El término “virus informático” en las empresas europeas se usa a menudo como denominación genérica para cualquier software malicioso. Técnicamente es, sin embargo, una categoría estrecha dentro del concepto más amplio de malware — y en 2026 representa solo una pequeña fracción de las amenazas reales. Este artículo desglosa el panorama de amenazas y ofrece recomendaciones concretas para las pymes europeas.
Para el contexto más amplio de ciberdefensa, consulte el artículo pilar Ciberseguridad de los datos empresariales.
Tipología de malware: qué es qué
Virus (definición estricta)
El significado original — un programa que se propaga adjuntándose a otros archivos y requiere la acción del usuario (apertura del archivo infectado). El virus de PC clásico de los años 90 que infectaba archivos .exe en disquetes.
En 2026: amenaza marginal. Los SO modernos tienen controles antimalware; los virus de archivos son detectados mayoritariamente en el momento de escritura.
Gusano (worm)
Malware autopropagante — no necesita un archivo huésped, se propaga solo a través de vulnerabilidades de red. Ejemplos clásicos: WannaCry (2017, explotó la vulnerabilidad EternalBlue del protocolo SMB), NotPetya (2017, ataque devastador contra Maersk).
En 2026: los sistemas operativos de red están mejor parcheados tras WannaCry/NotPetya, pero sigue siendo una amenaza con infraestructuras legacy (Windows Server 2012, puertas VPN sin actualizar).
Troyano
Disfrazado de software legítimo. El vector de entrada más frecuente en 2026 — el usuario descarga software “crackeado”, un “convertidor de PDF gratuito” o abre un adjunto infectado. El troyano, al ejecutarse, realiza una acción maliciosa (a menudo instala más malware — ransomware, info-stealer).
Subcategorías:
- Banker trojan — roba credenciales bancarias. Ejemplos: Emotet, TrickBot, QakBot.
- RAT (Remote Access Trojan) — acceso remoto del atacante al dispositivo.
- Dropper — solo instala otro malware; por sí mismo parece “limpio”.
Ransomware
El rey de las ciberamenazas en 2026. Cifra los archivos del dispositivo y/o la red, exige un rescate por la clave de descifrado. El ransomware moderno tiene a menudo doble extorsión — si no paga, publican los datos.
Los principales grupos de ransomware activos en la UE en 2025/2026: LockBit (el más activo), BlackCat/ALPHV, Cl0p, Royal, Akira. Se dirigen a empresas medianas con facturación de 10-100 millones EUR.
Daño promedio de un incidente de ransomware para una pyme europea: 80.000-350.000 EUR.
Spyware y stealer
- Spyware — recopila datos sobre el usuario (pulsaciones de teclas, capturas de pantalla, historial del navegador).
- Info-stealer — spyware especializado en la exfiltración de credenciales. Ejemplos: RedLine, Vidar, Raccoon. Tras la infección, el atacante vende las credenciales corporativas en la dark web (típicamente 5-50 USD por registro).
Rootkit
Oculta su presencia a nivel profundo del SO. A menudo persiste incluso después de reinstalar el sistema (rootkits de firmware). La detección requiere herramientas especializadas (Microsoft Defender Offline scan, GMER, Malwarebytes Anti-Rootkit).
Malware sin archivos (fileless malware)
Solo se ejecuta en RAM, no tiene archivo en disco — el antivirus clásico no lo detecta. Utiliza herramientas legítimas del SO (PowerShell, WMI, MSHTA) para operaciones maliciosas. En 2026 representa el 30 % de los ataques avanzados.
Detección: exclusivamente mediante EDR basado en comportamiento.
Cryptominer
Utiliza la potencia de cálculo de los dispositivos de la empresa para minar criptomonedas (típicamente Monero) en beneficio del atacante. Síntomas: ralentización de dispositivos, mayor consumo de energía, desgaste del hardware. Menos dañino que el ransomware, pero a menudo indica un compromiso más amplio.
Vectores de entrada: cómo llega el malware a la empresa
En 2026 dominan tres vectores:
1. Email de phishing (60 % de los incidentes)
El atacante envía un email con adjunto infectado (a menudo .zip, .iso, .docx con macro activada) o con enlace a un exploit kit. Abrir el adjunto o activar la macro lanza el malware.
Defensa:
- Gateway de email con anti-phishing y sandbox para adjuntos (Microsoft Defender for Office 365, Proofpoint, Mimecast)
- Macros deshabilitadas por defecto en las aplicaciones Office
- Reescritura de URL (los clics van a través de un proxy de seguridad)
- Formación de empleados
2. Vulnerabilidades de software (25 %)
El atacante explota una vulnerabilidad sin parchear en el software de la empresa — con más frecuencia:
- Puertas VPN (Fortinet, Pulse Secure, SonicWall — objetivos recurrentes)
- Servidores de email (Exchange ProxyShell, ProxyLogon)
- Aplicaciones web (plugin vulnerable, SQL injection)
- Bugs de driver en Windows / macOS
Defensa:
- Ciclo de parches mensual
- Software EOL reemplazado sin excepción
- Escaneo de vulnerabilidades (Tenable Nessus, Qualys, Rapid7)
3. Credenciales comprometidas (15 %)
El atacante obtiene una contraseña (por phishing, info-stealer, o filtración de otra brecha) e inicia sesión de forma legítima. Sin 2FA, ninguna defensa lo detiene.
Defensa:
- 2FA / passkey obligatorio
- Gestor de contraseñas (elimina la reutilización)
- Monitorización de dark web para credenciales filtradas (Have I Been Pwned, SpyCloud)
EDR vs. antivirus clásico
La decisión tecnológica más importante para la seguridad de endpoints en 2026.
| Aspecto | Antivirus (basado en firmas) | EDR (basado en comportamiento) |
|---|---|---|
| Detección de amenazas conocidas | Sí (~95 %) | Sí (~98 %) |
| Amenazas zero-day | Débil (~30 %) | Buena (~80 %) |
| Malware sin archivos | No | Sí |
| Análisis de comportamiento de ransomware | Limitado | Sí |
| Línea de tiempo forense post-incidente | Mínima | Completa |
| Aislamiento remoto del endpoint | No | Sí (1 clic) |
| Capacidad de threat hunting | No | Sí |
| Precio (por puesto / mes) | 2-5 EUR | 5-15 EUR |
EDR recomendados para pymes europeas:
- Microsoft Defender for Endpoint (a menudo incluido en M365 E5) — mejor valor para empresas ya en el ecosistema Microsoft
- CrowdStrike Falcon — segmento premium
- SentinelOne — fuerte en respuesta autónoma
- ESET PROTECT — buen valor en segmento pyme europeo
- Bitdefender GravityZone — sólido en pymes europeas
Defensa contra ransomware: enfoque de 7 capas
El ransomware es en 2026 la categoría de incidentes más costosa. La defensa debe ser en capas.
Capa 1: Prevención de entrada
- Seguridad de email con sandbox
- Filtrado web (bloqueo de dominios maliciosos)
- Gestión de parches
- 2FA en todos los accesos
Capa 2: Protección de endpoints
- EDR con detección de comportamiento de ransomware
- Lista de aplicaciones permitidas (Microsoft Defender Application Control)
- Funciones arriesgadas deshabilitadas (PowerShell remoting en estaciones de trabajo, macros de internet)
Capa 3: Segmentación de red
- Separación de servidores de producción, red de oficina, IoT
- Sin recursos compartidos administrativos amplios (
\\servidor\admin$) - Microsegmentación en entorno cloud
Capa 4: Endurecimiento de identidades
- PAM (Privileged Access Management) — contraseñas de cuentas admin en un vault
- Admin just-in-time (derechos de admin solo cuando son necesarios)
- 2FA en todas las cuentas admin (passkey idealmente)
Capa 5: Copias de seguridad 3-2-1-1-0
La defensa más importante. Sin copias de seguridad inmutables funcionales, el ransomware puede acabar con el negocio.
- 3 copias de los datos
- 2 soportes diferentes
- 1 copia off-site
- 1 inmutable / air-gapped
- 0 errores en la prueba de recuperación (1 vez al año)
Capa 6: Detección y respuesta
- SOC 24/7 o MDR (Managed Detection and Response)
- Detección de anomalías en indicadores de ransomware (modificación masiva de archivos, patrones de cifrado)
- Runbook de respuesta a incidentes con pasos preparados
Capa 7: Seguro ciber
El seguro ciber cubre parte de los daños directos, costes legales, obligaciones de notificación y a veces el rescate. Precio: 5.000-25.000 EUR anuales para una empresa mediana.
Procedimiento en caso de infección: 5 pasos inmediatos
Si tiene sospechas o certeza de que un dispositivo está infectado:
- Desconectar inmediatamente de la red — desconecte el cable Ethernet, desactive el Wi-Fi. Objetivo: detener la propagación y la comunicación con el servidor de mando y control del atacante.
- No encender ni apagar el dispositivo — conserve el estado de la RAM para el análisis forense. Muchos indicios importantes (árbol de procesos, conexiones de red, claves de descifrado) solo están en la RAM.
- Notificación a IT de inmediato — por teléfono, desde otro dispositivo, desde otro ordenador vía Slack/Teams. Nunca desde el dispositivo infectado.
- No usar otros sistemas corporativos desde el dispositivo — no introduzca contraseñas, no abra el email. Si en las últimas horas ha introducido credenciales, cámbielas inmediatamente desde otro dispositivo.
- IT realizará:
- Análisis forense (alcance del compromiso, indicadores del ataque)
- Aislamiento de la red
- Restablecimiento de credenciales del usuario
- Imagen forense del disco (para una eventual investigación posterior)
- Recuperación desde backup o reinstalación del SO
En caso de ransomware: NO PAGAR el rescate
La Policía, INCIBE y ENISA no recomiendan pagar por tres razones:
- No tiene garantía de recibir una clave funcional — el 35 % de los que pagan no reciben nada o reciben solo una clave parcial.
- Financia futuros ataques — los grupos de ransomware escalan con los ingresos.
- Puede violar la normativa de sanciones de la UE — si el grupo está en la lista de sanciones, el pago es una infracción.
Mejor invertir en recuperación desde backup y en prevención de cara al futuro.
Obligaciones de notificación
En un incidente grave, tiene obligaciones legales de notificación:
- RGPD art. 33 — incidente con riesgo para los derechos de los interesados: AEPD en 72 horas
- RGPD art. 34 — alto riesgo: notificación a los interesados
- NIS2 — sectores regulados: notificación temprana en 24h, notificación oficial en 72h, informe en 1 mes
- DORA — sector financiero: BCE / autoridades nacionales
- Contractual — los clientes suelen tener notificación de 24-72h en sus contratos
Prepare plantillas de notificación con antelación para no perder horas críticas durante un incidente.
Modulario y la defensa contra malware
En Modulario hay medidas integradas que previenen muchos vectores de infección:
- Hosting en la UE con infraestructura certificada ISO 27001 — monitorización de seguridad, EDR en todos los servidores
- Copias de seguridad cifradas con 7 días de inmutabilidad — ransomware desde la infraestructura del proveedor prácticamente descartado
- Sandbox para cargas de archivos — los adjuntos subidos son escaneados
- Rate limiting y detección de anomalías en la API
- Audit log de cada acción para el rastro forense post-incidente
Para medidas más amplias de ciberdefensa corporativa, consulte el artículo pilar Ciberseguridad de los datos empresariales y el artículo Seguridad en internet para empresas.
Preguntas frecuentes
¿Cuál es la diferencia entre un virus y el malware? El malware es el término paraguas para cualquier código malicioso — virus, troyanos, ransomware, spyware, gusanos. El virus es un tipo específico que se propaga adjuntándose a archivos. En 2026, el virus clásico es solo una pequeña parte — dominan los troyanos (90 %) y el ransomware.
¿Me basta con un antivirus clásico? En 2026, no. Los antivirus basados en firmas detectan el 60-70 % de las amenazas. Los EDR modernos con detección de comportamiento capturan también las amenazas zero-day y el malware sin archivos. Para empresas, el EDR es el estándar obligatorio.
¿Qué hacer si un ordenador está infectado? Cinco pasos: (1) desconectar de la red, (2) no encender/apagar — conservar el estado para análisis forense, (3) notificar a IT, (4) no introducir contraseñas desde el dispositivo, (5) IT realiza análisis forense y recuperación. En caso de ransomware: NO PAGAR el rescate.