6 min. de lectura<\/p>\n
La mayor\u00eda de las soluciones de seguridad para endpoints detectan malware conocido en tiempo real. Pero, \u00bfqu\u00e9 ocurre con los ataques que ya han tenido lugar? Seg\u00fan el informe M-Trends 2025 de Mandiant, las Amenazas Persistentes Avanzadas operan, de media, once d\u00edas sin ser detectadas en las redes empresariales; si la detecci\u00f3n se realiza exclusivamente desde el exterior, ese periodo puede alargarse hasta 26 d\u00edas. THOR, de Nextron Systems, es un esc\u00e1ner forense port\u00e1til que examina sistemas a posteriori en busca de indicios de compromiso: cuenta con m\u00e1s de 30.000 reglas YARA y firmas, no requiere agente ni instalador, y tampoco necesita conexi\u00f3n a la nube.<\/strong><\/p>\n SecurityToday<\/p>\n THOR es un esc\u00e1ner forense desarrollado por Nextron Systems que analiza sistemas en busca de se\u00f1ales de compromiso causadas por amenazas avanzadas. Funciona ejecutando m\u00e1s de 30.000 reglas YARA y firmas contra el sistema objetivo, sin necesidad de instalar software adicional ni conectarse a la nube.<\/p>\n Despu\u00e9s de un ataque, especialmente uno perpetrado por una Amenaza Persistente Avanzada, es crucial determinar si el sistema ha sido comprometido y cu\u00e1les fueron las consecuencias. THOR permite realizar un an\u00e1lisis exhaustivo sin depender de herramientas previamente instaladas en el sistema, lo que resulta fundamental para comprender la extensi\u00f3n del da\u00f1o y planificar medidas correctivas.<\/p>\n No, THOR est\u00e1 dise\u00f1ado para ser utilizado tanto por profesionales de la ciberseguridad como por equipos internos de TI. Su interfaz sencilla y su funcionamiento aut\u00f3nomo hacen que sea accesible incluso para quienes no cuenten con experiencia profunda en an\u00e1lisis forense digital.<\/p>\n S\u00ed, THOR es port\u00e1til y f\u00e1cil de transportar, lo que lo hace adecuado para su uso en varios dispositivos o servidores al mismo tiempo. Esto facilita auditor\u00edas r\u00e1pidas y eficientes en entornos corporativos complejos.<\/p>\n No, THOR opera completamente offline. Esto significa que puede utilizarse en cualquier entorno, incluso aquellos donde no exista acceso a internet, lo cual es especialmente \u00fatil en situaciones cr\u00edticas o cuando la red ha sido comprometida.<\/p>\n SecurityToday<\/p>\n Alem\u00e1n: El t\u00e9rmino DACH (Alemania, Austria y Suiza) se refiere a la regi\u00f3n geogr\u00e1fica donde se habla principalmente alem\u00e1n. En este contexto, las regulaciones mencionadas podr\u00edan incluir leyes locales sobre protecci\u00f3n de datos o normativas espec\u00edficas relacionadas con la ciberseguridad aplicables en estos pa\u00edses.<\/p>\n Regulaci\u00f3n: La Ley Federal de Protecci\u00f3n de Datos de Alemania establece requisitos estrictos para la recopilaci\u00f3n, almacenamiento y procesamiento de datos personales. En el caso de herramientas como THOR, es importante asegurarse de que cumplan con estas normativas al manejar informaci\u00f3n sensible durante los an\u00e1lisis forenses.<\/p>\n THOR Nextron Systems es una prioridad concreta para las empresas en 2023, porque influye directamente en la capacidad de datacenter, la eficiencia energ\u00e9tica y el cumplimiento. Este art\u00edculo utiliza el ejemplo de synaforce para mostrar qu\u00e9 requisitos, cifras y pasos operativos importan en la pr\u00e1ctica.<\/p>\n Endpoint Detection and Response ofrece protecci\u00f3n en tiempo real. Sin embargo, los grupos de APT operan de manera precisa por debajo del umbral de detecci\u00f3n. Utilizan t\u00e9cnicas de Living-off-the-Land, comprometen herramientas leg\u00edtimas y dejan rastros que ning\u00fan antivirus clasifica como sospechosos. Un sistema comprometido puede permanecer inactivo durante meses o incluso a\u00f1os, mientras los atacantes extraen datos.<\/p>\n En 2014, la duraci\u00f3n media de permanencia de los atacantes era de 205 d\u00edas. Hoy, seg\u00fan Mandiant M-Trends 2025<\/a>, esa cifra se ha reducido a once d\u00edas. No obstante, este dato est\u00e1 sesgado por el ransomware, ya que en esos casos los atacantes se revelan a s\u00ed mismos. En el caso de las APT dedicadas al espionaje, los tiempos son significativamente m\u00e1s largos. Precisamente aqu\u00ed entra en juego el Compromise Assessment: la b\u00fasqueda sistem\u00e1tica de indicios que ya se encuentran presentes en el sistema.<\/p>\n THOR no es un sistema de protecci\u00f3n en tiempo real ni un sustituto de EDR. Se trata de un esc\u00e1ner forense que examina los sistemas a posteriori en busca de indicios de compromiso. La ventaja clave: THOR funciona como una aplicaci\u00f3n port\u00e1til. Sin agente, sin instalador y sin dependencias. Esto lo hace ideal para:<\/p>\n Un ejemplo concreto de su eficacia: en el caso de una muestra comprometida, THOR gener\u00f3 tres coincidencias distintas con reglas YARA, mientras que VirusTotal no detect\u00f3 nada<\/a>. Su fortaleza radica en las reglas escritas a mano y cuidadosamente seleccionadas, dise\u00f1adas espec\u00edficamente para identificar herramientas y t\u00e1cticas utilizadas por grupos APT.<\/p>\n \n\u00abHemos probado una de las muestras comprometidas. VirusTotal no detect\u00f3 nada. En cambio, THOR la identific\u00f3 mediante tres reglas YARA diferentes.\u00bb Quien quiera comprender THOR debe conocer a Florian Roth. El CTO y copresidente ejecutivo de Nextron Systems es uno de los investigadores de seguridad m\u00e1s influyentes del mundo. En X (anteriormente Twitter), bajo la cuenta @cyb3rops<\/a>, lo siguen m\u00e1s de 30.000 profesionales de la comunidad de seguridad inform\u00e1tica. En GitHub, administra m\u00e1s de 155 repositorios bajo el nombre @neo23x0.<\/p>\n Roth lleva trabajando en seguridad inform\u00e1tica desde 2003. Lo que lo distingue de otros expertos es que no solo desarrolla productos, sino que tambi\u00e9n establece est\u00e1ndares. Sigma, el est\u00e1ndar abierto para reglas de detecci\u00f3n basadas en SIEM, fue creado por Roth junto con Thomas Patzke. Actualmente, bajo el nombre SigmaHQ<\/a>, Sigma se ha convertido en el est\u00e1ndar de facto para la detecci\u00f3n basada en registros, reconocido por MISP y utilizado pr\u00e1cticamente en todos los SOC del mundo.<\/p>\n Adem\u00e1s, Roth ha desarrollado una serie de herramientas de c\u00f3digo abierto ampliamente utilizadas en la comunidad: LOKI (el predecesor gratuito de THOR), yarGen (generador automatizado de reglas YARA), FENRIR (esc\u00e1ner de IOC basado en Bash) y Valhalla (el feed curado de Nextrons con reglas YARA y Sigma, que incluye m\u00e1s de 23.000 reglas YARA y 4.400 reglas Sigma).<\/p>\n La versi\u00f3n estable actual, THOR 10.7 (noviembre de 2024), combina varios mecanismos de detecci\u00f3n:<\/p>\n Escaneo con YARA:<\/strong> M\u00e1s de 30.000 reglas YARA cuidadosamente seleccionadas examinan archivos, la memoria de los procesos y las entradas del registro en busca de firmas conocidas de malware y herramientas utilizadas por APT. Estas reglas proceden de la investigaci\u00f3n interna de Nextron y del feed Valhalla.<\/p>\n Reglas Sigma:<\/strong> Alrededor de 2.000 reglas Sigma analizan los registros de eventos de Windows en busca de patrones sospechosos. Sigma es el est\u00e1ndar abierto para la detecci\u00f3n basada en registros.<\/p>\n Detecci\u00f3n de anomal\u00edas:<\/strong> THOR identifica patrones dudosos, como nombres de archivo inusuales en directorios del sistema, extensiones duplicadas o streams alternativos ocultos de datos<\/a> (ADS).<\/p>\n Matching de IOC:<\/strong> Los hashes, los nombres de dominio y las direcciones IP se comparan con los feeds actuales de inteligencia sobre amenazas.<\/p>\n Novedades en la versi\u00f3n 10.7: escaneo de archivos mapeados en memoria para acelerar los an\u00e1lisis con menor uso de E\/S, salida JSON v2 para una mejor integraci\u00f3n con SIEM y selectores de inicio para escaneos espec\u00edficos de campa\u00f1as.<\/p>\n Lo m\u00e1s importante en resumen: Preguntas frecuentes:<\/p>\n THOR es una soluci\u00f3n de detecci\u00f3n de amenazas avanzada que utiliza m\u00faltiples t\u00e9cnicas, como el escaneo con YARA y Sigma, para identificar malware, patrones sospechosos y otras actividades maliciosas en sistemas inform\u00e1ticos.<\/p>\n El escaneo con YARA emplea m\u00e1s de 30.000 reglas personalizadas para buscar firmas conocidas de malware y herramientas de APT en archivos, procesos y registros del sistema. Estas reglas provienen tanto de investigaciones internas como de feeds externos.<\/p>\n Las reglas Sigma son un conjunto de directrices abiertas dise\u00f1adas para analizar los registros de eventos de Windows en busca de comportamientos inusuales o sospechosos, lo que ayuda a detectar posibles amenazas antes de que causen da\u00f1o.<\/p>\n Los streams alternativos de datos son fragmentos ocultos de informaci\u00f3n almacenados dentro de archivos normales en sistemas Windows. THOR identifica estos ADS mediante su tecnolog\u00eda de detecci\u00f3n de anomal\u00edas, ayudando a descubrir intentos de ocultar malware u otros contenidos maliciosos.<\/p>\n El matching de IOC permite comparar hashes, nombres de dominio y direcciones IP contra bases de datos de inteligencia sobre amenazas en tiempo real. Esto ayuda a THOR a identificar r\u00e1pidamente si un elemento encontrado en un sistema ya ha sido asociado con actividades maliciosas previas.<\/p>\n La nueva salida JSON v2 facilita la integraci\u00f3n de THOR con sistemas SIEM, permitiendo un intercambio de datos m\u00e1s eficiente y preciso entre ambas plataformas. Esto mejora la capacidad de respuesta ante incidentes de seguridad.<\/p>\n Los selectores de inicio permiten realizar escaneos espec\u00edficos dirigidos a campa\u00f1as o amenazas particulares, optimizando as\u00ed los recursos y mejorando la eficacia de la detecci\u00f3n seg\u00fan el contexto de cada situaci\u00f3n.<\/p>\n Nextron ofrece con THOR Lite<\/a> una versi\u00f3n gratuita destinada a analistas independientes. Desde 2025, THOR Lite incluye tambi\u00e9n el escaneo de archivos (docx, xlsx, jar, war) e integra el cat\u00e1logo de reglas YARA-Forge, que cuenta con m\u00e1s de 11.000 reglas p\u00fablicas.<\/p>\n La versi\u00f3n completa, THOR 10, est\u00e1 dirigida a empresas y proveedores de servicios de seguridad gestionados (MSSP). Proporciona gesti\u00f3n centralizada a trav\u00e9s del Centro de Gesti\u00f3n ASGARD, escaneos automatizados, conjuntos de reglas ampliados e integraci\u00f3n con Velociraptor para realizar escaneos paralelos en cientos de sistemas. Los resultados de THOR se exportan en formato JSON, CSV o informe HTML, y pueden integrarse en sistemas SIEM como Splunk, Elastic y QRadar.<\/p>\n Fundaci\u00f3n:<\/strong> 2017, Dietzenbach (\u00e1rea metropolitana de Fr\u00e1ncfort)<\/p>\n Gesti\u00f3n empresarial:<\/strong> Marc Hirtz (CEO desde mayo de 2024), Florian Roth (CTO), Helge Hofmeister<\/p>\n Equipo:<\/strong> 11 a 50 empleados, especializados en Detecci\u00f3n de Amenazas<\/p>\n Clientes:<\/strong> M\u00e1s de 500 clientes empresariales en m\u00e1s de 30 pa\u00edses<\/p>\n Propietario:<\/strong> BID Equity (desde febrero de 2023)<\/p>\n Plataformas:<\/strong> Windows, Linux, macOS<\/p>\n Eslogan:<\/strong> \u00abDetectamos a los piratas inform\u00e1ticos\u00bb<\/p>\n<\/div>\n No. THOR y EDR se complementan. EDR protege en tiempo real y detecta ataques en curso. THOR encuentra huellas de compromisos anteriores que no fueron detectados por el EDR. En la pr\u00e1ctica, THOR se utiliza tras un caso sospechoso o como evaluaci\u00f3n peri\u00f3dica para asegurarse de que ning\u00fan atacante est\u00e9 operando sin ser detectado en la red.<\/p>\n Var\u00eda entre 30 minutos y varias horas, dependiendo del sistema y la configuraci\u00f3n. Un servidor Windows t\u00edpico se escanea en 60 a 90 minutos. Con el Centro de Gesti\u00f3n ASGARD y Velociraptor es posible escanear cientos de sistemas de forma paralela.<\/p>\n THOR Lite es gratuito para analistas individuales y contiene escaneo de archivos y reglas YARA-Forge. La versi\u00f3n completa THOR 10 ofrece gesti\u00f3n centralizada (ASGARD), escaneos automatizados, conjuntos de reglas ampliados del feed Valhalla y la posibilidad de ejecutar escaneos en cientos de sistemas de forma paralela mediante Velociraptor.<\/p>\n Sigma es un est\u00e1ndar abierto para reglas de detecci\u00f3n basadas en registros, co-desarrollado por Florian Roth y Thomas Patzke. Las reglas Sigma se pueden traducir a varios lenguajes de consulta de SIEM (Splunk, Elastic, QRadar, Microsoft Sentinel). Los equipos SOC pueden utilizarlas para escribir y compartir l\u00f3gica de detecci\u00f3n independiente del proveedor.<\/p>\n S\u00ed. NIS2 (en vigor en Alemania desde diciembre de 2025) exige a las entidades afectadas medidas t\u00e9cnicas adecuadas para la detecci\u00f3n de incidentes de seguridad. Evaluaciones peri\u00f3dicas de compromiso con herramientas como THOR pueden formar parte de una estrategia de detecci\u00f3n conforme a NIS2, especialmente en entornos Air-Gapped o KRITIS, donde las soluciones EDR basadas en la nube no son aplicables.<\/p>\n Fuente imagen principal: Pexels \/ MART PRODUCTION<\/em><\/p>\n M\u00e1s servicios, casos de uso y contexto pr\u00e1ctico est\u00e1n disponibles en synaforce para servicios de datacenter e infraestructura<\/a>.<\/p>\n\u00bfQu\u00e9 es THOR y c\u00f3mo funciona?<\/h3>\n
\u00bfPor qu\u00e9 es importante utilizar THOR tras un incidente de seguridad?<\/h3>\n
\u00bfNecesito tener conocimientos t\u00e9cnicos avanzados para usar THOR?<\/h3>\n
\u00bfPuedo usar THOR en m\u00faltiples sistemas simult\u00e1neamente?<\/h3>\n
\u00bfTHOR requiere conexi\u00f3n a internet durante su funcionamiento?<\/h3>\n
Lo m\u00e1s importante en resumen<\/h2>\n
\n
\u00bfQu\u00e9 es THOR Nextron Systems?<\/h2>\n
El problema: Lo que EDR no detecta<\/h2>\n
Qu\u00e9 hace diferente a THOR<\/h2>\n
\n
\nFlorian Roth, CTO de Nextron Systems (@cyb3rops, 2025)<\/cite>\n<\/p><\/blockquote>\nFlorian Roth: El cerebro detr\u00e1s de THOR<\/h2>\n
Arquitectura t\u00e9cnica de THOR<\/h2>\n
\n– THOR 10.7 utiliza m\u00faltiples m\u00e9todos de detecci\u00f3n, incluyendo YARA, Sigma, detecci\u00f3n de anomal\u00edas y matching de IOC.
\n– Incorpora mejoras como el escaneo de archivos mapeados en memoria y una nueva salida JSON para facilitar la integraci\u00f3n con sistemas de gesti\u00f3n de seguridad.
\n– Ofrece capacidades avanzadas para detectar amenazas sofisticadas, como malware conocido, patrones an\u00f3malos y streams alternativos de datos.<\/p>\n\u00bfQu\u00e9 es THOR?<\/h3>\n
\u00bfC\u00f3mo funciona el escaneo con YARA en THOR?<\/h3>\n
\u00bfQu\u00e9 son las reglas Sigma en THOR?<\/h3>\n
\u00bfQu\u00e9 son los streams alternativos de datos (ADS) y c\u00f3mo los detecta THOR?<\/h3>\n
\u00bfPor qu\u00e9 es importante el matching de IOC en THOR?<\/h3>\n
\u00bfQu\u00e9 ventajas ofrece la nueva salida JSON v2 en THOR 10.7?<\/h3>\n
\u00bfPara qu\u00e9 sirven los selectores de inicio en THOR 10.7?<\/h3>\n
THOR Lite frente a THOR Full<\/h2>\n
Hechos clave: Nextron Systems<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfReemplaza THOR un sistema EDR?<\/h3>\n
\u00bfCu\u00e1nto dura un escaneo con THOR?<\/h3>\n
\u00bfCu\u00e1l es la diferencia entre THOR Lite y THOR Full?<\/h3>\n
\u00bfQu\u00e9 es Sigma y por qu\u00e9 es relevante para los operadores de SIEM?<\/h3>\n
\u00bfEs THOR relevante para empresas de KRITIS bajo NIS2?<\/h3>\n
Recomendaciones de lectura de la redacci\u00f3n<\/h2>\n
\n
M\u00e1s contenido de la red de medios MBF<\/h2>\n
\n
M\u00e1s sobre este tema de synaforce<\/h2>\n
\n