Nos hacemos eco de una nueva amenaza, un ransomware, que tiene la capacidad de deshabilitar Microsoft Defender, el antivirus preinstalado en Windows. Esta amenaza es significativa, ya que podría bloquear el acceso a todos tus archivos. A continuación, te explicaremos cómo opera y qué medidas puedes tomar para protegerte de este tipo de software malicioso, así como de otras amenazas similares que puedan poner en riesgo tu seguridad.
Este hallazgo ha sido realizado por expertos en seguridad de Guidepoint Security. En un comunicado emitido el 5 de agosto, alertan sobre esta amenaza, conocida como Akira, y cómo es capaz de desactivar el antivirus de Windows para operar en el sistema. El ransomware es un problema bastante común en línea, y el objetivo de los cibercriminales es cifrar los archivos o detener el sistema para pedir un rescate a cambio de su liberación.
Ransomware Akira
De acuerdo con los análisis de los investigadores, este ransomware aprovecha un controlador legítimo de optimización de CPU de Intel para desactivar Microsoft Defender. En concreto, el controlador involucrado es rwdrv.sys. Este controlador puede ser utilizado para cargar un segundo controlador, hlpdrv.sys, que es una herramienta maliciosa, permitiendo así el control del antivirus.
Al ejecutarse este segundo controlador, que se registra como un servicio, modifica la configuración de DisableAntiSpyware de Windows Defender en REGISTRYMACHINESOFTWAREPoliciesMicrosoftWindows DefenderDisableAntiSpyware. Esto se logra mediante la ejecución de regedit.exe, lo que permite alterar el registro de Windows.
El informe de Guidepoint Security confirma la identificación de esta técnica en ataques del ransomware Akira desde el 15 de julio de 2025. Fuentes de telemetría de SonicWall, en su informe de amenazas del Q3-2025, respaldan esta actividad, habiendo documentado 47 incidentes de explotación activa hasta la fecha, con un aumento del 30% en la última semana.
Están empleando diversos métodos para propagar este tipo de malware. Uno de los métodos más comunes es el envenenamiento SEO, que implica el uso de páginas maliciosas, ya sea creadas desde cero o atacando sitios legítimos, para engañar a la víctima. Logran posicionarse en los primeros resultados de los motores de búsqueda, atrayendo así a la víctima. Una vez en el sitio, descargan archivos fraudulentos.
Cómo protegerte
Para protegerte, lo más fundamental es tener cuidado al descargar archivos e instalar aplicaciones. Es crucial que siempre lo hagas desde fuentes oficiales. Nunca instales una aplicación si la descargaste de sitios de terceros, ya que pueden ser fraudulentas y contener algún tipo de malware, como el ransomware Akira.
También es esencial mantener todo actualizado. En muchos casos, los atacantes explotan vulnerabilidades que pueden existir en el sistema operativo o en aplicaciones instaladas. Asegúrate de tener los últimos parches instalados para evitar riesgos que puedan comprometer tu seguridad y privacidad.
Respecto al antivirus que utilices, es importante contar con un software de calidad que realmente te brinde protección en Internet. Verifica que esté correctamente actualizado y configurado. Alternativas como Avast o Bitdefender son algunas de las más reconocidas.
Protección contra el ransomware Akira
| Acción Recomendada | Efectividad / Detalle Técnico | Fuente / Referencia |
|---|---|---|
| Habilitar ‘Tamper Protection’ | Previene la modificación no autorizada de las claves de registro de Defender. | Documentación de Microsoft |
| Usar Controles de Integridad de Código (WDAC) | Bloquea la ejecución de controladores no firmados o no autorizados como hlpdrv.sys. | Guía de Hardening de la NSA |
| Actualizar Firmas de Antivirus | Las firmas más recientes de Defender (post-agosto 2025) detectan el hash de hlpdrv.sys. | Microsoft Security Intelligence |
Desde INCIBE, el Instituto Nacional de Ciberseguridad, ofrecen consejos sobre cómo actuar en caso de un ataque de ransomware. Es crucial actuar de manera correcta, pero también es vital la prevención. Nunca se debe pagar un rescate, ya que no garantiza la recuperación de los archivos ni el control del equipo.
En resumen, una nueva amenaza de seguridad afecta a Windows. El ransomware Akira tiene la capacidad de desactivar incluso el antivirus de Windows. Principalmente, es crucial instalar software únicamente desde fuentes oficiales y evitar cometer errores.
Preguntas frecuentes
¿Cómo pueden infectar mi ordenador?
Podrían introducir malware al descargar un archivo malicioso que te envían por correo, instalar un programa falso o a través de páginas web fraudulentas.
¿Me protege un antivirus de todas las amenazas?
Un antivirus es útil para detectar y eliminar malware, pero no te protegerá de todas las amenazas que existen en Internet, como los ataques de phishing.
¿Afecta este ransomware a otros sistemas operativos?
El ransomware Akira está diseñado específicamente para Windows. Por lo tanto, no afectaría a otros sistemas operativos, aunque hay otras amenazas similares que pueden.
