Aikido

Cómo Aikido Intel detecta primero el malware y las vulnerabilidades

Escrito por
Dania Durnas

En resumen: Aikido Intel es un servicio de inteligencia en tiempo real sobre la cadena de suministro. Detecta tanto malware como vulnerabilidades en los ecosistemas de código abierto. Los investigadores de primer nivel de Aikido mantienen nuestro proceso de análisis, impulsado por modelos de lenguaje grande (LLM), para detectar malware y validar manualmente los casos más maliciosos. El sistema de detección de vulnerabilidades supervisa los cambios en los paquetes de los distintos ecosistemas para detectar y documentar vulnerabilidades a las que aún no se les ha asignado un CVE. La mayoría de las demás empresas que operan en este ámbito pueden documentar vulnerabilidades o malware, pero no ambas cosas. Aikido cubre ambos aspectos para que los usuarios de Intel puedan tener una visión completa a la hora de proteger su infraestructura.

La ingeniería de software se basa hoy en día en una confianza heredada que los atacantes aprovechan. Aunque el malware es tan antiguo como el propio software, hoy en día puede distribuirse a través de dependencias de código abierto. Actualmente, los responsables de los registros detectan el malware cuando pueden, pero muchos de ellos están gestionados por equipos reducidos y, a menudo, tienen que esperar a que lleguen los informes de los usuarios. Las bases de datos CVE, como la NVD, y los escáneres basados en ellas no se crearon para el malware, sino únicamente para las vulnerabilidades. Para los equipos que utilizan software de código abierto —que son la mayoría de quienes escriben software hoy en día—, no existía una base de datos de malware actualizada.

Aikido Intel es la solución al problema. Se trata de un servicio de información en tiempo real y de acceso abierto que rastrea tanto el malware como las vulnerabilidades aún no reveladas en los ecosistemas de código abierto. Supervisa más de cuatro millones de paquetes y analiza las nuevas versiones en cuanto se publican, lo que nos permite ser los primeros en detectar una gran parte de los ataques a la cadena de suministro posteriormente reciben una amplia cobertura mediática.

A menudo somos de los primeros en detectar un ataque, normalmente a los pocos minutos de que una versión maliciosa entre en funcionamiento. Otros servicios de alerta también lo detectan, pero hay casos que nosotros detectamos y que a ellos se les pasan por alto.

Intel cuenta con dos líneas de trabajo. La línea dedicada al malware analiza los propios paquetes. Cuando una nueva versión llega a un registro, Intel la desglosa y determina si está intentando causarte daño de forma activa. La línea dedicada a las vulnerabilidades analiza cómo evolucionan los proyectos de código abierto con el tiempo, examinando las correcciones de seguridad que publican los mantenedores, independientemente de si las han anunciado o no, mediante el análisis de los propios cambios en el código en lugar de esperar a que se hagan públicos. 

En esta entrada, nos centraremos específicamente en la faceta de Intel relacionada con el malware y en cómo Intel lo detecta de forma rápida y precisa para ofrecer información fiable a nuestros clientes y a la comunidad de seguridad en general. 

{{cta}}

Lo vemos todo en tiempo real (y es un montón de cosas)

Intel supervisa constantemente los registros de paquetes. Cada vez que se publica una nueva versión, se recopila y se analiza en cuestión de minutos. Esto ocurre en el momento en que los paquetes se publican, no mediante un análisis diario ni cuando alguien envía un informe.

En el segundo trimestre de 2026, Aikido Intel analizó alrededor de 7,5 millones de versiones de paquetes. Gracias a nuestros sistemas automatizados y a nuestros investigadores, confirmamos la existencia de 19 500 paquetes maliciosos. Identificamos la mayoría de los paquetes maliciosos en menos de 8 minutos desde su publicación hasta su análisis, aunque en muchos casos lo hacemos aún más rápido.

Combinamos las ventajas de los métodos tradicionales de análisis estático de malware con el análisis basado en inteligencia artificial, lo que nos permite procesar cientos de miles de paquetes cada día. Además, contamos con investigadores de seguridad de primer nivel repartidos por todo el mundo que gestionan el sistema e inspeccionan los paquetes para confirmar manualmente los casos más complejos y peligrosos. Nos preocupamos por la precisión, por lo que hemos diseñado nuestro sistema para detectar los paquetes más difíciles de detectar y, al mismo tiempo, reducir los falsos positivos, de modo que no se active la alarma innecesariamente. En breve explicaremos con más detalle cómo funciona el sistema.

Investigación puntera en materia de malware 

Pocos equipos de seguridad tienen el mismo nivel de proximidad a los ataques en tiempo real que el equipo de investigación de Aikido. Durante el último año, Intel y nuestro equipo de investigación fueron de los primeros en sacar a la luz varias de las campañas de ataques a la cadena de suministro de mayor envergadura que han afectado a npm. 

Cuando el ataque «s1ngularity» secuestró la cadena de herramientas Nx en agosto de 2025 para robar credenciales a través de una acción de GitHub contaminada, lo detectamos a tiempo. Fuimos de los primeros en informar sobre el gusano Shai-Hulud que le siguió. Cuando su segunda oleada, aún más peligrosa, afectó a paquetes de gran relevancia de Zapier, PostHog y ENS Domains aquel noviembre, volvimos a liderar la investigación. Charlie Eriksen, investigador jefe de seguridad de Aikido, validó y publicó la lista de más de 400 paquetes npm infectados durante la segunda oleada de la campaña de Shai-Hulud, incluidos paquetes con más de 1,5 millones de descargas semanales. Su análisis fue tan detallado que otros equipos de investigación lo utilizaron para corroborar los suyos propios. 

El trabajo del equipo es citado habitualmente por KrebsOnSecurity y otros medios de referencia en materia de seguridad. Y tal es el grado de interrelación entre Aikido y la investigación sobre malware que un actor malicioso al que Eriksen llevaba tiempo siguiendo llegó incluso a dejar notas en el código fuente del malware para que él las encontrara.

Aikido Intel ha detectado incluso indicios de un ataque antes de que este se lanzara. A finales de diciembre, Intel y nuestros investigadores detectaron una nueva variante de Shai-Hulud mientras el atacante aún la estaba probando, antes de que se produjera una propagación real. La señalamos, la prensa especializada en seguridad publicó la noticia dando crédito a nuestro equipo, y la carga útil de prueba no llegó a ninguna parte. Así es como debe ser una alerta temprana. Sin embargo, no nos verás publicar ni anunciar cada hallazgo en Twitter, ya que muchos de ellos son claramente spam, typosquatting o paquetes poco conocidos. Queremos respetar tu tiempo y tu atención publicando únicamente aquellos ataques que requieran una acción por tu parte para garantizar tu seguridad. Si tienes Aikido configurado en tu infraestructura, todos estos casos aparecerán en tu panel de control, incluidos aquellos que ya tengas instalados. 

Gracias a nuestra investigación y rapidez, Intel goza del reconocimiento del sector. En su AppSec de 2026, la consultora independiente Latio nombró a Aikido «plataforma líder» y destacó la labor de Intel a la hora de detectar vulnerabilidades de código abierto antes de que lleguen a cualquier base de datos pública, incluidas aquellas que nunca reciben un CVE. Cualquiera puede consultar nuestro trabajo creando una cuenta gratuita con nosotros. 

La comunidad de código abierto también confía en Aikido Intel para garantizar la seguridad de los usuarios. Intel protege Packagist, el registro de PHP. Todas las descargas de Packagist a través de Composer se comparan con la base de datos de Intel. Si Intel ha marcado el paquete como malicioso, Composer detendrá la descarga. 

Cómo detecta el malware Aikido Intel

Analizaremos con más detalle cómo funciona nuestro sistema. Puede parecer un poco complicado, pero, en resumen, Intel supervisa los ecosistemas en busca de nuevas versiones de paquetes. Esos paquetes entran en el proceso de detección de malware, donde primero se extrae el paquete y se desofusca. El resultado se compara con reglas estáticas desarrolladas por nuestros investigadores de seguridad, y estas reglas, junto con algunos análisis dinámicos basados en IA específicos para npm, clasifican la mayoría de los paquetes como malware o seguros. En los casos más complejos, una IA realiza análisis adicionales y, si dicha IA no puede confirmar que un paquete es seguro, nuestros investigadores de seguridad lo revisan manualmente para emitir el veredicto definitivo.

Diagrama de flujo titulado «Cómo detecta Aikido Intel el malware», que muestra el proceso desde un paquete recién publicado hasta la publicación de un hallazgo. Un nuevo paquete se recaba para su análisis en cuestión de minutos; a continuación, se extrae y se desofusca para que su código real quede visible. A continuación se ejecutan dos análisis: el análisis estático examina el código en busca de patrones conocidos como maliciosos, y el análisis en entorno aislado (solo para npm) ejecuta el paquete y observa su comportamiento. Los resultados alimentan un punto de decisión denominado «¿Qué han señalado las reglas?», con tres resultados posibles. En primer lugar, el malware confirmado pasa directamente al feed publicado, sin necesidad de una revisión adicional. En segundo lugar, los paquetes en los que no se ha encontrado nada se marcan como seguros y no se publican. En tercer lugar, los paquetes que requieren una investigación más exhaustiva pasan a una revisión mediante IA que analiza todas las señales en conjunto para llegar a un veredicto. Esa revisión determina si la IA puede confirmar que el paquete no es malware: en caso afirmativo, se marca como seguro; en caso negativo, pasa a una verificación humana. A continuación, un investigador toma la decisión final, publicando el malware confirmado en el feed o marcando el paquete como seguro si no se trata de malware.

Intel comienza a revisar el paquete en cuanto se publica.

Intel supervisa los registros de forma continua, por lo que, en cuanto se publica un nuevo paquete o una nueva versión, se recoge para su análisis. Esta es la parte en tiempo real, y de ahí proviene la rapidez. Analizamos numerosos ecosistemas, entre los que se incluyen actualmente npm, PyPI, GitHub Actions, Packagist, Ruby, VS Code, Open VSX, JetBrains, Visual Studio, NuGet, Maven, CPAN, Chrome, Firefox, Edge, Rust, Go, WordPress, Skills y Drupal.

Extracción y desofuscación

En este punto, Intel descomprime el paquete, lee sus metadatos y descorre el telón para sacar a la luz cualquier codificación sin sentido y ofuscación. Los atacantes recurren al código base64, la minificación y la codificación por capas para evitar que se lea su carga útil, por lo que este paso va desentrañando todo eso hasta que el código real queda al descubierto. Nada de lo que ocurre aquí determina todavía si el paquete es malicioso; simplemente garantiza que, cuando se ejecute el análisis, este se centre en lo que el código hace realmente, en lugar de en su apariencia superficial. Este paso alimenta todo el proceso posterior.

Las reglas estáticas y el análisis dinámico permiten examinar el contenido del paquete

La primera capa consiste en una rápida comparación de patrones sobre el contenido de los paquetes. El motor utiliza diferentes sistemas de reconocimiento de malware, entre ellos Opengrep (del que somos los principales responsables de mantenimiento) y YARA-X de Google, que se utiliza habitualmente en los motores antivirus clásicos. Nuestro equipo de seguridad elabora y mantiene internamente un amplio conjunto de reglas que detectan los elementos constitutivos del comportamiento malicioso. Entre ellos se incluyen tanto patrones de ataque antiguos como otros nuevos que los atacantes no dejan de innovar. Esto abarca aspectos como el robo de credenciales, la exfiltración de datos, los «loaders» y los «cripto-mineros» para el malware. Entre los comportamientos potencialmente sospechosos se podrían incluir:

  • Un script de instalación que descarga código desde una URL remota y lo ejecuta
  • Código que accede a los directorios de perfil del navegador donde se almacenan las contraseñas guardadas
  • Código para leer claves SSH o credenciales en la nube
  • Un archivo ejecutable oculto dentro de lo que se supone que es un paquete de JavaScript

Cada regla que se activa es una señal. Por sí sola, una señal rara vez tiene gran importancia, ya que hay muchos programas normales que abren conexiones de red o leen archivos, por lo que Intel tiene que analizarlas en conjunto.

Las reglas estáticas indican qué código está presente, pero no todo lo que hace cuando se ejecuta, y los atacantes se esfuerzan por ocultarse hasta que se ejecuta un paquete. En el caso concreto de los paquetes de npm, Intel ejecuta los paquetes en un entorno aislado y registra su comportamiento, incluidas las conexiones que establecen y los archivos que abren. Un paquete puede ocultar su carga útil como quiera, pero si ejecuta «curl» contra un host desconocido durante la instalación o busca un archivo en ~/.aws/, lo pillaremos con las manos en la masa. 

Basándose en las reglas estáticas y en el análisis dinámico, Intel clasifica los paquetes como seguros, malware confirmado o malware potencial. Algunos paquetes son claramente problemáticos, según patrones que hayamos visto anteriormente o por el tipo de comportamiento que muestran, mientras que otros son claramente inofensivos. Estos paquetes, cuya detección es muy clara, se resuelven automáticamente y llegan al feed con gran rapidez, a veces en el plazo de uno o dos minutos desde que se publica el paquete. Los que se identifican como «malware potencial», pero no están confirmados, requieren una investigación más exhaustiva. 

La IA se encarga de los casos más difíciles

A estas alturas, Intel dispone de un conjunto de indicios, algunos procedentes del código y otros del comportamiento. En este paso, una capa de muAI analiza todo ello de forma conjunta, siguiendo el código a través de los distintos archivos para eliminar cualquier falso positivo. Un ataque real suele extenderse por varios archivos, y solo se puede determinar que es peligroso cuando se analiza el panorama en su conjunto. Un programa habitual de robo de credenciales podría incluir un script con un gancho de preinstalación, módulos independientes que envían datos al exterior o el script de configuración que lee información confidencial, como una clave privada de SSH. Cualquiera de esos archivos por sí solo pasa desapercibido. Pero si seguimos la ruta desde el gancho de instalación hasta la lectura de credenciales y la llamada de red, podría tratarse de una cadena de ataque completa. 

La IA construye esa ruta y analiza el comportamiento que describe para llegar a una conclusión. Cuando un paquete parece sospechoso, el agente de IA sigue investigando para comprobar si realmente se produce un comportamiento sospechoso. Si el paquete es totalmente seguro, lo marca como tal y lo retira de la cola. Los casos que la IA no puede descartar de forma clara como seguros se remiten a nuestro equipo de investigación.

Un humano revisa los casos más complicados

Los casos más complejos se remiten a nuestros investigadores de seguridad, quienes confirman el veredicto antes de su publicación. Reservar la revisión humana para los casos que realmente requieren un juicio es lo que permite a Intel ser rápida y precisa al mismo tiempo. Los investigadores combinan múltiples señales, ejecutan sus propias herramientas de IA diseñadas para el análisis de malware y revisan el código manualmente. Esta revisión manual comprueba los resultados generados por la IA para que nada incompleto llegue al feed, y detecta cualquier cosa que la automatización pueda pasar por alto.

Los investigadores también supervisan constantemente el sistema y revisan los resultados de la IA. Utilizan esta información para crear nuevas reglas estáticas, ajustando el sistema con el fin de obtener mejores señales y veredictos con mayor nivel de confianza. Esto mejora continuamente el sistema y reduce el tiempo que transcurre desde la primera revisión hasta la obtención de resultados confirmados. 

Contamos con investigadores en Europa, Norteamérica y Australia que supervisan las 24 horas del día el flujo de datos y los paquetes que requieren una atención especial. Casi todos los paquetes maliciosos se detectan en cuestión de minutos; la mediana de tiempo de detección es inferior a 6 minutos y, a menudo, es mucho más rápida. Una vez confirmados, los hallazgos se publican inmediatamente en nuestro canal de información. 

¿Y qué hay de las vulnerabilidades?

Dado que el NIST ya no pretende mantenerse al día con el volumen de envíos de CVE, el sector no puede confiar en las bases de datos de vulnerabilidades gestionadas por el gobierno. Aikido Intel detecta y documenta nuevas vulnerabilidades aún no reveladas para tomar el relevo y ofrecer a la comunidad un lugar al que acudir. Aikido Intel supervisa los registros de los proyectos de código abierto en busca de actualizaciones que puedan indicar cambios de seguridad, y los agentes de IA investigan posibles parches de seguridad en las versiones más recientes. Si el problema no está documentado en ningún sitio, uno de nuestros ingenieros de seguridad lo revisa, lo valida y publicamos un aviso con un identificador de vulnerabilidad de Aikido y una puntuación de gravedad, para que sepas si te afecta. Dejaremos la explicación completa de cómo funciona nuestra detección de vulnerabilidades para otro artículo. 

Crear un sistema de seguridad resiliente

La mayoría de los paquetes maliciosos causan el mayor daño durante la instalación. El intervalo de tiempo que transcurre entre la publicación de una versión y el momento en que Intel la detecta es el periodo en el que estás expuesto, y nos esforzamos por que sea lo más breve posible. Sin embargo, aunque creemos que detectar el malware rápidamente es importante, también estamos firmemente convencidos de la necesidad de crear procesos de desarrollo de software que no sean susceptibles de descargar nuevo malware. Gracias a la rapidez de la detección, la mayoría de los paquetes maliciosos se retiran de los registros a las pocas horas de su publicación. Recomendamos encarecidamente esperar uno o dos días antes de adoptar una versión totalmente nueva, para dar tiempo a la comunidad de seguridad a revisar a fondo el paquete y a que salgan a la luz otros errores graves, en lugar de actualizar automáticamente. Esto te protegerá más que intentar optimizar tu tiempo de respuesta ante el bombardeo constante de malware y paquetes de baja calidad. 

Para aprovechar todo el potencial de Aikido Intel, te recomendamos que utilices Aikido Safe Chain, una herramienta gratuita y de código abierto que puedes instalar para protegerte contra la descarga de malware. Desarrollada por Aikido Intel, se instala en tu ordenador, junto a tu gestor de paquetes. Cuando intentas instalar un paquete de npm que sea malware confirmado o que tenga menos de 24 horas de antigüedad, Safe Chain lo bloquea, por lo que no tienes que preocuparte de que te hackeen accidentalmente por instalar el paquete equivocado en el momento menos oportuno. Aikido Device Protection es la versión empresarial que protege todos los terminales de los desarrolladores de tu organización.

Aikido Intel está diseñado para el panorama actual de la seguridad. Detecta el malware basándose en el comportamiento de los paquetes, y no solo en las firmas de elementos que ya se sabe que son maliciosos, lo que significa que detecta incluso los ataques más novedosos. Gracias a una combinación de reglas estáticas, inteligencia artificial e investigadores de seguridad de primer nivel, detectamos casi todos los paquetes maliciosos en cuestión de minutos.

Los usuarios de Aikido pueden consultar el feed de forma gratuita. Puedes navegar por él y buscar cualquier paquete. Echa un vistazo a intel.aikido.dev.

Compartir:

https://www.aikido.dev/blog/aikido-intel-detects-malware-vulnerabilities-first

Suscríbete para recibir noticias

4.7/5
¿Cansado de los falsos positivos?

Prueba Aikido como otros 100k.
Empiece ahora
Obtenga un recorrido personalizado

Con la confianza de más de 100k equipos

Reservar ahora
Escanee su aplicación en busca de IDORs y rutas de ataque reales

Con la confianza de más de 100k equipos

Empezar a escanear
Vea cómo el pentesting de IA prueba su aplicación

Con la confianza de más de 100k equipos

Empezar a probar
Recibe alertas tempranas sobre amenazas a la cadena de suministro

Conecta tus repositorios

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.