BOMBA LOGICA

Un virus que se replica automáticamente por la red.

Un fragmento de código que se ejecuta cada vez que el sistema inicia.

Un fragmento de código malicioso que permanece oculto y se activa bajo una condición específica.

Un programa de seguridad diseñado para detectar malware.

Su capacidad para cifrar todos los archivos del usuario.

Su uso exclusivo para robar contraseñas.

Su capacidad de propagarse automáticamente.

Que solo se activa cuando ocurre una condición específica.

Instalación de un antivirus.

Una fecha, hora o evento del sistema.

Conexión a internet.

Cambio de marca del equipo.

Destruir datos.

Alterar operaciones.

Bloquear sistemas.

Robar dinero de cuentas bancarias.

Optimizar el rendimiento del sistema.

Facilitar actualizaciones automáticas.

Facilitar ataques posteriores.

Mejorar la experiencia del usuario.

Consume muchos recursos del sistema.

Se muestra en la pantalla del usuario.

Permanece oculta e inactiva.

Realiza escaneos constantes de red.

La actualización del sistema operativo.

Un ataque de red externo.

La ausencia del mismo empleado en la empresa.

El uso de un dispositivo USB.

Borrar únicamente los accesos directos del escritorio.

Destruir datos y bloquear sistemas.

Actualizar controladores de forma automática.

Instalar aplicaciones legítimas.

La ejecución automática al instalarse.

La detección de un antivirus.

El cumplimiento de un disparador específico.

La desconexión del sistema de la red.

Fecha específica.

Acción del usuario.

Evento del sistema.

Actualización de hardware.

Que se propaga rápidamente por la red.

Que necesita conexión a Internet para funcionar.

Que puede permanecer inactiva por meses o años antes de activarse.

Que se activa cada vez que el sistema inicia.

Porque se ocultan en la memoria RAM del usuario.

Porque desactivan los antivirus antes de actuar.

Porque no ejecutan acciones maliciosas de inmediato.

Porque utilizan cifrado avanzado para comunicarse.

Hackers novatos sin acceso interno.

Usuarios comunes sin privilegios.

Insiders como administradores, programadores o empleados con acceso privilegiado.

Robots automatizados externos.

Instalar programas legítimos.

Optimizar el rendimiento del sistema.

Borrar bases de datos, sobrescribir archivos o cifrar datos.

Aumentar la velocidad del procesador.

La apertura de un puerto de red.

La “muerte del programador” (eliminar su cuenta del sistema).

La instalación de una aplicación nueva.

La modificación del BIOS.

Cambio de mouse o teclado.

Conexión a una red inalámbrica.

Reinicio, login o ejecución de un proceso.

Actualización del navegador web.

Hacer copias de seguridad automáticas.

Desactivar servicios críticos.

Crear nuevos usuarios legítimos.

Mejorar el tiempo de respuesta del sistema.

Se ejecutan más rápido que otros malware.

Permiten reparar sistemas dañados.

Pueden esperar el “momento perfecto” para activarse sin ser detectadas.

Mejoran la eficiencia de los antivirus.

Activación

Periodo de espera

Inserción del código malicioso

Daño o acción maliciosa

Configuración del disparador

Ocultamiento

Activación

Daño malicioso

Se destruyen archivos.

Se activa la bomba lógica inmediatamente.

Se definen las condiciones exactas que permitirán ejecutar el ataque.

Se sobrescriben bases de datos.

El payload comienza a cifrar datos.

El sistema opera normalmente mientras la bomba permanece dormida.

El código oculto se replica en la red.

Se eliminan cuentas de usuario.

La inserción del código malicioso

La detección por un antivirus

El cumplimiento de la condición del disparador

La interrupción del servicio de red

El código se vuelve benigno.

El sistema se reinicia para protegerse.

El payload se ejecuta realizando la acción maliciosa.

El atacante pierde acceso al sistema.

Monitorización pasiva del sistema.

Destrucción, sabotaje o filtración de datos.

Configuración del trigger.

Ocultamiento del código.

Porque permite acelerar la propagación.

Porque camufla el código malicioso entre funciones reales, evitando sospechas.

Porque mejora la velocidad del sistema.

Porque evita que el payload falle al ejecutarse.

En la tarjeta gráfica.

En un router externo.

En un script legítimo, aplicación o tarea programada.

En la nube sin acceso al sistema local.

Se vuelve inestable y lento.

Pide permisos administrativos.

Funciona con normalidad, sin señales visibles de la amenaza.

Realiza actualizaciones silenciosas.

Se instaló un ransomware que cifró todos los servidores.

Un hacker externo penetró la red mediante ingeniería social.

Un programador resentido instaló una bomba lógica que borró 1,200 programas industriales.

Un virus gusano sobrescribió la base de datos principal.

$500,000

$1 millón

Más de $10 millones.

$50 millones

Una fecha fija previamente programada.

La ejecución de un archivo específico del usuario root.

La ausencia del usuario del programador despedido.

La apertura de un puerto de red.

Cifraba todos los datos de la empresa.

Eliminaba usuarios del sistema.

Enviaba información a un servidor remoto.

Borraba datos automáticamente.

Se habría bloqueado el acceso a Internet de toda la empresa.

El sistema habría dejado de arrancar permanentemente.

Se habrían borrado millones de registros financieros.

Los servidores habrían sido cifrados con ransomware.

Por un antivirus actualizado.

Por un error mostrado en la consola del sistema.

Durante una auditoría.

Por una denuncia anónima.

Fueron ataques realizados exclusivamente desde el exterior.

Las bombas se activaron inmediatamente después de ser instaladas.

No generaron daños significativos.

Fueron realizadas por empleados o programadores internos.

Caso Omega Engineering (1996)

Caso del programador de Fannie Mae (2008)

Cron jobs corporativos

Ninguno

Hackers externos sin credenciales legítimas.

Técnicos de soporte sin acceso privilegiado.

Programadores o empleados con acceso interno.

Consultores de empresas externas.

La activación voluntaria del programador.

La eliminación automática del script.

Su detección antes de ejecutarse.

Un firewall que bloqueó la acción.

Instalación reciente de software autorizado.

Tareas programadas con comandos sospechosos.

Aumento del rendimiento del sistema.

Uso de contraseñas seguras.

Un error por falta de espacio en disco.

Un trigger ligado al encendido del sistema.

Un script que se activa cuando se elimina una cuenta de usuario.

Un proceso que inicia cuando se conecta un USB.

Backups frecuentes del sistema.

Actualizaciones automáticas del antivirus.

Cambios no autorizados en funciones críticas.

Reinicios programados por el administrador.

En archivos de música o imágenes.

En scripts de mantenimiento.

En manuales de usuario.

En documentación PDF.

Condicionales que verifican permisos de administrador.

Condicionales usados para validaciones de entrada estándar.

Condicionales “extraños” en código fuente o automatizaciones.

Condicionales empleados para optimizar bucles.

Que estén deshabilitadas.

Que tengan comentarios explicativos.

Que ejecuten comandos inusuales o no documentados.

Que estén asignadas al usuario root.

Optimización del rendimiento.

Posible manipulación maliciosa.

Mejora de documentación interna.

Migración a un nuevo servidor.

Se crea un nuevo usuario administrador.

Un script que se activa cuando se borra la cuenta de un empleado.

Una contraseña expira automáticamente.

Un usuario solicita acceso remoto.

Principio de acceso universal

Privilegios máximos para programadores

Principio de menor privilegio

Acceso libre para tareas automatizadas

Las contraseñas de los usuarios invitados

Los permisos de dispositivos móviles

Los accesos de administradores y programadores

Los privilegios de impresoras de red

Deshabilitar comentarios en el código

Permitir commits sin revisión

Realizar revisiones obligatorias (code review)

Evitar el uso de repositorios de control de versiones

Antivirus local

Cortafuegos perimetral

Control de versiones, como Git

Limpieza de archivos temporales

Variables muy cortas

Comentarios extensos

Condicionales sospechosas

Ciclos repetitivos

El uso de navegadores desactualizados

Modificaciones en tareas programadas

Instalación de software autorizado

Cambios de contraseña por parte del usuario

Archivos PDF generados por usuarios

Descargas de contenido multimedia

Scripts ejecutados automáticamente

Correos electrónicos enviados

Conceder acceso temporal adicional

Dejar activa su cuenta por una semana

Cerrar inmediatamente sus cuentas

Enviar sus credenciales a TI para almacenarlas

Promover a otro usuario automáticamente

Modificar los servidores DNS

Realizar una auditoría posterior

Cambiar el sistema operativo

Porque evitan que se creen archivos nuevos

Porque bloquean automáticamente scripts sospechosos

Porque permiten recuperar datos incluso si la bomba lógica destruye información

Porque desactivan cuentas sin supervisión

Errores de sintaxis comunes

Estilos de programación inconsistentes

Condiciones sospechosas dentro del código

Bibliotecas desactualizadas

Para evaluar el rendimiento del sistema

Para actualizar automáticamente el software

Para identificar inserciones ocultas en el código

Para optimizar la velocidad de compilación

Antivirus tradicional

Firewall perimetral

Plataformas SIEM

Desfragmentadores de disco

Historial de impresiones

Tareas cron, GPOs, scripts de inicio y servicios

Accesos a redes sociales

Archivos de audio instalados por el usuario

Porque reducen el tamaño del sistema operativo

Porque optimizan el uso de CPU

Porque pueden contener scripts manipulados para ejecutar ataques

Porque permiten mejorar la velocidad de ejecución

Agilizar el arranque del sistema

Detectar automatizaciones maliciosas que se ejecutan al inicio

Crear logs más detallados

Reducir el consumo de memoria

Instala parches de manera automática

Identifica patrones anómalos que no son visibles manualmente

Elimina archivos no utilizados

Optimiza procesos de red

Acelerar las pruebas unitarias

Detectar cambios inesperados o inserciones de código malicioso

Generar documentación automática

Validar permisos de usuarios

Un virus que se reproduce automáticamente por la red.

Un código oculto que se activa al cumplirse una condición específica.

Un programa que cifra archivos para pedir rescate.

Un rootkit que oculta procesos del sistema.

Escaneo automático de IPs vulnerables.

Interacción del usuario con un archivo infectado.

La ocurrencia de un evento, fecha o condición exacta.

El envío masivo de correos electrónicos maliciosos.

Porque se camuflan como archivos de audio o video.

Porque no ejecutan su carga maliciosa inmediatamente.

Porque requieren permisos de administrador para funcionar.

Porque se propagan rápidamente y confunden a los sistemas.

Hackers externos sin acceso al sistema.

Usuarios novatos que infectan accidentalmente los equipos.

Empleados internos con acceso privilegiado.

Bots automatizados que escanean vulnerabilidades.

La llegada de una fecha específica.

La eliminación de la cuenta del programador.

El reinicio del sistema operativo.

La instalación de un antivirus por el usuario.

Cifrado de todas las bases de datos.

Eliminación de 1,200 programas industriales.

Filtración de información a competidores.

Creación de una botnet interna.

Uso de VPN para navegación segura.

Deshabilitar el AutoRun en dispositivos USB.

Auditoría de código y control de cambios.

Actualizar la versión del navegador web.

Se disfraza como un email legítimo.

Tiene propagación autónoma por la red.

Necesita que el usuario abra un archivo para ejecutarse.

Permanece inactiva hasta que ocurre un evento específico.

Tráfico anormal en puertos 80 y 443.

Aparición de ventanas emergentes no deseadas.

Tareas programadas con comandos sospechosos.

Archivos infectados con macros maliciosas.

Regalarle una copia del software empresarial.

Asignarle una cuenta temporal de invitado.

Mantener sus credenciales activas por 30 días.

Cerrar su cuenta y auditar cambios recientes.

Aumentar la velocidad de ejecución del sistema.

Evitar ser detectada y ejecutarse solo en el momento planeado.

Propagarse por múltiples redes.

Consumir recursos para alertar al usuario.

Archivos PDF descargados de Internet.

Scripts legítimos de mantenimiento o automatización del sistema.

Archivos multimedia como MP3 o MP4.

Drivers instalados desde fabricantes oficiales.

La fecha de cumpleaños del programador.

La apertura de un archivo de Word.

La eliminación de una cuenta de usuario específica.

La desconexión del cable de red.

Iniciar una campaña de phishing.

Borrar registros contables al final del trimestre.

Cambiar contraseñas de usuarios aleatorios.

Activar un minador de criptomonedas.

Ejecutar el sistema en modo seguro.

Analizar diferencias entre versiones del código (diff). ✅

Desfragmentar el disco duro.

Revisar archivos temporales del navegador.

Que utilice colores llamativos en el editor de código.

Que se esconda dentro de funciones legítimas altamente usadas. ✅

Que sea detectable por antivirus comunes.

Que necesite permisos del usuario final para activarse.

Escaneo de puertos abiertos en la LAN.

Correlación de eventos que indiquen modificaciones inusuales en tareas programadas. ✅

Monitoreo del consumo eléctrico del servidor.

Análisis de paquetes en redes públicas.

Incremento de memoria RAM usada por videojuegos.

Uso excesivo de impresoras en la oficina.

Cambios de código en horas no autorizadas por un programador. ✅

Recepción de correos no deseados.

Uso de navegadores con modo incógnito.

Backups frecuentes y verificados externamente. ✅

Apagar el monitor cuando no se use.

Utilizar redes WiFi públicas para descartar malware.

Porque requiere conexión a Internet para activarse.

Porque puede destruir procesos automáticos esenciales en un momento estratégico. ✅

Porque SCADA no utiliza scripts ni automatizaciones.

Porque SCADA detecta automáticamente cualquier cambio en el código.