso: snapshot limpio, herramientas configuradas antes de la ejecución, tiempo de observación suficiente y documentación sistemática de cada artefacto. Un análisis dinámico bien ejecutado produce inteligencia que alimenta directamente reglas de detección, respuesta a incidentes y threat hunting.

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis

Amazon (enlace afiliado)

Malware Analysis Techniques