Blog

Qué es un RAT y por qué es tan peligroso

Qué es un RAT y por qué es tan peligroso

Si te conectas de forma habitual al ordenador del trabajo desde tu casa probablemente estés familiarizado con la magia del acceso remoto. Cuando está habilitado cualquier persona autorizada puede acceder a un sistema para abrir documentos, instalar software, etc.

Un RAT (Remote Administration Tool) es un tipo de malware muy similar a los programas legítimos de acceso remoto como RustDesk.

La principal diferencia es que un RAT tiene malas intenciones y se instala sin el consentimiento ni el conocimiento del dueño del dispositivo.

Y no está pensado precisamente para dar soporte técnico, trabajar desde casa o compartir archivos.

Su objetivo es tomar el control total de un dispositivo para fines maliciosos.

Un RAT se compone de dos partes: un cliente y un servidor.

  1. El cliente:  es el programa instalado en la máquina del perpetrador. Acostumbra a tener una interfaz gráfica de usuario con distintas opciones de control.
  2. El servidor: es el programa instalado en la máquina de la víctima, está oculto y no tiene interfaz gráfica.

El cliente acostumbra a conectarse con el servidor utilizando una URL codificada a través de algún protocolo como WebSocket.

Esta conexión facilita tres cosas:

  1. El control.
  2. El espionaje.
  3. La exfiltración.

El objetivo es transformar una máquina en una estación monitorizada y explotable bajo demanda.

Un ejemplo de RAT bastante completo y con un sentido del humor cuestionable es CrystalX.

Comenzó a circular en enero de 2026 mediante discusiones privadas en Telegram bajo el nombre de Webcrystal RAT.

CrystalX RAT

Al final acabó siendo comercializado como malware como servicio, y publicitándose (incluso en YouTube) como una herramienta capaz de perpetrar muchas perrerías:

  • Ejecutar comandos a través de cmd.
  • Navegar por el sistema para cargar o descargar elementos desde su servidor.
  • Implementar un keylogger que transmite las pulsaciones del teclado en tiempo real.
  • Captar el sonido del micrófono, el flujo de video de la cámara y manipular el portapapeles de la víctima.
  • Robar credenciales de aplicaciones y navegadores.

Ciertamente, es un RAT bastante ocupado, pero en última instancia sería bastante ordinario si no fuese porque agrega una serie de funciones diseñadas para trolear a la víctima mediante bromas de mal gusto:

  • Girar la pantalla.
  • Interrumpir los periféricos.
  • Esconder los iconos del escritorio.
  • Reemplazar el fondo de pantalla.
  • Desactivar la barra de tareas.
  • Hacer que el cursor baile.
  • Cambiar los clics del ratón.
  • Mostrar notificaciones falsas u ofensivas.

Todas estas molestias no aportan mucho a la efectividad del malware, a no ser que sirvan para distraer a la víctima mientras que los módulos del RAT se ejecutan en segundo plano.

Pero en cualquier caso dan bastante por el culo.

Como la mayoría de programas maliciosos, los RAT pueden enmascararse como archivos legítimos.

Desconocemos el vector de infección original del ejemplo que hemos puesto (CrystalX), pero es probable que involucre ejecutables maliciosos descargados de sitios de internet.

Por lo tanto, para evitar ser víctima de este tipo de malware abstente de descargar archivos de fuentes poco fiables.

En este sentido hay que tener cuidado con los archivos compartidos en plataformas como GitHub, SourceForge o a través de enlaces de YouTube a menos que la fuente sea confiable y verificada.

Lo más sensato es obtener el software directamente desde la página oficial de su desarrollador.

Los troyanos de acceso remoto también acostumbran a venir de propina dentro de cracks de software y generadores de claves de activación que permiten desbloquear programas protegidos.

En caso de que tu PC haga cosas raras o sospeches de una infección desconecta inmediatamente la máquina de la red y ejecuta un análisis de malware completo.

En principio no parece demasiado sensato iniciar un análisis de malware sin acceso a internet, ya que muchos antivirus trabajan en la nube y eso puede mermar su tasa de efectividad. Pero en caso de los RAT es conveniente cortar la comunicación con el cliente que controla el dispositivo de forma remota.

También puedes utilizar un «disco de rescate» que permite usar una unidad USB para examinar tu ordenador sin necesidad de arrancar Microsoft Windows.

Estas utilidades proporcionadas por los principales fabricantes de antivirus encuentran y eliminan amenazas de seguridad persistentes o difíciles de erradicar que pueden ocultarse en las profundidades del sistema operativo 

Puedes ver varios de ellos (y como utilizarlos) en la sección de Herramientas de eliminación de malware de esta página web.

Una vez limpiado el sistema, cambia las contraseñas de las cuentas sensibles sin demora.

Tampoco está de más echarle un vistazo a todas las cuentas en línea (coreo electrónico, banca digital, etc.) para comprobar que no haya sorpresas.

Contenido relacionado

Información

Infosegur.net 

Licencia de Creative Commons 4.0

Made in Humans

Artículos actualizados

Temas

Privacidad Amenazas Seguridad informática Estafas Windows Internet Ingeniería social Malware Contraseñas Teléfonos móviles Herramientas Software malicioso Inteligencia artificial Redes Linux Seguridad de sitios web VPN Redes sociales Software de código abierto Seguridad de Linux Vulnerabilidades Android Correo electrónico