La detección basada en firmas es útil, pero insuficiente frente a malware moderno. Lo que realmente te protege es tu capacidad de reconocer patrones anómalos. Un archivo puede parecer legítimo, pero un proceso que abre puertos inusuales, crea subprocesos irregularmente o modifica directorios del sistema sin razón es una alerta clara.
La clave es establecer una línea base: ¿cómo se comporta tu sistema en condiciones normales? Sin esa referencia, es difícil identificar lo raro. Usa herramientas que registren I/O, conexiones y modificaciones en el registro o sistema de archivos. Cuando algo se desvíe de la línea base, investígalo aunque parezca menor.
Tip extra: si un proceso intenta persistencia en más de un método, elimínalo antes de que evolucione.
¿Cuál es el comportamiento más extraño que has visto en un sistema recientemente?
Leave a Reply