Un instalador es un archivo o paquete de configuración que coloca software en un dispositivo y lo prepara para ejecutarse. Los ejemplos comunes incluyen archivos .exe, .msi, .pkg o .dmg. Los instaladores suelen tener permisos elevados porque necesitan escribir archivos, registrar componentes y añadir accesos directos o servicios. Eso los convierte en un objetivo de alto valor en ciberseguridad: si un atacante altera el instalador, puede entregar malware mientras hace que el archivo parezca software normal.
En ataques reales, los instaladores pueden ser reemplazados en un sitio web, redirigidos a través de un enlace de descarga comprometido o troyanizados para que el programa legítimo siga pareciendo funcionar mientras también se ejecuta código malicioso oculto. Los defensores reducen este riesgo mediante la firma de código, la publicación de hashes para su verificación, el servicio de descargas a través de canales de distribución reforzados y la supervisión de los endpoints en busca de procesos sospechosos, persistencia o conexiones salientes después de la instalación. Verificar el instalador antes de ejecutarlo suele ser la última oportunidad de impedir que una intrusión en la cadena de suministro llegue al host.