THOR de Nextron Systems: Evaluación de compromiso sin agente

6 min. de lectura

La mayoría de las soluciones de seguridad para endpoints detectan malware conocido en tiempo real. Pero, ¿qué ocurre con los ataques que ya han tenido lugar? Según el informe M-Trends 2025 de Mandiant, las Amenazas Persistentes Avanzadas operan, de media, once días sin ser detectadas en las redes empresariales; si la detección se realiza exclusivamente desde el exterior, ese periodo puede alargarse hasta 26 días. THOR, de Nextron Systems, es un escáner forense portátil que examina sistemas a posteriori en busca de indicios de compromiso: cuenta con más de 30.000 reglas YARA y firmas, no requiere agente ni instalador, y tampoco necesita conexión a la nube.

SecurityToday

¿Qué es THOR y cómo funciona?

THOR es un escáner forense desarrollado por Nextron Systems que analiza sistemas en busca de señales de compromiso causadas por amenazas avanzadas. Funciona ejecutando más de 30.000 reglas YARA y firmas contra el sistema objetivo, sin necesidad de instalar software adicional ni conectarse a la nube.

¿Por qué es importante utilizar THOR tras un incidente de seguridad?

Después de un ataque, especialmente uno perpetrado por una Amenaza Persistente Avanzada, es crucial determinar si el sistema ha sido comprometido y cuáles fueron las consecuencias. THOR permite realizar un análisis exhaustivo sin depender de herramientas previamente instaladas en el sistema, lo que resulta fundamental para comprender la extensión del daño y planificar medidas correctivas.

¿Necesito tener conocimientos técnicos avanzados para usar THOR?

No, THOR está diseñado para ser utilizado tanto por profesionales de la ciberseguridad como por equipos internos de TI. Su interfaz sencilla y su funcionamiento autónomo hacen que sea accesible incluso para quienes no cuenten con experiencia profunda en análisis forense digital.

¿Puedo usar THOR en múltiples sistemas simultáneamente?

Sí, THOR es portátil y fácil de transportar, lo que lo hace adecuado para su uso en varios dispositivos o servidores al mismo tiempo. Esto facilita auditorías rápidas y eficientes en entornos corporativos complejos.

¿THOR requiere conexión a internet durante su funcionamiento?

No, THOR opera completamente offline. Esto significa que puede utilizarse en cualquier entorno, incluso aquellos donde no exista acceso a internet, lo cual es especialmente útil en situaciones críticas o cuando la red ha sido comprometida.

SecurityToday

Alemán: El término DACH (Alemania, Austria y Suiza) se refiere a la región geográfica donde se habla principalmente alemán. En este contexto, las regulaciones mencionadas podrían incluir leyes locales sobre protección de datos o normativas específicas relacionadas con la ciberseguridad aplicables en estos países.

Regulación: La Ley Federal de Protección de Datos de Alemania establece requisitos estrictos para la recopilación, almacenamiento y procesamiento de datos personales. En el caso de herramientas como THOR, es importante asegurarse de que cumplan con estas normativas al manejar información sensible durante los análisis forenses.

Lo más importante en resumen

• THOR es un escáner portátil de evaluación de compromisos desarrollado por Nextron Systems (Dietzenbach). No requiere instalación ni agentes; se ejecuta directamente desde una unidad USB.
• Los atacantes permanecen, en promedio, 11 días sin ser detectados. En casos de detección externa, este periodo aumenta a 26 días (Mandiant M-Trends 2025).
• Más de 30.000 reglas YARA y alrededor de 2.000 reglas Sigma analizan archivos, la memoria de procesos, el registro del sistema y los registros de eventos.
• El CTO Florian Roth (@cyb3rops) es uno de los investigadores de seguridad más reconocidos a nivel mundial: cofundador de Sigma, creador de LOKI y yarGen.
• THOR Lite está disponible de forma gratuita para analistas individuales e incluye escaneo de archivos comprimidos e integración con YARA-Forge.

¿Qué es THOR Nextron Systems?

THOR Nextron Systems es una prioridad concreta para las empresas en 2023, porque influye directamente en la capacidad de datacenter, la eficiencia energética y el cumplimiento. Este artículo utiliza el ejemplo de synaforce para mostrar qué requisitos, cifras y pasos operativos importan en la práctica.

El problema: Lo que EDR no detecta

Endpoint Detection and Response ofrece protección en tiempo real. Sin embargo, los grupos de APT operan de manera precisa por debajo del umbral de detección. Utilizan técnicas de Living-off-the-Land, comprometen herramientas legítimas y dejan rastros que ningún antivirus clasifica como sospechosos. Un sistema comprometido puede permanecer inactivo durante meses o incluso años, mientras los atacantes extraen datos.

En 2014, la duración media de permanencia de los atacantes era de 205 días. Hoy, según Mandiant M-Trends 2025, esa cifra se ha reducido a once días. No obstante, este dato está sesgado por el ransomware, ya que en esos casos los atacantes se revelan a sí mismos. En el caso de las APT dedicadas al espionaje, los tiempos son significativamente más largos. Precisamente aquí entra en juego el Compromise Assessment: la búsqueda sistemática de indicios que ya se encuentran presentes en el sistema.

Qué hace diferente a THOR

THOR no es un sistema de protección en tiempo real ni un sustituto de EDR. Se trata de un escáner forense que examina los sistemas a posteriori en busca de indicios de compromiso. La ventaja clave: THOR funciona como una aplicación portátil. Sin agente, sin instalador y sin dependencias. Esto lo hace ideal para:

• Respuesta ante incidentes tras la sospecha de un ataque
• Evaluaciones periódicas de compromisos en infraestructuras críticas
• Auditorías de diligencia debida durante adquisiciones y fusiones
• Investigaciones forenses en entornos air-gapped

Un ejemplo concreto de su eficacia: en el caso de una muestra comprometida, THOR generó tres coincidencias distintas con reglas YARA, mientras que VirusTotal no detectó nada. Su fortaleza radica en las reglas escritas a mano y cuidadosamente seleccionadas, diseñadas específicamente para identificar herramientas y tácticas utilizadas por grupos APT.

«Hemos probado una de las muestras comprometidas. VirusTotal no detectó nada. En cambio, THOR la identificó mediante tres reglas YARA diferentes.»
Florian Roth, CTO de Nextron Systems (@cyb3rops, 2025)

Florian Roth: El cerebro detrás de THOR

Quien quiera comprender THOR debe conocer a Florian Roth. El CTO y copresidente ejecutivo de Nextron Systems es uno de los investigadores de seguridad más influyentes del mundo. En X (anteriormente Twitter), bajo la cuenta @cyb3rops, lo siguen más de 30.000 profesionales de la comunidad de seguridad informática. En GitHub, administra más de 155 repositorios bajo el nombre @neo23x0.

Roth lleva trabajando en seguridad informática desde 2003. Lo que lo distingue de otros expertos es que no solo desarrolla productos, sino que también establece estándares. Sigma, el estándar abierto para reglas de detección basadas en SIEM, fue creado por Roth junto con Thomas Patzke. Actualmente, bajo el nombre SigmaHQ, Sigma se ha convertido en el estándar de facto para la detección basada en registros, reconocido por MISP y utilizado prácticamente en todos los SOC del mundo.

Además, Roth ha desarrollado una serie de herramientas de código abierto ampliamente utilizadas en la comunidad: LOKI (el predecesor gratuito de THOR), yarGen (generador automatizado de reglas YARA), FENRIR (escáner de IOC basado en Bash) y Valhalla (el feed curado de Nextrons con reglas YARA y Sigma, que incluye más de 23.000 reglas YARA y 4.400 reglas Sigma).

Arquitectura técnica de THOR

La versión estable actual, THOR 10.7 (noviembre de 2024), combina varios mecanismos de detección:

Escaneo con YARA: Más de 30.000 reglas YARA cuidadosamente seleccionadas examinan archivos, la memoria de los procesos y las entradas del registro en busca de firmas conocidas de malware y herramientas utilizadas por APT. Estas reglas proceden de la investigación interna de Nextron y del feed Valhalla.

Reglas Sigma: Alrededor de 2.000 reglas Sigma analizan los registros de eventos de Windows en busca de patrones sospechosos. Sigma es el estándar abierto para la detección basada en registros.

Detección de anomalías: THOR identifica patrones dudosos, como nombres de archivo inusuales en directorios del sistema, extensiones duplicadas o streams alternativos ocultos de datos (ADS).

Matching de IOC: Los hashes, los nombres de dominio y las direcciones IP se comparan con los feeds actuales de inteligencia sobre amenazas.

Novedades en la versión 10.7: escaneo de archivos mapeados en memoria para acelerar los análisis con menor uso de E/S, salida JSON v2 para una mejor integración con SIEM y selectores de inicio para escaneos específicos de campañas.

Lo más importante en resumen:
– THOR 10.7 utiliza múltiples métodos de detección, incluyendo YARA, Sigma, detección de anomalías y matching de IOC.
– Incorpora mejoras como el escaneo de archivos mapeados en memoria y una nueva salida JSON para facilitar la integración con sistemas de gestión de seguridad.
– Ofrece capacidades avanzadas para detectar amenazas sofisticadas, como malware conocido, patrones anómalos y streams alternativos de datos.

Preguntas frecuentes:

¿Qué es THOR?

THOR es una solución de detección de amenazas avanzada que utiliza múltiples técnicas, como el escaneo con YARA y Sigma, para identificar malware, patrones sospechosos y otras actividades maliciosas en sistemas informáticos.

¿Cómo funciona el escaneo con YARA en THOR?

El escaneo con YARA emplea más de 30.000 reglas personalizadas para buscar firmas conocidas de malware y herramientas de APT en archivos, procesos y registros del sistema. Estas reglas provienen tanto de investigaciones internas como de feeds externos.

¿Qué son las reglas Sigma en THOR?

Las reglas Sigma son un conjunto de directrices abiertas diseñadas para analizar los registros de eventos de Windows en busca de comportamientos inusuales o sospechosos, lo que ayuda a detectar posibles amenazas antes de que causen daño.

¿Qué son los streams alternativos de datos (ADS) y cómo los detecta THOR?

Los streams alternativos de datos son fragmentos ocultos de información almacenados dentro de archivos normales en sistemas Windows. THOR identifica estos ADS mediante su tecnología de detección de anomalías, ayudando a descubrir intentos de ocultar malware u otros contenidos maliciosos.

¿Por qué es importante el matching de IOC en THOR?

El matching de IOC permite comparar hashes, nombres de dominio y direcciones IP contra bases de datos de inteligencia sobre amenazas en tiempo real. Esto ayuda a THOR a identificar rápidamente si un elemento encontrado en un sistema ya ha sido asociado con actividades maliciosas previas.

¿Qué ventajas ofrece la nueva salida JSON v2 en THOR 10.7?

La nueva salida JSON v2 facilita la integración de THOR con sistemas SIEM, permitiendo un intercambio de datos más eficiente y preciso entre ambas plataformas. Esto mejora la capacidad de respuesta ante incidentes de seguridad.

¿Para qué sirven los selectores de inicio en THOR 10.7?

Los selectores de inicio permiten realizar escaneos específicos dirigidos a campañas o amenazas particulares, optimizando así los recursos y mejorando la eficacia de la detección según el contexto de cada situación.

THOR Lite frente a THOR Full

Nextron ofrece con THOR Lite una versión gratuita destinada a analistas independientes. Desde 2025, THOR Lite incluye también el escaneo de archivos (docx, xlsx, jar, war) e integra el catálogo de reglas YARA-Forge, que cuenta con más de 11.000 reglas públicas.

La versión completa, THOR 10, está dirigida a empresas y proveedores de servicios de seguridad gestionados (MSSP). Proporciona gestión centralizada a través del Centro de Gestión ASGARD, escaneos automatizados, conjuntos de reglas ampliados e integración con Velociraptor para realizar escaneos paralelos en cientos de sistemas. Los resultados de THOR se exportan en formato JSON, CSV o informe HTML, y pueden integrarse en sistemas SIEM como Splunk, Elastic y QRadar.

Hechos clave: Nextron Systems

Fundación: 2017, Dietzenbach (área metropolitana de Fráncfort)

Gestión empresarial: Marc Hirtz (CEO desde mayo de 2024), Florian Roth (CTO), Helge Hofmeister

Equipo: 11 a 50 empleados, especializados en Detección de Amenazas

Clientes: Más de 500 clientes empresariales en más de 30 países

Propietario: BID Equity (desde febrero de 2023)

Plataformas: Windows, Linux, macOS

Eslogan: «Detectamos a los piratas informáticos»

Preguntas frecuentes

¿Reemplaza THOR un sistema EDR?

No. THOR y EDR se complementan. EDR protege en tiempo real y detecta ataques en curso. THOR encuentra huellas de compromisos anteriores que no fueron detectados por el EDR. En la práctica, THOR se utiliza tras un caso sospechoso o como evaluación periódica para asegurarse de que ningún atacante esté operando sin ser detectado en la red.

¿Cuánto dura un escaneo con THOR?

Varía entre 30 minutos y varias horas, dependiendo del sistema y la configuración. Un servidor Windows típico se escanea en 60 a 90 minutos. Con el Centro de Gestión ASGARD y Velociraptor es posible escanear cientos de sistemas de forma paralela.

¿Cuál es la diferencia entre THOR Lite y THOR Full?

THOR Lite es gratuito para analistas individuales y contiene escaneo de archivos y reglas YARA-Forge. La versión completa THOR 10 ofrece gestión centralizada (ASGARD), escaneos automatizados, conjuntos de reglas ampliados del feed Valhalla y la posibilidad de ejecutar escaneos en cientos de sistemas de forma paralela mediante Velociraptor.

¿Qué es Sigma y por qué es relevante para los operadores de SIEM?

Sigma es un estándar abierto para reglas de detección basadas en registros, co-desarrollado por Florian Roth y Thomas Patzke. Las reglas Sigma se pueden traducir a varios lenguajes de consulta de SIEM (Splunk, Elastic, QRadar, Microsoft Sentinel). Los equipos SOC pueden utilizarlas para escribir y compartir lógica de detección independiente del proveedor.

¿Es THOR relevante para empresas de KRITIS bajo NIS2?

Sí. NIS2 (en vigor en Alemania desde diciembre de 2025) exige a las entidades afectadas medidas técnicas adecuadas para la detección de incidentes de seguridad. Evaluaciones periódicas de compromiso con herramientas como THOR pueden formar parte de una estrategia de detección conforme a NIS2, especialmente en entornos Air-Gapped o KRITIS, donde las soluciones EDR basadas en la nube no son aplicables.

Recomendaciones de lectura de la redacción

• Estudio de caso: Empresa mediana detecta una amenaza avanzada persistente (APT) tras 9 meses gracias al escaneo THOR
• Ataques de identidad 2026: ¿Por qué los hackers ya no rompen cajas, sino que se registran?
• Seguridad OT 2026: 119 grupos de ransomware atacan de forma selectiva instalaciones industriales

Más contenido de la red de medios MBF

• → Boom de la ciberseguridad: por qué NIS2 convierte a la industria de la seguridad alemana en motor de crecimiento (MyBusinessFuture)
• → Ciberseguridad 2024: synaforce repasa el año (cloudmagazin)

Fuente imagen principal: Pexels / MART PRODUCTION

Más sobre este tema de synaforce

Más servicios, casos de uso y contexto práctico están disponibles en synaforce para servicios de datacenter e infraestructura.

• Cómo Synaforce combina la eficiencia de los centros de datos
• Ciberseguridad 2024: Tendencias y estrategias de protección
• synaforce amplía su cartera con Herbst Datentechnik

Imprimir artículo

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow

También disponible en

FrançaisEnglishDeutsch