{"id":303,"date":"2026-03-19T20:22:00","date_gmt":"2026-03-19T20:22:00","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/19\/54-asesinos-de-edr-utilizan-byovd-para-explotar-34-controladores-vulnerables-firmados-y-desactivar-la-seguridad-cyberdefensa-mx\/"},"modified":"2026-03-19T20:22:00","modified_gmt":"2026-03-19T20:22:00","slug":"54-asesinos-de-edr-utilizan-byovd-para-explotar-34-controladores-vulnerables-firmados-y-desactivar-la-seguridad-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/19\/54-asesinos-de-edr-utilizan-byovd-para-explotar-34-controladores-vulnerables-firmados-y-desactivar-la-seguridad-cyberdefensa-mx\/","title":{"rendered":"54 asesinos de EDR utilizan BYOVD para explotar 34 controladores vulnerables firmados y desactivar la seguridad \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un nuevo an\u00e1lisis de los asesinos de detecci\u00f3n y respuesta de puntos finales (EDR) ha revelado que 54 de ellos aprovechan una t\u00e9cnica conocida como trae tu propio controlador vulnerable (BYOVD) al abusar de un total de 34 controladores vulnerables.<\/p>\n

Los programas asesinos de EDR han sido una presencia com\u00fan en las intrusiones de ransomware, ya que ofrecen una forma para que los afiliados neutralicen el software de seguridad antes de implementar malware de cifrado de archivos. Esto se hace en un intento de evadir la detecci\u00f3n.<\/p>\n

\u00abLas bandas de ransomware, especialmente aquellas con programas de ransomware como servicio (RaaS), frecuentemente producen nuevas compilaciones de sus cifradores, y garantizar que cada nueva compilaci\u00f3n pase desapercibida de manera confiable puede llevar mucho tiempo\u00bb, dijo el investigador de ESET Jakub Sou\u010dek. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n

\u00abM\u00e1s importante a\u00fan, los cifradores son inherentemente muy ruidosos (ya que inherentemente necesitan modificar una gran cantidad de archivos en un per\u00edodo corto); hacer que dicho malware no sea detectado es bastante desafiante\u00bb.<\/p>\n

Los asesinos de EDR act\u00faan como un componente externo especializado que se ejecuta para desactivar los controles de seguridad antes de ejecutar los casilleros, manteniendo as\u00ed estos \u00faltimos simples, estables y f\u00e1ciles de reconstruir. Eso no quiere decir que no haya habido casos en los que los m\u00f3dulos de ransomware y terminaci\u00f3n EDR se hayan fusionado en un solo binario. El ransomware Reynolds es un ejemplo de ello.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La mayor\u00eda de los asesinos de EDR dependen de conductores leg\u00edtimos pero vulnerables para obtener privilegios elevados y lograr sus objetivos. Entre las casi 90 herramientas asesinas de EDR detectadas por la empresa de ciberseguridad eslovaca, m\u00e1s de la mitad utilizan la conocida t\u00e1ctica BYOVD simplemente porque es confiable.<\/p>\n

\u00abEl objetivo de un Ataque BYOVD<\/a> es obtener privilegios en modo kernel, a menudo llamado Anillo 0\u2033, Bitdefender explica<\/a>. \u00abEn este nivel, el c\u00f3digo tiene acceso ilimitado a la memoria y al hardware del sistema. Dado que un atacante no puede cargar un controlador malicioso no firmado, ‘trae’ un controlador firmado por un proveedor de confianza (como un fabricante de hardware o una versi\u00f3n antigua de antivirus) que tiene una vulnerabilidad conocida\u00bb.<\/p>\n

Armados con el acceso al kernel, los actores de amenazas pueden finalizar procesos EDR, deshabilitar herramientas de seguridad, alterar las devoluciones de llamadas del kernel y socavar las protecciones de los endpoints. El resultado es un abuso del modelo de confianza del conductor de Microsoft para evadir las defensas, aprovechando el hecho de que el conductor vulnerable es leg\u00edtimo y est\u00e1 firmado.<\/p>\n

Los asesinos de EDR basados \u200b\u200ben BYOVD son desarrollados principalmente por tres tipos de actores de amenazas:<\/p>\n