Un control de punto final ciego debido a un controlador firmado
Un controlador con firma válida de Microsoft desactiva los procesos de protección en el endpoint. La herramienta de seguridad sigue funcionando, pero deja de informar. Este mismo patrón ha sido observado por el equipo de cazadores de amenazas de Symantec en el grupo detrás del ransomware GodDamn. El caso muestra menos un nuevo malware que los límites de la confianza en los controladores de Windows.
Lo más importante en resumen
- La firma no es protección. Un controlador de kernel con firma válida llamado PoisonX finaliza los procesos de defensa del endpoint y elimina sus hooks. La consola permanece en silencio.
- Bastan permisos de administrador. Windows carga automáticamente el controlador firmado en el kernel. No se necesita ningún exploit adicional ni CVE.
- La detección vence a la confianza. La telemetría de carga de controladores, la lista de bloqueo de controladores vulnerables y la minimización consecuente de privilegios actúan donde falla la verificación de firmas.
Relacionado: Qué diferencia realmente a EDR y XDR · Cómo se desarrolla un ataque de ransomware
Qué hay detrás del controlador firmado
¿Qué es un ataque BYOVD? «Bring Your Own Vulnerable Driver» (Trae tu propio controlador vulnerable) describe una técnica en la que un atacante con permisos de administrador introduce en el sistema un controlador con firma válida, pero defectuoso o malicioso. Windows verifica la firma, la considera correcta y carga el controlador en el kernel. No se necesita un exploit adicional.
En el caso de GodDamn, el controlador se llama PoisonX y tiene una firma auténtica del Microsoft Windows Hardware Compatibility Publisher. Symantec destaca una particularidad: el BYOVD clásico abusa de un controlador legítimo, pero vulnerable. En cambio, PoisonX es un controlador malicioso desde el principio, que sus desarrolladores han logrado hacer pasar por la verificación de firmas. Una vez cargado, finaliza los procesos de la defensa del endpoint y elimina los hooks en modo usuario, a través de los cuales el antivirus y el EDR monitorizan el sistema. El agente sigue formalmente activo, pero su visión de lo que ocurre ha desaparecido.
GodDamn no es un desarrollo nuevo. Broadcom atribuye esta familia a un actor llamado Hyadina y la considera sucesora de Beast, que a su vez surgió de la línea más antigua Monster. PoisonX no aparece solo en este grupo. El controlador ya está documentado en otras cajas de herramientas y, por tanto, es un componente común, no un caso aislado.
La larga fase previa al cifrado
El cifrado está al final de una cadena, no al principio. En la campaña descrita por Symantec, los atacantes obtuvieron acceso a través de la herramienta de mantenimiento remoto AnyDesk y la colocaron en un lugar discreto dentro del perfil de usuario. Después, utilizaron un conjunto de herramientas NirSoft de libre acceso para recopilar credenciales.
Solo entonces los atacantes se movieron lateralmente por la red, desactivaron Defender mediante sus propios comandos de administración y configuraron servicios para la persistencia. Hasta el despliegue del ransomware, se vieron afectados unos diez sistemas. Esta fase previa dura horas o incluso días. Es la verdadera ventana de detección.
Por qué la confianza en las firmas llega a sus límites
La suposición generalizada es: lo que está firmado es de confianza. El caso PoisonX lo desmiente. Una firma válida acredita el origen de un código, pero no dice nada sobre su intención. En cuanto un atacante obtiene derechos de administrador, la firma se convierte en el pase de entrada al kernel.
Microsoft aborda esto con una lista de bloqueo de controladores problemáticos conocidos y con integridad de código protegida por hipervisor. Ambos mecanismos ayudan, pero actúan de forma reactiva. Entre el descubrimiento de un controlador malicioso y su inclusión en la lista de bloqueo existe una ventana. No todos los sistemas tienen activada la aislamiento del núcleo. La compatibilidad con software antiguo retrasa además su implementación.
Qué aporta concretamente el Detection Engineering
La clave está en el comportamiento, no en la firma. La carga de un controlador del kernel es un evento raro y fácilmente observable. Sysmon lo registra con hash, estado de la firma y ruta. Un controlador que se carga desde una carpeta de usuario en lugar del directorio del sistema es una señal clara.
Igualmente revelador es la creación de un servicio del kernel desde una fuente inusual, así como la finalización repentina de procesos de seguridad. Quien correlacione estos tres eventos verá el ataque antes de que comience el cifrado.
Revisar de inmediato
- ✓Activar el aislamiento del núcleo y la integridad de la memoria (HVCI) en los endpoints donde el hardware y los controladores lo permitan.
- ✓Aplicar la lista de bloqueo de controladores vulnerables de Microsoft y complementarla con reglas WDAC propias contra controladores de abuso conocidos de LOLDrivers.
- ✓Alertar sobre eventos de carga de controladores (Sysmon Evento 6) en rutas inusuales, así como sobre la instalación de servicios del kernel (Registro del sistema 7045).
- ✓Activar la protección contra manipulaciones del EDR para que el agente no pueda desactivarse fácilmente.
- ✓Eliminar los derechos de administrador local en el uso cotidiano, aplicar LAPS y un modelo de estratificación.
La minimización de privilegios como requisito
Todas las medidas mencionadas comparten un requisito. Sin derechos de administrador, ningún atacante carga un controlador en el kernel. Precisamente por eso, la minimización de privilegios está al inicio de cualquier respuesta efectiva, no al final.
En concreto, esto significa: no otorgar derechos de administrador local permanentes, acceso Just-in-Time para tareas privilegiadas, LAPS para las cuentas locales y una estratificación que mantenga a los administradores de dominio alejados de los endpoints. Las listas de bloqueo, HVCI y la telemetría despliegan su efecto solo cuando los derechos de administrador ampliamente distribuidos no hacen ya la mitad del trabajo a los atacantes.
Preguntas frecuentes
Cada pregunta está bloqueada. Un toque desbloquea la respuesta.
¿Qué es un ataque BYOVD?
Bring Your Own Vulnerable Driver (Trae tu propio controlador vulnerable) se refiere a la introducción de un controlador firmado válidamente, pero defectuoso o malicioso, por parte de un atacante con derechos de administrador. Windows confía en la firma y carga el controlador en el kernel, donde se ejecuta con los máximos privilegios.
¿Es suficiente un EDR actualizado contra esta técnica?
No por sí solo. El controlador firmado ataca directamente al sistema de defensa y le resta visibilidad. La detección solo resulta efectiva en combinación con protección contra manipulación, telemetría de controladores y la retirada de derechos de administrador.
¿Protege de forma fiable la Microsoft Vulnerable Driver Blocklist?
Ayuda, pero actúa de forma reactiva. Entre el descubrimiento de un controlador y su inclusión en la lista, queda una ventana de exposición. Las propias reglas WDAC contra controladores conocidos por su mal uso cierran parcialmente esta brecha.
¿Cómo se detecta el ataque en el registro?
Tres eventos son reveladores: la carga de un controlador de kernel desde una carpeta de usuario, la creación de un servicio de kernel desde una fuente inusual y el cierre repentino de procesos de seguridad. Correlacionados, ofrecen una imagen clara.
¿Cuál es el primer paso más importante?
La reducción de los derechos de administrador distribuidos de forma generalizada. Sin estos derechos, no es posible cargar un controlador en el kernel. Todas las demás medidas de control se basan en esto.
Lecturas recomendadas por la redacción
Lectura recomendadaQué diferencia realmente a EDR y XDRLectura recomendadaCómo se desarrolla un ataque de ransomwareLectura recomendadaCuando los atacantes son más rápidos que el parche
Más del MBF Media Netzwerk
cloudmagazinPor primera vez se puede observar a una IA pensandoMyBusinessFutureIA en las pymes: del piloto a la escalabilidadDigital ChiefsLa TI decide si la escisión vale la pena
Fuente de la imagen: generada por IA (julio de 2026)





