¡Cuidado! Akira desactiva tu antivirus y cifra todo tu PC

Los cibercriminales han encontrado una forma especialmente ingeniosa de burlar las defensas de Windows. El ransomware Akira está utilizando un controlador legítimo de Intel para desactivar Microsoft Defender antes de atacar. Esta amenaza, detectada por investigadores de Guidepoint Security desde mediados de julio de 2025, representa uno de los ataques más sofisticados del año.

Lo preocupante es que este malware aprovecha el controlador rwdrv.sys de ThrottleStop, una herramienta genuina de optimización de CPU , para conseguir acceso completo al sistema operativo. Una vez dentro, los atacantes pueden hacer prácticamente lo que quieran con tu ordenador.

¿Cómo logra Akira desactivar tu protección?

El proceso es más simple de lo que parece, pero tremendamente efectivo. El ransomware registra el controlador rwdrv.sys como un servicio para obtener acceso a nivel de kernel , que es básicamente el nivel más alto de privilegios en Windows. Una vez conseguido este acceso, el ataque se desarrolla en varios pasos:

1. Carga el controlador malicioso: Desde el acceso de kernel, carga un segundo controlador llamado hlpdrv.sys.
2. Modifica el registro de Windows: Este segundo componente se encarga de alterar la configuración de Windows Defender, específicamente la clave DisableAntiSpyware.
3. Desactiva la protección: Tu antivirus queda completamente inutilizado sin que te des cuenta.
4. Cifra tus archivos: Para cuando te quieres dar cuenta, el malware ya ha bloqueado todos tus documentos.

Hasta el momento en el que estoy escribiendo esto se han registrado 47 incidentes de explotación activa  según datos de telemetría de SonicWall, con un incremento del 30% en la última semana. Las cifras son preocupantes y van en aumento.

Cómo están infectando los ordenadores

Los atacantes no dejan nada al azar. Están utilizando una técnica llamada "envenenamiento SEO" que consiste en crear páginas web maliciosas o comprometer sitios legítimos para que aparezcan en los primeros resultados de Google y Bing.

Un ejemplo reciente involucra búsquedas de "ManageEngine OpManager" en Bing, donde el envenenamiento SEO redirigía a las víctimas al sitio malicioso opmanager[.]pro. Los usuarios pensaban que estaban descargando software legítimo, pero en realidad estaban cayendo en la trampa.

El proceso de infección sigue estos pasos:

• Búsqueda manipulada: Aparecen sitios falsos en los primeros resultados de búsqueda.
• Descarga engañosa: El usuario descarga lo que cree que es software legítimo (como herramientas de gestión IT).
• Instalación del malware Bumblebee: Este actúa como puerta de entrada para Akira.
• Despliegue del ransomware: Aproximadamente 44 horas después , el ransomware principal cifra todos los sistemas en la red.

¿Qué puedes hacer para protegerte realmente?

Lo primero es el sentido común. NUNCA descargues programas desde sitios de terceros o enlaces que parezcan sospechosos. Siempre ve directamente a la web oficial del desarrollador. Si buscas software en Google, fíjate bien en la URL antes de hacer clic.

Pero hay más cosas que puedes hacer. Piensa seriamente en la posibilidad de usar, al menos, un antivirus gratis de calidad que ofrezca protección adicional más allá de Windows Defender. Opciones como Avast o Bitdefender incluyen capas extra de seguridad que pueden detectar comportamientos sospechosos incluso cuando el ransomware intenta desactivar la protección.

Las actualizaciones son CRÍTICAS. Microsoft ha introducido listas de bloqueo de controladores para ayudar a frenar este riesgo, pero no todas las organizaciones aplican estas protecciones de forma consistente. Asegúrate de tener instalados los últimos parches de seguridad tanto en Windows como en todas tus aplicaciones.

Activa la función "Tamper Protection" (Protección contra manipulaciones) en Windows Defender. Esta característica impide que programas maliciosos modifiquen la configuración del antivirus. Para activarla:

• Ve a Configuración de Windows > Actualización y seguridad > Seguridad de Windows.
• Haz clic en "Protección contra virus y amenazas".
• En "Configuración de protección contra virus y amenazas", activa "Protección contra alteraciones".

Las copias de seguridad valen oro en estos casos

El ransomware cifra tus archivos y te pide dinero a cambio de la clave de descifrado. Pero si tienes copias de seguridad actualizadas, puedes recuperar todo sin pagar un solo euro a los criminales.

La estrategia 3-2-1 es tu mejor aliada: mantén 3 copias de tus datos importantes, en 2 tipos diferentes de almacenamiento, con 1 copia guardada fuera de tu ubicación principal (puede ser en la nube). Y por supuesto, asegúrate de que al menos una de esas copias esté desconectada de la red para que el ransomware no pueda alcanzarla.

Tranquilidad: No todo está perdido si te infectas

El INCIBE (Instituto Nacional de Ciberseguridad) recomienda actuar rápidamente pero con cabeza. Lo primero es desconectar el ordenador de internet inmediatamente, tanto el cable de red como el WiFi. Esto evita que el malware se propague a otros dispositivos conectados.

NUNCA pagues el rescate. Hasta finales de septiembre de 2025, Akira ha recaudado aproximadamente 244,17 millones de dólares en pagos de rescate, pero pagar no garantiza que recuperes tus archivos. De hecho, solo incentiva a los criminales a seguir atacando.

Contacta con profesionales especializados en recuperación de ransomware o denuncia el incidente a las autoridades. Existen herramientas gratuitas de descifrado para algunas variantes de ransomware, aunque lamentablemente Akira todavía no tiene una solución pública disponible.

Esta nueva amenaza demuestra que la seguridad informática es una carrera constante. Los atacantes innovan, pero tú también puedes estar un paso adelante con precaución, herramientas adecuadas y buenos hábitos digitales.