{"id":31905,"date":"2026-03-11T14:26:48","date_gmt":"2026-03-11T12:26:48","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=31905"},"modified":"2026-03-11T19:27:51","modified_gmt":"2026-03-11T17:27:51","slug":"ktae-onprem-ida-pro-plugin","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ktae-onprem-ida-pro-plugin\/31905\/","title":{"rendered":"Atribuci\u00f3n de malware sin usar la nube"},"content":{"rendered":"

En una publicaci\u00f3n anterior<\/a>, analizamos un ejemplo pr\u00e1ctico de c\u00f3mo la atribuci\u00f3n de amenazas ayuda en las investigaciones de incidentes. Tambi\u00e9n presentamos Kaspersky Threat Attribution Engine (KTAE), nuestra herramienta para realizar una suposici\u00f3n fundamentada sobre a qu\u00e9 grupo espec\u00edfico de APT pertenece una muestra de malware. Para demostrarlo, utilizamos Kaspersky Threat Intelligence Portal<\/a>, una herramienta basada en la nube que proporciona acceso a KTAE como parte de nuestro servicio integral de An\u00e1lisis de amenazas, junto con un entorno aislado y una herramienta de b\u00fasqueda de similitudes sin atribuci\u00f3n.<\/p>\n

Las ventajas de un servicio en la nube son obvias: los clientes no necesitan invertir en hardware, instalar nada ni administrar un software. Sin embargo, como muestra la experiencia del mundo real, la versi\u00f3n en la nube de una herramienta de atribuci\u00f3n no es para todos.<\/p>\n

En primer lugar, algunas organizaciones est\u00e1n sujetas a restricciones reglamentarias que proh\u00edben estrictamente que los datos salgan de su per\u00edmetro interno. Para los analistas de seguridad de estas empresas, la carga de archivos a un servicio de terceros est\u00e1 fuera de discusi\u00f3n. En segundo lugar, algunas empresas emplean buscadores de amenazas incondicionales que necesitan un conjunto de herramientas m\u00e1s flexible, uno que les permita trabajar con su propia investigaci\u00f3n patentada junto con la inteligencia frente a amenazas de Kaspersky. Es por eso que KTAE est\u00e1 disponible en dos versiones: una versi\u00f3n basada en la nube y una implementaci\u00f3n local.<\/p>\n

\u00bfCu\u00e1les son las ventajas de KTAE local en comparaci\u00f3n con la versi\u00f3n en la nube?<\/h2>\n

En primer lugar, la versi\u00f3n local de KTAE garantiza que la investigaci\u00f3n sea completamente confidencial. Todo el an\u00e1lisis se lleva a cabo directamente en la red interna de la organizaci\u00f3n. La fuente de inteligencia frente a amenazas es una base de datos implementada dentro del per\u00edmetro de la empresa, contiene los indicadores \u00fanicos y datos de atribuci\u00f3n de cada muestra maliciosa conocida por nuestros expertos, y tambi\u00e9n contiene las caracter\u00edsticas pertenecientes a archivos leg\u00edtimos para excluir detecciones de falsos positivos. La base de datos recibe actualizaciones regulares, pero funciona de manera unidireccional: ninguna informaci\u00f3n sale de la red del cliente.<\/p>\n

\"\"<\/a><\/p>\n

Adem\u00e1s, la versi\u00f3n local de KTAE brinda a los expertos la capacidad de a\u00f1adir nuevos grupos de amenazas a la base de datos y vincularlos a muestras de malware que detectaron por su cuenta. Esto significa que la atribuci\u00f3n posterior de nuevos archivos contar\u00e1 con los datos a\u00f1adidos por los investigadores internos. Esto permite a los expertos catalogar sus propios cl\u00fasteres de malware \u00fanicos, trabajar con ellos e identificar similitudes.<\/p>\n

Aqu\u00ed hay otra herramienta \u00fatil para expertos: nuestro equipo ha desarrollado un complemento gratuito para IDA Pro, un popular desensamblador<\/a>, para usar con la versi\u00f3n local de KTAE.<\/p>\n

<\/a>\u00bfCu\u00e1l es la finalidad de un complemento de atribuci\u00f3n para un desensamblador?<\/h2>\n

Para un analista del SOC encargado de la clasificaci\u00f3n de alertas, atribuir un archivo malicioso que se encuentra en la infraestructura es sencillo: basta con cargarlo en KTAE (en la nube o local) y obtener un veredicto, como Manuscrypt (83\u00a0%)<\/em>. Eso es suficiente para tomar las medidas adecuadas contra las herramientas conocidas de ese grupo y evaluar la situaci\u00f3n general. Sin embargo, un buscador de amenazas podr\u00eda no querer tomar ese veredicto al pie de la letra. Como alternativa, podr\u00eda preguntar: \u201c\u00bfQu\u00e9 fragmentos de c\u00f3digo son \u00fanicos en todas las muestras de malware utilizadas por este grupo?\u201d Aqu\u00ed, un complemento de atribuci\u00f3n para un desensamblador es \u00fatil.<\/p>\n

\"\"<\/a>Dentro de la interfaz de IDA Pro, el complemento destaca los fragmentos de c\u00f3digo desensamblados espec\u00edficos que activaron el algoritmo de atribuci\u00f3n. Esto no solo permite una inmersi\u00f3n m\u00e1s profunda a nivel de expertos en nuevas muestras de malware, tambi\u00e9n permite a los investigadores perfeccionar las reglas de atribuci\u00f3n sobre la marcha. Como consecuencia, el algoritmo y la propia KTAE siguen evolucionando, lo que hace que la atribuci\u00f3n sea m\u00e1s precisa con cada ejecuci\u00f3n.<\/p>\n

<\/a>C\u00f3mo configurar el complemento<\/h2>\n

El complemento es un script escrito en Python. Para ponerlo en funcionamiento, necesitas IDA Pro. Desafortunadamente, no funcionar\u00e1 en IDA Free, ya que no es compatible con los complementos de Python. Si a\u00fan no tienes Python instalado, debes descargarlo, configurar las dependencias (verifica el archivo de requisitos en nuestro repositorio de GitHub<\/a>) y asegurarte de que las variables de entorno de IDA Pro apunten a las bibliotecas de Python.<\/p>\n

A continuaci\u00f3n, debes insertar la URL de tu instancia de KTAE local en el cuerpo del script y proporcionar tu token de API (que est\u00e1 disponible comercialmente), tal como se hace en el script de ejemplo descrito en la documentaci\u00f3n de KTAE<\/a>.<\/p>\n

Luego, sencillamente puedes colocar el script en tu carpeta de complementos de IDA Pro y ejecutar el desensamblador. Si lo has hecho correctamente, despu\u00e9s de cargar y desmontar una muestra, ver\u00e1s la opci\u00f3n para iniciar el complemento Kaspersky Threat Attribution Engine (KTAE)<\/em> en Editar<\/em> \u2192 Complementos<\/em>:<\/p>\n

\"\"<\/a><\/p>\n

<\/a>C\u00f3mo utilizar el complemento<\/h2>\n

Cuando se instala el complemento, esto es lo que ocurre en segundo plano: el archivo cargado actualmente en IDA Pro se env\u00eda a trav\u00e9s de la API al servicio KTAE instalado localmente, en la URL configurada en el script. El servicio analiza el archivo, y los resultados del an\u00e1lisis se env\u00edan de nuevo a IDA Pro.<\/p>\n

En una red local, el script generalmente termina su trabajo en cuesti\u00f3n de segundos (la duraci\u00f3n depende de la conexi\u00f3n al servidor KTAE y del tama\u00f1o del archivo analizado). Una vez que el complemento finaliza su ejecuci\u00f3n, un investigador puede comenzar a profundizar en los fragmentos de c\u00f3digo resaltados. Un doble clic conduce directamente a la secci\u00f3n relevante en el ensamblado o c\u00f3digo binario (vista hexadecimal) para su an\u00e1lisis. Estos puntos de datos adicionales facilitan la detecci\u00f3n de bloques de c\u00f3digo compartidos y el seguimiento de los cambios en un kit de herramientas de malware.<\/p>\n

Por cierto, este no es el \u00fanico complemento de IDA Pro que el Equipo de An\u00e1lisis e Investigaci\u00f3n Global ha desarrollado para facilitar el trabajo de los buscadores de amenazas. Tambi\u00e9n ofrecemos otro complemento de IDA<\/a> que acelera y agiliza significativamente el proceso de ingenier\u00eda inversa y que, por cierto, fue ganador del Concurso de Complementos para IDA 2024<\/a>. <\/div>\n

Para obtener m\u00e1s informaci\u00f3n sobre la soluci\u00f3n Kaspersky Threat Attribution Engine y c\u00f3mo implementarla, consulta la documentaci\u00f3n oficial del producto<\/a>. Y para organizar una demostraci\u00f3n o un proyecto piloto, rellena el formulario en el sitio web de Kaspersky<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Cu\u00e1l es la finalidad de una versi\u00f3n local de Kaspersky Threat Attribution Engine y c\u00f3mo conectarla a IDA Pro<\/p>\n","protected":false},"author":2792,"featured_media":31911,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[551,3132,2601,2720],"class_list":{"0":"post-31905","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataques","11":"tag-atribucion","12":"tag-inteligencia-de-amenazas","13":"tag-servicios"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ktae-onprem-ida-pro-plugin\/31905\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ktae-onprem-ida-pro-plugin\/30234\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/25311\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/13251\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ktae-onprem-ida-pro-plugin\/30107\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ktae-onprem-ida-pro-plugin\/30515\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ktae-onprem-ida-pro-plugin\/41387\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ktae-onprem-ida-pro-plugin\/14350\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ktae-onprem-ida-pro-plugin\/55350\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ktae-onprem-ida-pro-plugin\/23694\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ktae-onprem-ida-pro-plugin\/24797\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ktae-onprem-ida-pro-plugin\/33302\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ktae-onprem-ida-pro-plugin\/30346\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ktae-onprem-ida-pro-plugin\/35991\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ktae-onprem-ida-pro-plugin\/35648\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/atribucion\/","name":"atribuci\u00f3n"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31905","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=31905"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31905\/revisions"}],"predecessor-version":[{"id":31916,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/31905\/revisions\/31916"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/31911"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=31905"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=31905"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=31905"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}