{"id":31146,"date":"2025-07-22T10:18:09","date_gmt":"2025-07-22T08:18:09","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31146"},"modified":"2025-07-23T15:44:36","modified_gmt":"2025-07-23T13:44:36","slug":"defendnot-disables-microsoft-defender-on-windows","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/defendnot-disables-microsoft-defender-on-windows\/31146\/","title":{"rendered":"El antivirus de Schr\u00f6dinger: \u00bfla protecci\u00f3n est\u00e1 viva o muerta?"},"content":{"rendered":"

En la actualidad, muchas empresas aplican una pol\u00edtica de trae tu propio dispositivo (BYOD)<\/a>, que permite a los empleados usar sus propios dispositivos con fines laborales. Esta pr\u00e1ctica es especialmente frecuente en organizaciones que adoptan el trabajo remoto. BYOD trae muchas ventajas obvias, pero su implementaci\u00f3n crea nuevos riesgos para las empresas en t\u00e9rminos de ciberseguridad.<\/p>\n

Para proteger los sistemas de las amenazas, los departamentos de seguridad de la informaci\u00f3n a menudo requieren que se instale software de seguridad en todos los dispositivos que se utilizan para el trabajo. Al mismo tiempo, algunos empleados, especialmente los expertos en tecnolog\u00eda, pueden considerar el software antivirus m\u00e1s un obst\u00e1culo que una ayuda.<\/p>\n

No es la actitud m\u00e1s sensata, pero convencerlos de lo contrario puede ser dif\u00edcil. El principal problema es que los empleados que creen que saben m\u00e1s pueden encontrar una forma de enga\u00f1ar al sistema. Hoy, investigamos uno de esos m\u00e9todos: una nueva herramienta de investigaci\u00f3n conocida como Defendnot<\/a>, que desactiva Microsoft Defender en dispositivos Windows al registrar un software antivirus falso.<\/p>\n

C\u00f3mo no-defender<\/em> se abri\u00f3 paso usando antivirus falsos para desactivar Microsoft Defender<\/h2>\n

Para comprender exactamente c\u00f3mo Defendnot desactiva Microsoft Defender, debemos retroceder un a\u00f1o. En ese entonces, un investigador con el alias es3n1n<\/a> en la plataforma X, cre\u00f3 y public\u00f3 la primera versi\u00f3n de la herramienta en GitHub. Conocida como no-defender<\/a>, la herramienta se encargaba de desactivar el antivirus integrado de Windows Defender.<\/p>\n

Para realizar esta tarea, es3n1n aprovech\u00f3 una debilidad en la API del Centro de seguridad de Windows (WSC). A trav\u00e9s de ella, el software antivirus informa al sistema de que est\u00e1 instalado y listo para comenzar a proteger el dispositivo en tiempo real. Al recibir dicho mensaje, Windows desactiva autom\u00e1ticamente Microsoft Defender para evitar conflictos entre diferentes soluciones de seguridad que se ejecutan en el mismo dispositivo.<\/p>\n

Usando el c\u00f3digo de una soluci\u00f3n de seguridad existente, el investigador cre\u00f3 su propio antivirus falso que se registr\u00f3 en el sistema y pas\u00f3 todas las comprobaciones de Windows. Una vez desactivado Microsoft Defender, el dispositivo quedaba desprotegido, ya que no-defender no ofrec\u00eda una protecci\u00f3n propia.<\/p>\n

El proyecto no-defender r\u00e1pidamente atrajo seguidores en GitHub, en donde recibi\u00f3 m\u00e1s de dos mil estrellas. Sin embargo, la empresa desarrolladora del antivirus cuyo c\u00f3digo se reutiliz\u00f3 present\u00f3 una denuncia por infracci\u00f3n de la Ley de derechos de autor de la era digital (DMCA)<\/a>. Por lo tanto, es3n1n se vio obligado a eliminar el c\u00f3digo del proyecto de GitHub, dejando solo una p\u00e1gina de descripci\u00f3n.<\/p>\n

C\u00f3mo Defendnot reemplaz\u00f3 a no-defender<\/h2>\n

Pero la historia no termina ah\u00ed. Casi un a\u00f1o despu\u00e9s, el programador de Nueva Zelanda MrBruh<\/a> anim\u00f3 a es3n1n a desarrollar una versi\u00f3n de no-defender que no se basara en c\u00f3digo de terceros. Entusiasmado por el desaf\u00edo y la falta de sue\u00f1o, es3n1n escribi\u00f3 una nueva herramienta en solo cuatro d\u00edas<\/a>, que se llam\u00f3 Defendnot.<\/p>\n

En el coraz\u00f3n de Defendnot hab\u00eda una DLL simulada que se hac\u00eda pasar por un antivirus leg\u00edtimo. Para omitir todas las comprobaciones de la API de WSC, incluida la funci\u00f3n Protected Process Light (PPL), las firmas digitales y otros mecanismos, Defendnot inyecta su DLL en Taskmgr.exe, que est\u00e1 firmado y que Microsoft ya considera de confianza. Luego, la herramienta registra el antivirus falso, lo que hace que Microsoft Defender se apague inmediatamente y deje el dispositivo sin protecci\u00f3n activa.<\/p>\n

Adem\u00e1s de eso, Defendnot permite al usuario asignar cualquier nombre al \u201cantivirus\u201d. De manera similar a su predecesor, este proyecto se convirti\u00f3 en un \u00e9xito en GitHub, con 2100 estrellas al momento de escribir este art\u00edculo. Para instalar Defendnot, el usuario debe tener derechos de administrador (que los empleados probablemente tengan en sus dispositivos personales).<\/p>\n

C\u00f3mo proteger la infraestructura corporativa del uso indebido de BYOD<\/h2>\n

Defendnot y no-defender se posicionan como proyectos de investigaci\u00f3n, y ambas herramientas demuestran c\u00f3mo pueden manipularse los mecanismos de los sistemas de confianza para desactivar las funciones de protecci\u00f3n. La conclusi\u00f3n es obvia: no siempre se puede confiar en lo que dice Windows.<\/p>\n

Por lo tanto, para no poner en peligro la infraestructura digital de tu empresa, recomendamos reforzar tu pol\u00edtica de BYOD con una serie de medidas de seguridad adicionales:<\/p>\n