El troyano no siempre llega con ruido. A veces aparece como lentitud, luego cambios sutiles y, después, caída de clientes.

Si confundes esa señal con “problemas de tráfico normal”, puedes perder horas críticas. Detectarlo a tiempo depende de observar patrones, no de un escaneo aislado.

1) Picos de CPU o memoria sin explicación

Un servicio web estable que empieza a consumir recursos por encima de su zona normal puede indicar ejecución no autorizada.

2) Procesos fuera de inventario

Si aparecen procesos nuevos en servidor y no vienen de un cambio documentado, actúa con prioridad.

3) Archivos modificados sin aprobación

Cambios constantes en archivos de frontend, configuración o scripts de arranque son una señal fuerte de persistencia.

4) Conexiones salientes atípicas

El servidor debería hablar con destinos conocidos. La salida persistente hacia hosts inusuales siempre merece revisión.

5) Certificados o respuestas web alterados

Redirecciones extrañas, cambios de encabezados y errores intermitentes pueden indicar inyección de scripts no autorizados.

6) Retrasos en autenticación o sesiones

Tiempo extra en login, cierres espontáneos o bloqueos parciales suelen acompañar actividad no deseada.

7) Correo o notificaciones falsas desde el host

Troyanos en servidores web pueden abrir canal para fraude o distribución de contenido malicioso si no hay contención.

8) Logs incompletos o desalineados

Un hueco de registros, cambios en timezone inesperados o rotación abrupta de logs es una alerta operativa.

9) Actividad nocturna no programada

Tareas y procesos fuera de la ventana de mantenimiento indican que algo no está siguiendo tu patrón de operación.

10) Reputación externa degradada

Bloqueos de clientes o listas negras de reputación por parte de proveedores de seguridad pueden ser síntoma avanzado.

Qué hacer en cuanto lo detectes

  1. Aísla temporalmente el servidor del tráfico externo para evitar propagación.
  2. Preserva evidencia (bitácoras, snapshots, config y hashes).
  3. Anota alcance: dominios, IPs, repositorios y cuentas potencialmente expuestas.
  4. Notifica al área de negocio y de TI con un mensaje breve de impacto inicial.
  5. Coordina limpieza, restauración y hardening con un plan de retorno gradual.

La respuesta es más efectiva cuando combina técnica y operación, no cuando improvisa un solo equipo.

Prevención para volver a casa estable

  • Usa control de cambios para cada despliegue.
  • Restringe ejecución de código en directorios públicos.
  • Implementa checks automáticos de integridad de archivos.
  • Mantén monitoreo de salida de red desde el servidor web.
  • Revisa alertas semanales en monitoreo y análisis de seguridad.

Tip práctico: establece una “baseline” de recursos por servicio y genera alertas cuando se salga de ella más de dos ciclos consecutivos.

Ruta de remediación y soporte