La encriptación del payload es una técnica utilizada por los atacantes para ocultar el código
malicioso dentro de un archivo o programa. Mediante el uso de distintos métodos de cifrado, el
contenido del payload se mantiene ilegible para los mecanismos de detección tradicionales, como
antivirus o sistemas de análisis estático
:: ▸ Pros y Contras
Pros
~ Evasión de detección basada en firmas: Al cifrar el contenido del payload, se modifica su
estructura binaria, dificultando que los motores antivirus que dependen de firmas reconozcan el
patrón del malware
~ Ocultamiento del código malicioso: El cifrado impide que herramientas de análisis estático puedan
leer o interpretar el código sin antes realizar un proceso de desencriptado
Contras
~ No garantiza evasión total: Aunque puede evadir detecciones por firmas, sigue siendo vulnerable
ante técnicas más avanzadas como el análisis heurístico, el análisis dinámico (runtime) o el
sandboxing
~ Alta entropía: A medida que se incrementa el nivel de cifrado, también aumenta la entropía del
archivo. Una entropía demasiado alta puede ser una señal para ciertas soluciones de seguridad, que
lo marcan como sospechoso o potencialmente malicioso
:: ▸ Tipos
~ XOR
~ AES
~ RC4