Los operadores de ransomware están abandonando el software malicioso tradicional y ahora utilizan las propias herramientas en la nube de los administradores de TI para exfiltrar archivos confidenciales sin activar ninguna alarma.
El panorama del secuestro de datos ha dado un giro táctico extremadamente peligroso. Hoy, 4 de marzo de 2026, se reporta que los operadores de ransomware han comenzado a utilizar AzCopy, una utilidad de línea de comandos legítima de Microsoft, como su herramienta predilecta para vaciar silenciosamente los archivos de las organizaciones antes de detonar el cifrado.
Esta tendencia de “Vivir de la Tierra” (Living off the Land) refleja cómo los grupos modernos prefieren mimetizarse con el tráfico normal usando tecnología confiable en lugar de desplegar malware ruidoso.
El Camuflaje Perfecto contra los EDR
AzCopy fue construido originalmente para simplificar las operaciones de datos a gran escala en entornos empresariales.
Resulta ser la herramienta de robo perfecta por su diseño nativo: se ejecuta como un archivo binario independiente, no requiere instalación y transfiere datos a través de conexiones HTTPS estándar directamente hacia la infraestructura de Microsoft Azure. Dado que es un software ampliamente utilizado en operaciones comerciales reales, la inmensa mayoría de las plataformas de Detección y Respuesta para Endpoints (EDR) no marcan su actividad como sospechosa.
Investigadores identificaron múltiples incidentes donde AzCopy fue utilizado directamente como un conducto de exfiltración. En al menos un caso confirmado, la operación completa pasó totalmente desapercibida para la plataforma EDR de la organización víctima.
La Táctica: Tokens, Filtros y Aceleradores Ocultos
En lugar de arriesgarse a enviar datos robados a proveedores de alojamiento oscuros los cuales enfrentan el asedio constante de las autoridades, los cibercriminales simplemente envían la información a cuentas de Azure Blob Storage que ellos mismos configuran en minutos con una tarjeta de crédito.
El proceso de armamentización de la herramienta es meticuloso:
- Antes de iniciar la transferencia, los atacantes generan un token de Firma de Acceso Compartido (SAS).
- Este token es una URL de autenticación autónoma que les otorga acceso directo a su cuenta de Azure Storage sin necesidad de un nombre de usuario o contraseña.
- Para mantener la ventana de exposición al mínimo, los investigadores descubrieron que los hackers configuran estos tokens con una vida útil muy corta, como por ejemplo, tres días y ocho horas.
- Para no levantar sospechas operativas, el comando de AzCopy se personaliza usando el parámetro –include-after, lo que limita el robo exclusivamente a archivos que han sido modificados recientemente.
- La táctica de evasión de red más letal es el uso del parámetro –cap-mbps. Los atacantes limitan intencionalmente la velocidad de subida para que el tráfico saliente parezca constante, evitando así disparar los umbrales de detección de red que buscan picos repentinos de transferencia de datos.
Antiforense y Estrategias de Defensa
Por diseño, la herramienta AzCopy escribe un archivo de registro en un directorio oculto llamado .azcopy dentro del perfil del usuario que lo ejecuta. Este registro tiene un gran valor forense, ya que documenta exactamente qué fue transferido. Sin embargo, en los casos investigados, los atacantes eliminaron deliberadamente todo este directorio justo después de finalizar la exfiltración, borrando así cualquier rastro de la evidencia.
Las organizaciones deben tomar medidas proactivas inmediatas. Es crítico monitorear las conexiones salientes hacia los dominios *.blob.core.windows.net desde sistemas y servidores que usualmente no interactúan con el almacenamiento de Azure. Además, se recomienda utilizar el Análisis de Comportamiento de Usuarios y Entidades (UEBA) para detectar anomalías y aplicar listas blancas de aplicaciones para restringir quién puede ejecutar AzCopy en la red corporativa.
