{"id":173933,"date":"2025-09-01T16:59:18","date_gmt":"2025-09-01T16:59:18","guid":{"rendered":"https:\/\/www.redeszone.net\/noticias\/seguridad\/ataques-desactivan-funciones-windows-defender-evitar\/"},"modified":"2025-09-01T16:59:18","modified_gmt":"2025-09-01T16:59:18","slug":"estan-desactivando-funciones-de-windows-defender-y-eso-es-un-problema-para-tu-seguridad","status":"publish","type":"post","link":"http:\/\/cordobadirecto.com\/index.php\/2025\/09\/01\/estan-desactivando-funciones-de-windows-defender-y-eso-es-un-problema-para-tu-seguridad\/","title":{"rendered":"Est\u00e1n desactivando funciones de Windows Defender y eso es un problema para tu seguridad"},"content":{"rendered":"
\n

Nuevos ataques afectan a Microsoft Defender<\/strong>, el antivirus que viene instalado de forma predeterminada con las versiones m\u00e1s recientes del sistema operativo de Windows. Jonathan Beierle, investigador de seguridad inform\u00e1tica, ha publicado en su web, el pasado 28 de agosto, un informe<\/a> donde habla de c\u00f3mo est\u00e1n explotando las pol\u00edticas de Control de Aplicaciones de Windows Defender para desactivar los agentes de Detecci\u00f3n y Respuesta de Endpoints, m\u00e1s conocidos como EDR (por sus siglas en ingl\u00e9s).<\/p>\n<\/div>\n

<\/p>\n

Esto comenz\u00f3 como una prueba de concepto que se public\u00f3 en diciembre de 2024. Originalmente se denomin\u00f3 \u00abKrueger\u00bb<\/strong>. Lo que hac\u00eda era bloquear selectivamente archivos ejecutables y controladores pertenecientes a los principales proveedores de EDR, como CrowdStrike, SentinelOne, Symantec, Tanium o Microsoft Defender Endpoint.<\/p>\n

Amenaza para Windows Defender<\/h2>\n

El problema es, que esta prueba de concepto se ha convertido en una amenaza activa, que utilizan pol\u00edticas abusivas para evadir la detecci\u00f3n y bloquear por completo las herramientas de seguridad. Esto significa que, aunque tengas un antivirus instalado, no va a funcionar correctamente para detectar y eliminar determinadas amenazas de seguridad.<\/p>\n

Esto puede provocar que Krueger impida que los servicios y controladores de EDR se carguen en el sistema objetivo. Esto lo consiguen al colocar la pol\u00edtica en la carpeta CodeIntegrity<\/strong> y activar una actualizaci\u00f3n de la pol\u00edtica de grupo.<\/p>\n

<\/span><\/p>\n

Tras la divulgaci\u00f3n, los piratas inform\u00e1ticos comenzaron a implementar Krueger en la red. Los investigadores han detectado varias muestras nuevas de Krueger, incluyendo los hashes SHA-256 90937b3a64cc834088a0628fda9ce5bd2855bedfc76b7a63f698784c41da4677 y a795b79f1d821b8ea7b21c7fb95d140512aaef5a186da49b9c68d8a3ed545a89.<\/p>\n

El an\u00e1lisis de estas muestras, ha revelado un conjunto com\u00fan de reglas de bloqueo que se dirigen a rutas de archivos EDR y nombres de controladores, vinculados a los servicios principales de Microsoft Defender, el antivirus de Windows. Con esto, ha surgido una nueva familia de malware que han denominado \u201cDreamDemon\u00bb<\/strong>.<\/p>\n

Krueger est\u00e1 escrito en .NET<\/strong>, pero DreamDemon est\u00e1 escrito en C++<\/strong>. Cuando se ejecuta, como indican los investigadores de seguridad, escribe la pol\u00edtica en C:WindowsSystem32CodeIntegritySiPolicy.p7b.<\/p>\n

\"Logo\n<\/picture>
Mensaje de alerta por malware \/ Foto: i-Tech Support<\/figcaption><\/figure>\n

C\u00f3mo evitar problemas<\/h2>\n

Los investigadores de seguridad, han indicado que para contrarrestar esta amenaza, los equipos de seguridad deben supervisar las claves de registro de Windows DeviceGuard<\/strong> (ConfigCIPolicyFilePath y DeployConfigCIPolicy) para detectar implementaciones de pol\u00edticas no habituales.<\/p>\n

Entre otras cosas, puede ocurrir que un archivo .PDF<\/strong> se haga pasar por un binario de WDAC. Es clave tambi\u00e9n revisar muy bien qu\u00e9 tipo de archivos descargas y no cometer errores si, por ejemplo, te env\u00edan alguno malicioso por correo electr\u00f3nico. No basta con tener un antivirus instalado, sino que es clave mantener el sentido com\u00fan.<\/p>\n

Tambi\u00e9n te recomendamos que tengas actualizado tu sistema<\/strong>, lo cual ayudar\u00e1 a los antivirus a detectar las amenazas m\u00e1s recientes y corregir vulnerabilidades que pueda haber en tu sistema. Aseg\u00farate siempre de contar con las \u00faltimas versiones disponibles, sea cual sea el tipo de programa que vayas a utilizar.<\/p>\n

En definitiva, un nuevo problema afecta a Microsoft Defender. Se trata de una prueba de concepto originaria, que est\u00e1n utilizando ya en diferentes variedades de malware para lograr que el antivirus no act\u00fae correctamente. Es imprescindible tomar medidas preventivas, como es tener el sistema actualizado y no cometer errores.<\/p>\n

\n

Preguntas frecuentes <\/h2>\n
\n \u00bfEs suficiente con tener Windows Defender instalado?<\/span> <\/summary>\n

Tener un antivirus, es muy importante. Sin embargo, no es suficiente para mantener la seguridad. Necesitas evitar cometer errores y tener todo actualizado. <\/p>\n<\/details>\n

\n \u00bfQu\u00e9 pasa si Windows Defender deja de funcionar bien?<\/span> <\/summary>\n

Podr\u00edan infectar tu equipo con un malware y no vas a poder detectarlo, por lo que robar\u00e1n tus datos y contrase\u00f1as. <\/p>\n<\/details>\n

\n \u00bfQu\u00e9 puedo hacer para evitar malware?<\/span> <\/summary>\n

Aseg\u00farate de instalar \u00fanicamente programas oficiales. Revisa tambi\u00e9n que tienes todo actualizado y no hagas clic en enlaces peligrosos. <\/p>\n<\/details>\n<\/section>\n

<\/span><\/div>\n","protected":false},"excerpt":{"rendered":"

Nuevos ataques afectan a Microsoft Defender, el antivirus que viene instalado de forma predeterminada con las versiones m\u00e1s recientes del sistema operativo de Windows. Jonathan Beierle, investigador de seguridad inform\u00e1tica, ha publicado en su web, el pasado 28 de agosto, un informe donde habla de c\u00f3mo est\u00e1n explotando las pol\u00edticas de Control de Aplicaciones de […]<\/p>\n","protected":false},"author":1,"featured_media":173934,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/173933"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=173933"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/173933\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/173934"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=173933"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=173933"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=173933"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}