Protege tu Sistema Linux. Cómo detectar procesos sospechosos y malware en Linux

-
Linux Security | Malware Detection | Tools

Cómo detectar procesos sospechosos y malware en Linux

Monitorea tu sistema Linux. Identifica procesos inusuales, conexiones sospechosas, rootkits. Herramientas: htop, ClamAV, rkhunter, Wireshark. Buenas prácticas de seguridad.

¿Es necesario preocuparse por malware en Linux?


Durante años se repitió la idea de que Linux es inmune a virus. Aunque Linux sigue siendo uno de los sistemas operativos más seguros disponibles, la realidad es que ningún sistema está completamente libre de amenazas. El malware para Linux existe, los ataques existen y procesos extraños consumiendo recursos pueden aparecer sin que lo notes.

La buena noticia: La mayoría de usuarios domésticos nunca tendrán problemas graves. Aprender a revisar periódicamente tu sistema es una buena práctica de seguridad que puede ayudarte a detectar errores, configuraciones incorrectas, o incluso amenazas reales.

Herramientas disponibles: Linux incorpora excelentes herramientas gratuitas para monitorear lo que ocurre en tu sistema y detectar comportamientos sospechosos. Esta guía te enseña a usarlas.

Lo importante: No se trata de vivir preocupado. Se trata de conocer las herramientas que Linux pone a tu disposición para reaccionar rápidamente ante comportamientos inusuales.

Herramientas recomendadas para detectar amenazas

htop / btop

Monitor interactivo de procesos. Identifica CPU/memoria alta sospechosa.

ClamAV

Antivirus open source. Escanea archivos en busca de malware conocido.

rkhunter

Detección de rootkits. Busca indicadores de compromiso en el sistema.

systemctl

Ver servicios que arrancan automáticamente. Detecta autostart sospechoso.

ss / netstat

Analiza conexiones de red activas. Identifica tráfico sospechoso.

Wireshark

Análisis profundo de tráfico de red. Captura y inspecciona paquetes.

crontab / cron.d

Revisa tareas programadas. Algunos malwares se ejecutan periódicamente.

debsums

Verifica integridad de paquetes. Detecta cambios en archivos del sistema.

1. Revisar procesos activos con htop

Uno de los primeros lugares donde buscar comportamientos extraños es la lista de procesos activos.

Instalación

# Debian / Ubuntu / Linux Mint sudo apt install htop # Fedora sudo dnf install htop # Arch / Manjaro sudo pacman -S htop

Usar htop

htop

Qué observar

  • CPU alta constantemente: Procesos consumiendo CPU sin parar = sospechoso
  • Memoria excesiva: RAM consumida sin justificación
  • Nombres extraños: Nombres oscuros, ofuscados, o que no reconoces
  • Permisos elevados: Procesos con root/sudo sin razón aparente
  • Padres desconocidos: Procesos iniciados por daemons extraños

Alternativa moderna: btop

sudo apt install btop btop

2. Ver servicios que arrancan automáticamente

Algunos programas maliciosos intentan ejecutarse automáticamente al iniciar sesión. Revisa los servicios habilitados.

Servicios del sistema

systemctl list-unit-files --state=enabled

Servicios del usuario

systemctl --user list-unit-files --state=enabled

Si encuentras algo sospechoso

  • Investigá antes de eliminarlo. Google el nombre del servicio.
  • Si no lo reconoces y no lo instalaste: es sospechoso.
  • Deshabilita con: sudo systemctl disable nombre-servicio
Cuidado: No elimines servicios del sistema que no reconoces sin investigar primero. Algunos servicios legítimos tienen nombres que suenan raros.

3. Revisar conexiones de red activas

Un proceso sospechoso suele comunicarse con servidores externos. Inspecciona las conexiones abiertas.

Ver puertos abiertos y conexiones

ss -tulpn

Qué muestra

  • Puertos escuchando en tu sistema
  • Conexiones activas (locales y remotas)
  • Aplicaciones asociadas a cada conexión

Analizar una dirección IP sospechosa

# Usa whois para investigar una IP whois IP_SOSPECHOSA # O consulta geolocalización curl ipinfo.io/IP_SOSPECHOSA

Si detectas conexiones persistentes hacia direcciones desconocidas, investiga.

4. Analizar consumo de recursos inusual

Muchos usuarios descubren problemas porque el equipo comienza a comportarse extraño.

Señales de alerta

  • Ventiladores funcionando constantemente (CPU trabajando sin parar)
  • CPU al 100% sin aplicaciones visibles abiertas
  • Aumento del consumo energético notorio
  • Rendimiento general degradado
  • Lentitud anómala sin causa obvia

Herramientas para monitorear

# Monitor tradicional top # Monitor moderno y visual btop

5. Buscar rootkits con rkhunter

Rootkit Hunter es una herramienta clásica para buscar indicadores de compromiso en sistemas Linux.

Instalación

# Debian / Ubuntu / Linux Mint sudo apt install rkhunter # Fedora sudo dnf install rkhunter # Arch Linux sudo pacman -S rkhunter

Actualizar firmas de rootkits conocidos

sudo rkhunter --update

Ejecutar análisis completo

sudo rkhunter --check # Análisis sin parar en alertas sudo rkhunter --check --skip-keypress

Qué busca

  • Rootkits conocidos y malware
  • Archivos del sistema modificados
  • Procesos ocultos
  • Puertos ocultos escuchando

6. Escanear con ClamAV

ClamAV es probablemente el antivirus más conocido del ecosistema Linux. Gratuito y open source.

Instalación

# Debian / Ubuntu / Linux Mint sudo apt install clamav clamav-daemon # Fedora sudo dnf install clamav # Arch / Manjaro sudo pacman -S clamav

Actualizar base de datos de virus

sudo freshclam # Iniciar daemon de ClamAV sudo systemctl start clamav-daemon

Escanear archivos

# Escanear un directorio recursivamente clamscan -r /home # Escanear todo el sistema (lento) sudo clamscan -r / # Mostrar solo positivos clamscan -r --infected /home

7. Revisar tareas programadas (cron)

Algunos programas maliciosos utilizan tareas programadas para ejecutarse periódicamente.

Tareas del usuario

crontab -l

Tareas del sistema

sudo crontab -l

Directorios de tareas del sistema

ls -la /etc/cron.d/ ls -la /etc/cron.daily/ ls -la /etc/cron.weekly/ cat /etc/cron.d/* | grep -v ^#

Si encuentras tareas que no reconoces, elimínalas o comenta la línea.

8. Verificar integridad de paquetes instalados

En sistemas basados en Debian existe una herramienta poco conocida: debsums.

Instalación

sudo apt install debsums

Comprobar archivos modificados

# Ver solo cambios encontrados sudo debsums -s # Ver todos los cambios detalladamente sudo debsums

Qué detecta

Cambios inesperados en archivos pertenecientes a paquetes oficiales. Si un malware modificó archivos del sistema, debsums lo encontrará.

Guía paso a paso: escaneo completo del sistema

Paso 1: Instalar todas las herramientas

# Debian / Ubuntu / Linux Mint sudo apt install htop btop clamav clamav-daemon rkhunter wireshark

Paso 2: Revisar procesos (5 minutos)

htop # Presiona F5 para ver árbol de procesos. Busca nombres raros.

Paso 3: Revisar servicios (2 minutos)

systemctl list-unit-files --state=enabled | grep -v enabled

Paso 4: Revisar conexiones (3 minutos)

ss -tulpn

Paso 5: Escanear con ClamAV (5-15 minutos)

sudo freshclam clamscan -r --infected ~/

Paso 6: Buscar rootkits (10-30 minutos)

sudo rkhunter --update sudo rkhunter --check --skip-keypress

Paso 7: Verificar integridad (2 minutos)

sudo debsums -s
Tiempo total: 30-60 minutos para un escaneo completo. Es recomendable hacerlo mensualmente o cuando notes algo inusual.

Mejores prácticas para mantener Linux seguro

1. Mantén actualizado el sistema

sudo apt update && sudo apt upgrade # Hazlo regularmente: cada semana o cada quince días

2. No ejecutes todo con sudo

Solo usa sudo cuando realmente lo necesites. Un usuario sin privilegios causa menos daño si es comprometido.

3. Usa un firewall

sudo apt install ufw sudo ufw enable

4. Revisa los logs regularmente

sudo journalctl -xe # Ver últimos errores y eventos

5. Ten copias de seguridad (snapshots)

sudo apt install timeshift

6. No abras ejecutables de fuentes desconocidas

Especialmente .deb, .run, o scripts de internet. Siempre verifica antes.

7. Usa ssh-keys en lugar de passwords

Si accedes remotamente a tu sistema, usa claves SSH en lugar de contraseñas.

Referencias oficiales

Apoya el canal GENBYTE

Suscríbete al canal de YouTube Suscríbete a la newsletter semanal Invítame a un Ko-fi genbyte@proton.me

Sígueme en mis redes sociales

Comentarios

Publicar un comentario

Entradas populares de este blog

Cómo Instalar y configurar SERVIDOR VPN WIREGUARD en MIKROTIK 🔐 #VPN #Wireguard #Mikrotik #RouterOS

-
Imagen
Wireguard en Mikrotik Breve Explicación de Wireguard ¿Qué es WireGuard VPN? WireGuard es un nuevo protocolo de VPN. No se trata de un software, sino de un conjunto de instrucciones que permite crear VPNs de forma muy sencilla. Ha sido desarrollada como una alternativa a IPsec, OpenVPN y similares VPNs, pero más rápida y sencilla de usar. En esencia, WireGuard está basado en ideas del protocolo IPsec. WireGuard es una VPN extremadamente simple, pero rápida y moderna que utiliza criptografía de última generación. Su objetivo es ser más rápido, más simple, y más versátil que IPSec, evitando al mismo tiempo el enorme dolor de cabeza (sobre todo en redes con NAT). Pretende ser considerablemente más eficaz que OpenVPN. WireGuard está diseñado como una VPN de propósito general para ejecutarse en interfaces embebidas, apto para muchas circunstancias diferentes. Se ejecuta sobre el protocolo UDP, por lo tanto es considerado un túnel de capa 3. ¿Cómo funciona Wireguard VPN? WireGuard es un proto...
Leer más

Cómo instalar y configurar DSM SYNOLOGY 7.2.2 en PC | Guía completa, instalación, RAID 1, SMB

-
Imagen
Instalación y puesta en marcha de Synology DSM 7.2.2 en PC Vídeo ACTUALIZADO, NUEVA VERSIÓN DEL ARC LOADER:  https://youtu.be/LgghogL-UCA https://genbyte.blogspot.com/2025/08/como-convertir-pc-en-synlogy-con-6-tb.html ----- Proceso de instalación y puesta en marcha de sistema operativo DSM Synology versión 7.2.2 en un PC, concretamente un HP 800 G1 EliteDesk. El PC tendrá 3 discos SSD, uno de 120 GB para el S.O. DSM, y otros dos de 240GB cada en RAID 1 para los Datos. Los 3 dicos duros conectados al PC mediante cables SATA. Lo primero que necesitamos es descargar la imagen bootloader ARC, desde el siguiente repositorio de Gothub, también necesitamos Rufus, en este momento, es la versión 4.6. Imagen ARC:  https://github.com/AuxXxilium/arc Imagen usado en el vídeo 1.1.29:  https://github.com/AuxXxilium/arc/releases/tag/1.1.29 Rufus:  https://rufus.ie/es/ Después de descargar la imagen ARC.img, conectamos nuestro primer disco SSD de 120GB por cable o conector SATA-USB y...
Leer más

Cómo INSTALAR y CONFIGURAR OpenVPN en MIKROTIK. Guía completa paso a paso.

-
Imagen
Cómo INSTALAR y CONFIGURAR OpenVPN en MIKROTIK. Guía completa paso a paso. Vídeo tutorial paso a paso en Youtube Desarrollo Ilustración: Diagrama RED Creación de Redes (Address) ----------------------------------------------- WAN 192.168.1.0/24 LAN 192.168.88.0/24 VPN 192.168.100.0/24 Creación del Rango VPN ------------------------ 192.168.100.1 - 192.168.100.100 Creación de los Certificados ------------------------------- Los certificados que vamos a crear a continuación tendrán una validez de 10 años; days-valid=3650 Crear certificado CA ---------------------- /certificate add name=CA-tpl country="" state="" locality="" organization="" unit="" common-name="CA" key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign /certificate sign CA-tpl ca-crl-host=127.0.0.1 name="CA" Crear certificado Server -------------------------- /certificate add name=SERVER-tpl country="" state="" locality=...
Leer más