<\/a>Contexto<\/h2>\nNuestro reciente informe sobre amenazas en la nube<\/a> mostr\u00f3 que las alertas basadas en la nube aumentaron un promedio de 388\u00a0% durante 2024. Adem\u00e1s, el 45\u00a0% de las organizaciones<\/a> informan un aumento de los ataques de amenazas persistentes avanzadas (APT). A medida que los actores de amenazas se dirigen a la infraestructura de la nube a un ritmo cada vez mayor<\/a>, los defensores deben buscar los posibles vectores de ataque que los actores de amenazas en la nube podr\u00edan utilizar para acceder, persistir y operar. Los buscadores de amenazas podr\u00edan beneficiarse de la investigaci\u00f3n de ejecutables maliciosos que puedan utilizarse contra endpoints en la nube.<\/p>\nEn este art\u00edculo, se exploran los tipos de binarios maliciosos que los actores de amenazas est\u00e1n desarrollando para utilizarlos en ataques contra entornos basados en Linux. Los archivos\u00a0ELF son un formato de archivo est\u00e1ndar com\u00fan para archivos ejecutables dentro de los sistemas operativos (SO) Linux. Los investigadores estiman que entre el 70\u00a0<\/a>% y el 90\u00a0<\/a>% de todas las instancias inform\u00e1ticas en entornos de nube se basan en variantes (tambi\u00e9n conocidas como distribuciones) del sistema operativo Linux. Aunque el malware basado en ELF no es nuevo, es probable que estas familias de malware y los tipos de t\u00e9cnicas de ataque que usan evolucionen hacia el ataque a la infraestructura de la nube.<\/p>\n<\/a>Evoluci\u00f3n de los binarios de ELF<\/h2>\nLas familias de malware de Linux m\u00e1s conocidas pueden evolucionar para atacar activamente los recursos de la nube. Los atacantes pueden adaptar e implementar estas familias en cargas de trabajo en la nube y entornos de contenedores con relativa facilidad debido a la ubicuidad de las instancias del SO\u00a0Linux en el entorno de nube est\u00e1ndar.<\/p>\n
Nuestros investigadores se\u00f1alaron ejemplos de cepas en evoluci\u00f3n de malware basado en ELF, como NoodleRAT, Winnti, SSHdInjector, Pygmy Goat y AcidPour. Estos binarios de ELF utilizan t\u00e9cnicas como el secuestro din\u00e1mico del enlazador, en el que abusan de la variable de entorno LD_PRELOAD<\/span> para realizar lo siguiente:<\/p>\n\n- Inyectar c\u00f3digo malicioso en procesos leg\u00edtimos del sistema<\/li>\n
- Engancharse a servicios cr\u00edticos de Linux, como el demonio\u00a0SSH (sshd<\/span>)<\/li>\n
- Explotar vulnerabilidades o errores de configuraci\u00f3n encontrados en la infraestructura de contenedores<\/li>\n<\/ul>\n
Esto permite a los actores de amenazas lograr persistencia, mantener canales de mando y control (C2) sigilosos, exfiltrar datos de forma encubierta y afectar las operaciones al borrar datos cr\u00edticos.<\/p>\n
<\/a>NoodleRAT<\/h3>\nEste malware permite a los actores de amenazas realizar operaciones\u00a0C2 en un endpoint objetivo, incluido lo siguiente:<\/p>\n
\n- Acceso mediante shell inverso<\/li>\n
- T\u00fanel proxy SOCKS<\/li>\n
- Cifrado de las comunicaciones<\/li>\n
- Ejecuci\u00f3n programada de c\u00f3digo<\/li>\n
- Carga y descarga de archivos<\/li>\n
- Suplantaci\u00f3n del nombre del proceso<\/li>\n<\/ul>\n
NoodleRAT tiene variantes para Windows y Linux. La variante para Linux<\/a> es una puerta trasera basada en ELF. Aunque el c\u00f3digo de NoodleRAT para Linux guarda similitudes con otros malware de puerta trasera de Linux, incluidos Rekoobe y Tiny SHell, NoodleRAT se considera su propia familia de malware.<\/p>\nNoodleRAT se ha observado en intrusiones tanto de ciberdelincuentes como de ciberespionaje, incluso de actores de amenazas chinos como Rocke<\/a>, y presuntos agentes de un Estado-naci\u00f3n asociados a la campa\u00f1a Cloud Snooper<\/a>. Los actores detr\u00e1s de la variante de NoodleRAT para Linux han atacado a entidades de varios pa\u00edses de la regi\u00f3n Asia-Pac\u00edfico, como Tailandia, India, Jap\u00f3n, Malasia y Taiw\u00e1n.<\/p>\n<\/a>Winnti<\/h3>\nWinnti tiene versiones para Windows y Linux. Este malware logra su persistencia mediante el abuso de la variable de entorno LD_PRELOAD<\/span>, lo que le permite cargarse en la memoria sin alterar ning\u00fan binario leg\u00edtimo del sistema.<\/p>\nLa puerta trasera tiene la siguiente funcionalidad:<\/p>\n
\n- Capacidad de ejecuci\u00f3n remota de comandos<\/li>\n
- Activaci\u00f3n de la exfiltraci\u00f3n de archivos<\/li>\n
- Soporte de proxy SOCKS5 para facilitar la comunicaci\u00f3n\u00a0C2<\/li>\n<\/ul>\n
El malware de la variante de Winnti para Linux<\/a> es una puerta trasera supuestamente utilizada por varios actores de amenazas con conexiones con China, incluidos los que rastreamos como Starchy Taurus (alias Winnti<\/a> Group y BARIUM) y Nuclear Taurus (alias Tumbleweed Typhoon, THORIUM, Bronze Vapor<\/a>). La puerta trasera consta de dos archivos: un ejecutable\u00a0ELF primario (libxselinux<\/span>) y una biblioteca din\u00e1mica adicional (libxselinux.so<\/span>).<\/p>\n<\/a>SSHdInjector<\/h3>\nEsta puerta trasera\u00a0SSH de Linux<\/a> inyecta c\u00f3digo malicioso en el demonio\u00a0SSH (sshd<\/span>) en tiempo de ejecuci\u00f3n. El c\u00f3digo inyectado otorga al actor de amenazas acceso persistente y facilita actividades maliciosas como las siguientes:<\/p>\n\n- Robo de credenciales<\/li>\n
- Ejecuci\u00f3n remota de comandos<\/li>\n
- Entrada de malware<\/li>\n
- Acceso a archivos y directorios<\/li>\n
- Apertura de un shell remoto<\/li>\n
- Exfiltraci\u00f3n de datos<\/li>\n<\/ul>\n
Se ha observado a SSHdInjector siendo utilizado por varios actores de amenazas con conexiones con China, incluido uno que rastreamos como Digging Taurus<\/a> (alias Daggerfly, Evasive Panda). Los objetivos<\/a> est\u00e1n relacionados con el ciberespionaje y han incluido individuos, instituciones gubernamentales y organizaciones de telecomunicaciones.<\/p>\n<\/a>Pygmy Goat<\/h3>\nPygmy Goat es una puerta trasera de Linux que fue descubierto en los dispositivos firewall Sophos\u00a0XG<\/a>, pero est\u00e1 dise\u00f1ado para atacar otros sistemas basados en Linux. El malware obtiene acceso inicial y persistencia mediante la funcionalidad de rootkit al aprovechar el archivo de biblioteca libsophos.so, que es vulnerable a la omisi\u00f3n de autenticaci\u00f3n (CVE-2022-1040<\/a>).<\/p>\nA continuaci\u00f3n, el ejecutable se inyecta en el demonio\u00a0SSH (sshd<\/span>) utilizando la variable de entorno LD_PRELOAD<\/span> en el dispositivo objetivo e intercepta las comunicaciones\u00a0SSH. El actor de amenazas puede iniciar comunicaciones con el malware al enviar paquetes\u00a0ICMP especialmente dise\u00f1ados, una t\u00e9cnica conocida como \u201cgolpeo de puertos<\/a>\u201d, o al enviar una serie de bytes m\u00e1gicos<\/a> incrustados en el tr\u00e1fico\u00a0SSH.<\/p>\nSus capacidades incluyen lo siguiente:<\/p>\n
\n- Establecimiento de shells remotos<\/li>\n
- Captura de paquetes de red<\/li>\n
- Creaci\u00f3n de trabajos cron<\/li>\n
- T\u00faneles a trav\u00e9s de un proxy SOCKS5 inverso<\/li>\n<\/ul>\n
Entre los objetivos se\u00f1alados figuran organismos gubernamentales y proveedores, organizaciones no gubernamentales (ONG) y entidades del sector sanitario y del transporte en la regi\u00f3n de Asia-Pac\u00edfico.<\/p>\n
<\/a>Acid Pour\/AcidRain<\/h3>\nLas variantes AcidRain y la m\u00e1s reciente AcidPour<\/a> son cepas de malware limpiador destructivo para Linux vinculadas al actor de amenazas ruso Razing Ursa<\/a> (alias Sandworm, Voodoo Bear). AcidRain es un binario de ELF dirigido a m\u00f3dems y enrutadores basados en la arquitectura\u00a0MIPS<\/a>.<\/p>\nAcidPour es un binario de ELF similar, pero compilado para x86. Puede afectar a una gama m\u00e1s amplia de objetivos, como matrices de almacenamiento basadas en x86 de Linux, dispositivos de red y sistemas de control industrial.<\/p>\n
Ambos limpiadores utilizan controles de entrada\/salida (IOCTL) para efectuar la destrucci\u00f3n de datos y luego se autoeliminan para evadir la defensa. AcidPour o una nueva variante de este binario ser\u00eda eficaz para borrar sistemas en la nube basados en x86 desprotegidos si un actor de amenazas obtuviera acceso shell, por ejemplo, a trav\u00e9s de una implementaci\u00f3n web shell exitosa o un escape de contenedor.<\/p>\n
Hemos observado nuevos valores hash de estas familias de malware en los meses anteriores a este informe. A medida que las organizaciones contin\u00faen migrando a la nube, los actores de amenazas seguir\u00e1n desarrollando estas familias de malware y dirigi\u00e9ndose hacia entornos de tiempo de ejecuci\u00f3n en la nube. Esto destaca la necesidad de mejorar las capacidades de seguridad de detecci\u00f3n y prevenci\u00f3n en las cargas de trabajo en la nube y los contenedores.<\/p>\n
<\/a>Conclusi\u00f3n<\/h2>\nLas alertas basadas en la nube aumentaron un promedio de 388\u00a0% durante el a\u00f1o 2024. Predecimos que los actores de amenazas dirigidas a entornos de nube comenzar\u00e1n a utilizar herramientas m\u00e1s complejas en sus ataques. Esto incluye reelaborar, mejorar y adaptar las herramientas existentes que hist\u00f3ricamente solo se dirig\u00edan a sistemas operativos (SO) Linux.<\/p>\n
Teniendo en cuenta las estimaciones citadas de que hasta el 90\u00a0% de los entornos de nube funcionan con instancias de computaci\u00f3n Linux, el siguiente paso l\u00f3gico ser\u00eda que los actores de amenazas utilicen estas familias de malware contra los entornos de nube.<\/p>\n
Es m\u00e1s importante que nunca implantar agentes de seguridad de endpoint en las instancias de computaci\u00f3n en la nube para garantizar que se detecta todo el procesamiento malicioso en tiempo de ejecuci\u00f3n, el tr\u00e1fico de red y las operaciones de comportamiento sospechosas. Los modernos agentes de endpoints en la nube pueden detectar estas familias de malware. La introducci\u00f3n del aprendizaje autom\u00e1tico en la detecci\u00f3n de endpoints es un avance significativo en la seguridad en la nube.<\/p>\n
Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/p>\n
Recomendamos un enfoque de detecci\u00f3n de aprendizaje autom\u00e1tico para marcar los binarios. Un planteamiento evolutivo debe tener en cuenta factores como los siguientes:<\/p>\n
\n- Llamadas al sistema en modo kernel<\/li>\n
- Funciones de importaci\u00f3n<\/li>\n
- T\u00e9cnicas de evasi\u00f3n<\/li>\n
- Tr\u00e1fico de red<\/li>\n
- Patrones binarios desconocidos<\/li>\n<\/ul>\n
La Figura\u00a01 muestra un binario de ELF previamente desconocido que activ\u00f3 la alerta de aprendizaje autom\u00e1tico de Cortex.<\/p>\n![\"Captura]()
Figura 1. Alerta de ejecuci\u00f3n de ELF mediante aprendizaje autom\u00e1tico en Cortex Cloud.<\/figcaption><\/figure>\n<\/a>Detecciones de ELF mediante aprendizaje autom\u00e1tico<\/h4>\nCortex Cloud<\/a> de Palo Alto Networks<\/a> ha desarrollado un nuevo m\u00f3dulo de aprendizaje autom\u00e1tico espec\u00edfico para detectar archivos\u00a0ELF de Linux. Los investigadores de Cortex realizaron pruebas con m\u00e1s de 100\u00a0binarios de ELF \u00fanicos de las cinco familias de malware analizadas en este art\u00edculo. Todas las familias de malware se detectaron correctamente y el 92\u00a0% de las muestras se marcaron como maliciosas.<\/p>\nEl 8\u00a0% restante conten\u00eda bibliotecas compartidas (.so<\/span>) de Linux que estaban fuera del alcance del modelo utilizado.<\/p>\nLos archivos detectados cumpl\u00edan los siguientes criterios de prueba:<\/p>\n
\n- Malicioso<\/li>\n
- Sospechoso<\/li>\n
- Benigno<\/li>\n<\/ul>\n
Las muestras que recibieron una puntuaci\u00f3n de 0,85 o m\u00e1s se clasifican como maliciosas, los resultados entre 0,84 y 0,65 se consideran sospechosos y cualquier resultado inferior a 0,64 se considera benigno.<\/p>\n
La Figura\u00a02 muestra que el 61\u00a0% de las muestras analizadas obtuvieron resultados superiores a 0,85 y se consideraron maliciosas.<\/p>\n![\"Gr\u00e1fico]()
Figura 2. Las puntuaciones de las pruebas de aprendizaje autom\u00e1tico de ELF por porcentaje: benigno, sospechoso o malicioso.<\/figcaption><\/figure>\nEl 92,3\u00a0% de todas las muestras presentadas superaron el umbral de sospecha de 0,65. Esto demuestra que todas menos el 7,7\u00a0% de las muestras proporcionadas se consideran sospechosas y activar\u00edan una alerta si se ejecutaran en el entorno.<\/p>\n
<\/a>Detecciones de aprendizaje autom\u00e1tico de PowerShell y VBS<\/h4>\nTambi\u00e9n utilizamos el m\u00f3dulo de aprendizaje autom\u00e1tico de PowerShell y VBS de Cortex para investigar la detecci\u00f3n de operaciones espec\u00edficas de la nube. Enviamos m\u00e1s de 100\u00a0scripts de Visual Basic (VBS) y PowerShell al modelo ML. Estos scripts se eligieron a mano como scripts maliciosos que realizaban las siguientes actividades:<\/p>\n
\n- Descubrimiento y creaci\u00f3n de recursos en la nube<\/li>\n
- Eliminaci\u00f3n y exfiltraci\u00f3n de objetos del contenedor de almacenamiento<\/li>\n
- Operaciones de acceso y gesti\u00f3n de identidades (IAM)<\/li>\n<\/ul>\n
La Figura\u00a03 muestra que el 67\u00a0% de estos scripts se identificaron con \u00e9xito como maliciosos o sospechosos. En particular, casi el 96\u00a0% de las muestras maliciosas recibieron una puntuaci\u00f3n de 0,95 o m\u00e1s.<\/p>\n![\"Gr\u00e1fico]()
Figura 3. Puntuaciones de las pruebas de aprendizaje autom\u00e1tico de PowerShell y VBS por porcentaje: benigno, sospechoso o malicioso.<\/figcaption><\/figure>\nCortex Cloud<\/strong><\/p>\nLos defensores pueden obtener informaci\u00f3n valiosa mediante la b\u00fasqueda de amenazas para ejecuciones de malware de ELF comunes en endpoints en la nube. Esto puede hacerse mediante la detecci\u00f3n y respuesta en la nube (CDR), que es una soluci\u00f3n de seguridad en la nube que combina lo siguiente:<\/p>\n
\n- Capacidades de detecci\u00f3n y respuesta a endpoints (EDR)<\/li>\n
- Detecci\u00f3n y prevenci\u00f3n de procesos ejecutables que se ejecutan en endpoints en la nube<\/li>\n
- Capacidades de auditor\u00eda y registro inherentes a la plataforma de servicios en la nube<\/li>\n<\/ul>\n
Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n
\n- M\u00f3dulo de detecci\u00f3n de ELF mediante aprendizaje autom\u00e1tico en Cortex<\/li>\n
- M\u00f3dulo de detecci\u00f3n de PowerShell y VBS mediante aprendizaje autom\u00e1tico en Cortex<\/li>\n<\/ul>\n
Si cree que su seguridad puede haber sido comprometida o si tiene un asunto urgente, p\u00f3ngase en contacto con el equipo de respuesta a incidentes de Unit\u00a042<\/a> o llame a los siguientes n\u00fameros:<\/p>\n\n- Am\u00e9rica del Norte: Llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n
- REINO UNIDO: +44.20.3743.3660<\/li>\n
- Europa y Oriente Medio: +31.20.299.3130<\/li>\n
- Asia: +65.6983.8730<\/li>\n
- Jap\u00f3n: +81.50.1790.0200<\/li>\n
- Australia: +61.2.4062.7950<\/li>\n
- India: 00080005045107<\/li>\n<\/ul>\n
Palo Alto Networks comparti\u00f3 estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente protecciones para sus clientes y desbaratar sistem\u00e1ticamente a los ciberactores malintencionados. Obtenga m\u00e1s informaci\u00f3n sobre Cyber Threat Alliance<\/a>.<\/p>\n<\/a>Recursos adicionales<\/h2>\nSe recurri\u00f3 a varias fuentes para apoyar y orientar esta investigaci\u00f3n:<\/p>\n
\n- Cloud Threats on the Rise<\/a> (Aumentan las amenazas a la nube), Unit\u00a042<\/li>\n
- 2024 State of the Cloud Report<\/a> (Informe sobre el estado de la nube de 2024), Unit\u00a042<\/li>\n
- AcidPour Wiper Malware<\/a> (Malware limpiador AcidPour), Splunk<\/li>\n
- AcidPour | New Embedded Wiper Variant of AcidRain Appears in Ukraine<\/a> (AcidPour | La nueva variante incorporada del limpiador AcidRain aparece en Ucrania), SentinelOne<\/li>\n
- Nation Cyber Security Centre (Centro Nacional de Ciberseguridad)<\/a>, NCSC<\/li>\n
- Analyzing SSHdInjector<\/a> (An\u00e1lisis de SSHdInjector), Fortinet<\/li>\n
- Reviewing the NoodleRAT Backdoor<\/a> (Revisi\u00f3n de la puerta trasera de NoodleRAT), Trend Micro<\/li>\n
- RevivalStone: Winnti Group<\/a>, LAC\u2019s Cyber Emergency Center (Centro de Emergencias Cibern\u00e9ticas de LAC)<\/li>\n<\/ul>\n
<\/p>\n","protected":false},"excerpt":{"rendered":"
Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados. <\/p>\n","protected":false},"author":317,"featured_media":142729,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8730,8793],"tags":[9218,9219,9220,9221,9222,9223,9217],"product_categories":[8932,8933,8890],"coauthors":[1394,8920],"class_list":["post-144232","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-cloud-cybersecurity-research-es-la","category-malware-es-la","tag-endpoint-es-la","tag-linux-malware-es-la","tag-machine-learning-es-la","tag-powershell-es-la","tag-remote-access-trojan-es-la","tag-vbscript-es-la","tag-winnit","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"\n
Evoluci\u00f3n de los binarios de Linux en las operaciones en la nube espec\u00edficas<\/title>\n<meta name=\"description\" content=\"Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados. Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Evoluci\u00f3n de los binarios de Linux en las operaciones en la nube espec\u00edficas\" \/>\n<meta property=\"og:description\" content=\"Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados. Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-06-10T17:11:44+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-06-25T17:13:05+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Nathaniel Quist, Bill Batchelor\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Evoluci\u00f3n de los binarios de Linux en las operaciones en la nube espec\u00edficas","description":"Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados. Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/","og_locale":"es_LA","og_type":"article","og_title":"Evoluci\u00f3n de los binarios de Linux en las operaciones en la nube espec\u00edficas","og_description":"Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados. Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/","og_site_name":"Unit 42","article_published_time":"2025-06-10T17:11:44+00:00","article_modified_time":"2025-06-25T17:13:05+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Nathaniel Quist, Bill Batchelor","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/"},"author":{"name":"Nathaniel Quist","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"headline":"Evoluci\u00f3n de los binarios de Linux en las operaciones en la nube espec\u00edficas","datePublished":"2025-06-10T17:11:44+00:00","dateModified":"2025-06-25T17:13:05+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/"},"wordCount":2613,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["endpoint","Linux Malware","Machine Learning","PowerShell","Remote Access Trojan","VBScript","Winnit"],"articleSection":["Investigaci\u00f3n de amenazas","Investigaci\u00f3n de ciberseguridad en la nube","Malware"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/","name":"Evoluci\u00f3n de los binarios de Linux en las operaciones en la nube espec\u00edficas","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-06-10T17:11:44+00:00","dateModified":"2025-06-25T17:13:05+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"description":"Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados. Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/02_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of ELF-based malware like NoodleRAT, Winnti, SSHdInjector, Pygmy Goat and AcidPour. Vibrant futuristic cityscape with glowing neon lines, clouds, and a dramatic sky at twilight."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/elf-based-malware-targets-cloud\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Evoluci\u00f3n de los binarios de Linux en las operaciones en la nube espec\u00edficas"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de","name":"Nathaniel Quist","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/947819d65069de51e7512d05c4607081","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","caption":"Nathaniel Quist"},"description":"Nathaniel Quist is the Manager of the Cloud Threat Intelligence Team for Cortex Cloud, where he collaborates with the Cortex and Unit 42 researchers to track threat actors targeting cloud platforms and services. He holds a Master of Science in Information Security Engineering from The SANS Institute and has authored several publications for Palo Alto Networks' Unit 42, Prisma Cloud, and the SANS InfoSec Reading Room. Outside of cloud threats, he enjoys puzzles, blockchain, and ranching.","url":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/author\/nathaniel-quist\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/144232","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/317"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=144232"}],"version-history":[{"count":5,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/144232\/revisions"}],"predecessor-version":[{"id":144297,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/144232\/revisions\/144297"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/142729"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=144232"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=144232"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=144232"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=144232"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=144232"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
En este art\u00edculo, se exploran los tipos de binarios maliciosos que los actores de amenazas est\u00e1n desarrollando para utilizarlos en ataques contra entornos basados en Linux. Los archivos\u00a0ELF son un formato de archivo est\u00e1ndar com\u00fan para archivos ejecutables dentro de los sistemas operativos (SO) Linux. Los investigadores estiman que entre el 70\u00a0<\/a>% y el 90\u00a0<\/a>% de todas las instancias inform\u00e1ticas en entornos de nube se basan en variantes (tambi\u00e9n conocidas como distribuciones) del sistema operativo Linux. Aunque el malware basado en ELF no es nuevo, es probable que estas familias de malware y los tipos de t\u00e9cnicas de ataque que usan evolucionen hacia el ataque a la infraestructura de la nube.<\/p>\n Las familias de malware de Linux m\u00e1s conocidas pueden evolucionar para atacar activamente los recursos de la nube. Los atacantes pueden adaptar e implementar estas familias en cargas de trabajo en la nube y entornos de contenedores con relativa facilidad debido a la ubicuidad de las instancias del SO\u00a0Linux en el entorno de nube est\u00e1ndar.<\/p>\n Nuestros investigadores se\u00f1alaron ejemplos de cepas en evoluci\u00f3n de malware basado en ELF, como NoodleRAT, Winnti, SSHdInjector, Pygmy Goat y AcidPour. Estos binarios de ELF utilizan t\u00e9cnicas como el secuestro din\u00e1mico del enlazador, en el que abusan de la variable de entorno LD_PRELOAD<\/span> para realizar lo siguiente:<\/p>\n Esto permite a los actores de amenazas lograr persistencia, mantener canales de mando y control (C2) sigilosos, exfiltrar datos de forma encubierta y afectar las operaciones al borrar datos cr\u00edticos.<\/p>\n Este malware permite a los actores de amenazas realizar operaciones\u00a0C2 en un endpoint objetivo, incluido lo siguiente:<\/p>\n NoodleRAT tiene variantes para Windows y Linux. La variante para Linux<\/a> es una puerta trasera basada en ELF. Aunque el c\u00f3digo de NoodleRAT para Linux guarda similitudes con otros malware de puerta trasera de Linux, incluidos Rekoobe y Tiny SHell, NoodleRAT se considera su propia familia de malware.<\/p>\n NoodleRAT se ha observado en intrusiones tanto de ciberdelincuentes como de ciberespionaje, incluso de actores de amenazas chinos como Rocke<\/a>, y presuntos agentes de un Estado-naci\u00f3n asociados a la campa\u00f1a Cloud Snooper<\/a>. Los actores detr\u00e1s de la variante de NoodleRAT para Linux han atacado a entidades de varios pa\u00edses de la regi\u00f3n Asia-Pac\u00edfico, como Tailandia, India, Jap\u00f3n, Malasia y Taiw\u00e1n.<\/p>\n Winnti tiene versiones para Windows y Linux. Este malware logra su persistencia mediante el abuso de la variable de entorno LD_PRELOAD<\/span>, lo que le permite cargarse en la memoria sin alterar ning\u00fan binario leg\u00edtimo del sistema.<\/p>\n La puerta trasera tiene la siguiente funcionalidad:<\/p>\n El malware de la variante de Winnti para Linux<\/a> es una puerta trasera supuestamente utilizada por varios actores de amenazas con conexiones con China, incluidos los que rastreamos como Starchy Taurus (alias Winnti<\/a> Group y BARIUM) y Nuclear Taurus (alias Tumbleweed Typhoon, THORIUM, Bronze Vapor<\/a>). La puerta trasera consta de dos archivos: un ejecutable\u00a0ELF primario (libxselinux<\/span>) y una biblioteca din\u00e1mica adicional (libxselinux.so<\/span>).<\/p>\n Esta puerta trasera\u00a0SSH de Linux<\/a> inyecta c\u00f3digo malicioso en el demonio\u00a0SSH (sshd<\/span>) en tiempo de ejecuci\u00f3n. El c\u00f3digo inyectado otorga al actor de amenazas acceso persistente y facilita actividades maliciosas como las siguientes:<\/p>\n Se ha observado a SSHdInjector siendo utilizado por varios actores de amenazas con conexiones con China, incluido uno que rastreamos como Digging Taurus<\/a> (alias Daggerfly, Evasive Panda). Los objetivos<\/a> est\u00e1n relacionados con el ciberespionaje y han incluido individuos, instituciones gubernamentales y organizaciones de telecomunicaciones.<\/p>\n Pygmy Goat es una puerta trasera de Linux que fue descubierto en los dispositivos firewall Sophos\u00a0XG<\/a>, pero est\u00e1 dise\u00f1ado para atacar otros sistemas basados en Linux. El malware obtiene acceso inicial y persistencia mediante la funcionalidad de rootkit al aprovechar el archivo de biblioteca libsophos.so, que es vulnerable a la omisi\u00f3n de autenticaci\u00f3n (CVE-2022-1040<\/a>).<\/p>\n A continuaci\u00f3n, el ejecutable se inyecta en el demonio\u00a0SSH (sshd<\/span>) utilizando la variable de entorno LD_PRELOAD<\/span> en el dispositivo objetivo e intercepta las comunicaciones\u00a0SSH. El actor de amenazas puede iniciar comunicaciones con el malware al enviar paquetes\u00a0ICMP especialmente dise\u00f1ados, una t\u00e9cnica conocida como \u201cgolpeo de puertos<\/a>\u201d, o al enviar una serie de bytes m\u00e1gicos<\/a> incrustados en el tr\u00e1fico\u00a0SSH.<\/p>\n Sus capacidades incluyen lo siguiente:<\/p>\n Entre los objetivos se\u00f1alados figuran organismos gubernamentales y proveedores, organizaciones no gubernamentales (ONG) y entidades del sector sanitario y del transporte en la regi\u00f3n de Asia-Pac\u00edfico.<\/p>\n Las variantes AcidRain y la m\u00e1s reciente AcidPour<\/a> son cepas de malware limpiador destructivo para Linux vinculadas al actor de amenazas ruso Razing Ursa<\/a> (alias Sandworm, Voodoo Bear). AcidRain es un binario de ELF dirigido a m\u00f3dems y enrutadores basados en la arquitectura\u00a0MIPS<\/a>.<\/p>\n AcidPour es un binario de ELF similar, pero compilado para x86. Puede afectar a una gama m\u00e1s amplia de objetivos, como matrices de almacenamiento basadas en x86 de Linux, dispositivos de red y sistemas de control industrial.<\/p>\n Ambos limpiadores utilizan controles de entrada\/salida (IOCTL) para efectuar la destrucci\u00f3n de datos y luego se autoeliminan para evadir la defensa. AcidPour o una nueva variante de este binario ser\u00eda eficaz para borrar sistemas en la nube basados en x86 desprotegidos si un actor de amenazas obtuviera acceso shell, por ejemplo, a trav\u00e9s de una implementaci\u00f3n web shell exitosa o un escape de contenedor.<\/p>\n Hemos observado nuevos valores hash de estas familias de malware en los meses anteriores a este informe. A medida que las organizaciones contin\u00faen migrando a la nube, los actores de amenazas seguir\u00e1n desarrollando estas familias de malware y dirigi\u00e9ndose hacia entornos de tiempo de ejecuci\u00f3n en la nube. Esto destaca la necesidad de mejorar las capacidades de seguridad de detecci\u00f3n y prevenci\u00f3n en las cargas de trabajo en la nube y los contenedores.<\/p>\n Las alertas basadas en la nube aumentaron un promedio de 388\u00a0% durante el a\u00f1o 2024. Predecimos que los actores de amenazas dirigidas a entornos de nube comenzar\u00e1n a utilizar herramientas m\u00e1s complejas en sus ataques. Esto incluye reelaborar, mejorar y adaptar las herramientas existentes que hist\u00f3ricamente solo se dirig\u00edan a sistemas operativos (SO) Linux.<\/p>\n Teniendo en cuenta las estimaciones citadas de que hasta el 90\u00a0% de los entornos de nube funcionan con instancias de computaci\u00f3n Linux, el siguiente paso l\u00f3gico ser\u00eda que los actores de amenazas utilicen estas familias de malware contra los entornos de nube.<\/p>\n Es m\u00e1s importante que nunca implantar agentes de seguridad de endpoint en las instancias de computaci\u00f3n en la nube para garantizar que se detecta todo el procesamiento malicioso en tiempo de ejecuci\u00f3n, el tr\u00e1fico de red y las operaciones de comportamiento sospechosas. Los modernos agentes de endpoints en la nube pueden detectar estas familias de malware. La introducci\u00f3n del aprendizaje autom\u00e1tico en la detecci\u00f3n de endpoints es un avance significativo en la seguridad en la nube.<\/p>\n Protecci\u00f3n y mitigaci\u00f3n de Palo Alto Networks<\/p>\n Recomendamos un enfoque de detecci\u00f3n de aprendizaje autom\u00e1tico para marcar los binarios. Un planteamiento evolutivo debe tener en cuenta factores como los siguientes:<\/p>\n La Figura\u00a01 muestra un binario de ELF previamente desconocido que activ\u00f3 la alerta de aprendizaje autom\u00e1tico de Cortex.<\/p>\n Cortex Cloud<\/a> de Palo Alto Networks<\/a> ha desarrollado un nuevo m\u00f3dulo de aprendizaje autom\u00e1tico espec\u00edfico para detectar archivos\u00a0ELF de Linux. Los investigadores de Cortex realizaron pruebas con m\u00e1s de 100\u00a0binarios de ELF \u00fanicos de las cinco familias de malware analizadas en este art\u00edculo. Todas las familias de malware se detectaron correctamente y el 92\u00a0% de las muestras se marcaron como maliciosas.<\/p>\n El 8\u00a0% restante conten\u00eda bibliotecas compartidas (.so<\/span>) de Linux que estaban fuera del alcance del modelo utilizado.<\/p>\n Los archivos detectados cumpl\u00edan los siguientes criterios de prueba:<\/p>\n Las muestras que recibieron una puntuaci\u00f3n de 0,85 o m\u00e1s se clasifican como maliciosas, los resultados entre 0,84 y 0,65 se consideran sospechosos y cualquier resultado inferior a 0,64 se considera benigno.<\/p>\n La Figura\u00a02 muestra que el 61\u00a0% de las muestras analizadas obtuvieron resultados superiores a 0,85 y se consideraron maliciosas.<\/p>\n El 92,3\u00a0% de todas las muestras presentadas superaron el umbral de sospecha de 0,65. Esto demuestra que todas menos el 7,7\u00a0% de las muestras proporcionadas se consideran sospechosas y activar\u00edan una alerta si se ejecutaran en el entorno.<\/p>\n Tambi\u00e9n utilizamos el m\u00f3dulo de aprendizaje autom\u00e1tico de PowerShell y VBS de Cortex para investigar la detecci\u00f3n de operaciones espec\u00edficas de la nube. Enviamos m\u00e1s de 100\u00a0scripts de Visual Basic (VBS) y PowerShell al modelo ML. Estos scripts se eligieron a mano como scripts maliciosos que realizaban las siguientes actividades:<\/p>\n La Figura\u00a03 muestra que el 67\u00a0% de estos scripts se identificaron con \u00e9xito como maliciosos o sospechosos. En particular, casi el 96\u00a0% de las muestras maliciosas recibieron una puntuaci\u00f3n de 0,95 o m\u00e1s.<\/p>\n Cortex Cloud<\/strong><\/p>\n Los defensores pueden obtener informaci\u00f3n valiosa mediante la b\u00fasqueda de amenazas para ejecuciones de malware de ELF comunes en endpoints en la nube. Esto puede hacerse mediante la detecci\u00f3n y respuesta en la nube (CDR), que es una soluci\u00f3n de seguridad en la nube que combina lo siguiente:<\/p>\n Los clientes de Palo Alto Networks est\u00e1n mejor protegidos frente a las amenazas mencionadas gracias a los siguientes productos:<\/p>\n Si cree que su seguridad puede haber sido comprometida o si tiene un asunto urgente, p\u00f3ngase en contacto con el equipo de respuesta a incidentes de Unit\u00a042<\/a> o llame a los siguientes n\u00fameros:<\/p>\n Palo Alto Networks comparti\u00f3 estos resultados con nuestros compa\u00f1eros de Cyber Threat Alliance (CTA). Los miembros de CTA utilizan esta inteligencia para implementar r\u00e1pidamente protecciones para sus clientes y desbaratar sistem\u00e1ticamente a los ciberactores malintencionados. Obtenga m\u00e1s informaci\u00f3n sobre Cyber Threat Alliance<\/a>.<\/p>\n Se recurri\u00f3 a varias fuentes para apoyar y orientar esta investigaci\u00f3n:<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Utilizando datos de herramientas de aprendizaje autom\u00e1tico, Unit 42 predice un aumento de los ataques en la nube que aprovechan los archivos de formato ejecutable y enlazable (ELF) reelaborados. <\/p>\n","protected":false},"author":317,"featured_media":142729,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8730,8793],"tags":[9218,9219,9220,9221,9222,9223,9217],"product_categories":[8932,8933,8890],"coauthors":[1394,8920],"class_list":["post-144232","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-cloud-cybersecurity-research-es-la","category-malware-es-la","tag-endpoint-es-la","tag-linux-malware-es-la","tag-machine-learning-es-la","tag-powershell-es-la","tag-remote-access-trojan-es-la","tag-vbscript-es-la","tag-winnit","product_categories-cortex-es-la","product_categories-cortex-cloud-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"\n<\/a>Evoluci\u00f3n de los binarios de ELF<\/h2>\n
\n
<\/a>NoodleRAT<\/h3>\n
\n
<\/a>Winnti<\/h3>\n
\n
<\/a>SSHdInjector<\/h3>\n
\n
<\/a>Pygmy Goat<\/h3>\n
\n
<\/a>Acid Pour\/AcidRain<\/h3>\n
<\/a>Conclusi\u00f3n<\/h2>\n
\n
![\"Captura](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/word-image-851130-144232-1.png\")
<\/a>Detecciones de ELF mediante aprendizaje autom\u00e1tico<\/h4>\n
\n
![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/chart-6.png\")
<\/a>Detecciones de aprendizaje autom\u00e1tico de PowerShell y VBS<\/h4>\n
\n
![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/06\/chart-7.png\")
\n
\n
\n
<\/a>Recursos adicionales<\/h2>\n
\n