Lo que pasó en Aegis Logistics con aquel ransomware no tendría que haber sido posible. El equipo de IT juraba que todos los equipos tenían el antivirus al día. Aun así, un único adjunto de factura malicioso se coló, cifró 12 terabytes de datos operativos y dejó los envíos parados cinco días. El informe forense fue demoledor: la variante del malware tenía solo 36 horas, iba empaquetada para parecer inofensiva, y se escurrió ante todos los controles tradicionales.
Si el antivirus ya no es capaz de frenar las amenazas modernas, ¿qué lo hace? Es la pregunta que no deja dormir a los CISO. La respuesta empieza por entender cómo funciona de verdad un antivirus, por qué los atacantes hace tiempo que juegan a otra cosa, y dónde brillan la isolation y la defensa por capas.
Cómo funciona el antivirus clásico
Durante décadas el antivirus fue la primera línea de defensa en equipos personales y corporativos. Su éxito dependía de reconocer archivos maliciosos conocidos antes de que llegaran a ejecutarse. Para ver bien las grietas conviene repasar sus tres métodos de detección principales.
El signature matching compara hashes de archivo contra una base que mantiene el fabricante. Si el hash coincide, el archivo se bloquea. Rápido y preciso con amenazas conocidas, e inservible en cuanto el malware muta.
El análisis heurístico se fija en la estructura del archivo y en su comportamiento. Un documento que intenta lanzar PowerShell o tocar el registry hace saltar la alarma. Es como tratar de detectar a alguien sospechoso entre la multitud: acaba produciendo un flujo constante de falsos positivos.
El sandboxing de comportamiento detona archivos sospechosos en una sandbox local y observa las acciones maliciosas. Eficaz contra amenazas nuevas, pero pesado para la CPU y esquivado de forma rutinaria por malware que detecta las condiciones de sandbox.
Estas técnicas eran temibles cuando los autores de malware reciclaban las mismas payloads. Hoy los atacantes ven el antivirus como un obstáculo básico que hay que sortear, no como una barrera real. Iteran más deprisa de lo que los defensores tardan en actualizar firmas.
Por qué el antivirus falla en 2025
El malware moderno está diseñado para colarse por debajo de las protecciones centradas en archivos y comportamientos conocidos. Los atacantes convierten el browser en su vehículo de entrega, tiran de payloads fileless y aprovechan zero-days que los fabricantes todavía no han visto.
La ventana zero-day y N-day. Según Mandiant, el tiempo medio entre la divulgación de una vulnerabilidad y su explotación masiva bajó a 6 días en 2024. A la mayoría de las organizaciones les cuesta semanas desplegar los parches. Los autores de malware viven precisamente en ese hueco. El zero-day de Chrome de mayo de 2025 (CVE-2025-1023) apareció armado en campañas de phishing 48 horas después de descubrirse. El antivirus no señaló las páginas maliciosas porque, sencillamente, aún no existían firmas.
Malware polimórfico. Los kits de malware ya vienen con motores polimórficos que cambian el hash de la payload en cada descarga. Una sola campaña de phishing puede generar 10 000 ejecutables únicos en un día. La detección signature-based se viene abajo en cuanto no hay una huella estable que reconocer. IBM X-Force registró un aumento del 300 % en familias de ransomware polimórfico entre 2023 y 2025.
Ataques fileless y living-off-the-land. En lugar de soltar un EXE malicioso, los atacantes tiran de herramientas legítimas que ya están en el sistema (PowerShell, WMI, macros de Office). La payload vive en memoria y se apoya en procesos de confianza. FIN7 pivotó a los ataques fileless en 2024 y vio cómo subían sus tasas de éxito, porque la seguridad endpoint casi nunca examina al detalle las herramientas legítimas de admin.
Si a eso le sumas el factor humano (empleados pinchando en facturas urgentes, analistas investigando enlaces dudosos, developers pillando herramientas de terceros), ya tienes la tormenta perfecta. El antivirus quizá cace las amenazas de ayer. Los atacantes ya están fabricando las de mañana.
Radiografía de la amenaza moderna
Para los cibercriminales el browser es la puerta de entrada universal. Es la capa donde el ser humano y la web chocan, terreno fértil para ingeniería social, drive-by downloads y scripts maliciosos que disparan procesos invisibles.
nuevos samples maliciosos (AV-TEST, T3 2025). La mayoría nunca recibirá firma.
de los incidentes de ransomware empiezan con una sesión en el browser (Verizon DBIR 2025)
tiempo medio para desplegar parches críticos de browser a toda la empresa (Gartner 2025)
de los incidentes de seguridad involucran un factor humano (Verizon DBIR 2025)
El antivirus sigue siendo parte del stack, pero sus límites cantan. Los responsables de seguridad buscan cómo sacar al browser (la aplicación más atacada) fuera de la zona de tiro sin entorpecer a los empleados. Ahí es donde entra en juego la isolation.
Por qué la isolation cierra el hueco
El antivirus intenta reconocer y frenar código malicioso. La isolation del browser cambia las reglas: asume que el código puede ser malicioso y lo mantiene lejos de tu dispositivo. En lugar de confiar en la detección, confías en la arquitectura.
Esa arquitectura tiene cuatro piezas. Ejecución remota ejecuta cada sitio, cada script y cada descarga dentro de un contenedor aislado en la nube; a tu dispositivo solo llega un flujo de render seguro. Las sesiones efímeras son de un solo uso, así que tras cerrar no quedan cookies, historial ni footholds.
El zero-trust browsing da por hecho que cualquier pestaña puede ser hostil e impone la contención del blast radius, para que un zero-day no llegue a tu máquina local. El manejo seguro de archivos abre antes las descargas sospechosas dentro del browser aislado, lo que mantiene al ransomware fuera del endpoint incluso cuando el usuario pincha.
En lugar de depender de las actualizaciones de threat intelligence, la isolation traza un foso alrededor de tus empleados. El antivirus sigue jugando su papel (sobre todo en riesgos por USB y aplicaciones legacy), pero ya no es tu único punto de fallo. La analogía ayuda: piensa en el antivirus como el cinturón de seguridad y en la isolation como el airbag. Funcionan a tope cuando están los dos.
Caso de estudio: la reconstrucción de Aegis Logistics
¿Te acuerdas de Aegis Logistics, la empresa que dejó tiesa una factura maliciosa? Su revisión posterior al incidente ofrece un plano claro para aprender del fallo.
La causa raíz era de manual. Un email de phishing esquivó el secure email gateway, y el adjunto soltó un loader polimórfico que evadió el antivirus endpoint cambiando su hash al descargarse. Los factores agravantes empeoraron el destrozo. Las firmas del antivirus iban 24 horas atrasadas por un rollout escalonado. Finanzas compartía puestos con privilegios elevados y unidades mapeadas. Los enlaces sospechosos no tenían un workflow seguro de inspección, así que los analistas los abrían en local.
La respuesta tras la brecha fue estructural, no cosmética. Finanzas, compras y seguridad llevaron las investigaciones de phishing a Browser.lol. El antivirus se mantuvo corriendo junto al EDR con políticas de isolation obligatorias. Todos los workflows de alto riesgo exigen ahora sesiones virtuales desechables antes de tocar la red. El tiempo medio de detección de intentos de phishing bajó de 9 horas a 45 minutos. La empresa encadena 11 meses sin un solo incidente de contención con origen en el browser. El antivirus sigue ahí, pero ya nadie cuenta solo con él.
Un plan de acción a 30 días
Apóyate en esta hoja de ruta para alinear a los stakeholders, lanzar la isolation y enseñar resultados rápidos.
Semana 1: evaluar y comunicar
Saca los últimos 12 meses de incidentes en los que el antivirus falló o avisó tarde. Mapea los workflows que arrancan en el browser en finanzas, RRHH, seguridad y los equipos de producto. Brief a la dirección sobre el hueco que deja el antivirus usando los números de arriba como punto de partida.
Semana 2: lanzar un piloto
Provisiona sesiones de Browser.lol para los roles de alto riesgo (aprobadores de finanzas, analistas SOC). Crea un atajo en Slack o Teams llamado «enlace seguro» que mande las URL a sesiones aisladas. Anota el tiempo ahorrado y los incidentes contenidos para compartirlos con los stakeholders.
Semana 3: integrar y automatizar
Conecta Browser.lol con tu identity provider, el logging SIEM y los sistemas de ticketing. Automatiza el triaje de phishing para que los adjuntos se abran en isolation por defecto. Actualiza los runbooks de incident response para incluir los pasos de investigación en aislamiento.
Semana 4: ampliar cobertura
Forma a más departamentos con demos grabadas durante el piloto. Fija objetivos trimestrales para reducir los incidentes con origen en el browser. Lleva al board un informe breve con los avances para asegurar la inversión continuada.
Empieza hoy a montar una defensa por capas
Para las defensas tradicionales, el malware moderno no es un combate justo. Los atacantes iteran más rápido, convierten el browser en arma y se camuflan en el tráfico normal. El antivirus sigue contando, pero necesita refuerzos, sobre todo en primera línea, donde las personas pinchan en enlaces y abren adjuntos.
La isolation del browser trae una filosofía nueva: da por hecho que va a haber compromiso y mantenlo contenido. Las organizaciones que están funcionando en 2025 son las que diseñan la seguridad para cómo trabaja de verdad la gente, que es curiosa, colaborativa y, a veces, despistada. Dales una red de seguridad que no dependa de adivinar qué archivo es malicioso.
Llévate un escritorio entero a cualquier dispositivo
Prueba Browser.lol gratis y trabaja como en un PC desde el móvil.
Abrir mi navegador en la nubeSin descargas • Funciona en cualquier dispositivo
