Noticias, Inteligencia sobre amenazas

Si abres el «PDF» equivocado, los atacantes obtienen acceso remoto a tu PC.

por Pieter Arntz | 5 de febrero de 2026
PDF y RAT

Los ciberdelincuentes responsables de una campaña denominada DEAD#VAX están llevando el phishing un paso más allá al distribuir malware dentro de discos duros virtuales que simulan ser documentos PDF normales. Si abres la «factura» o la «orden de compra» equivocada, no verás ningún documento. En su lugar, Windows una unidad virtual que instala silenciosamente AsyncRAT, un troyano de puerta trasera que permite a los atacantes supervisar y controlar de forma remota tu ordenador.

Es una herramienta de acceso remoto, lo que significa que los atacantes obtienen control remoto sobre el teclado, mientras que las defensas tradicionales basadas en archivos no detectan prácticamente nada sospechoso en el disco.

Desde una perspectiva general, la cadena de infección es larga, pero cada paso parece lo suficientemente legítimo por sí solo como para pasar desapercibido en los controles ocasionales.

Las víctimas reciben correos electrónicos de phishing que parecen mensajes comerciales rutinarios, a menudo haciendo referencia a órdenes de compra o facturas y, en ocasiones, suplantando la identidad de empresas reales. El correo electrónico no adjunta ningún documento directamente. En su lugar, incluye un enlace a un archivo alojado en IPFS (InterPlanetary File System), una red de almacenamiento descentralizada cada vez más utilizada en campañas de phishing porque el contenido es más difícil de eliminar y se puede acceder a él a través de puertas de enlace web normales.

El archivo vinculado tiene el nombre de un PDF y el icono de PDF, pero en realidad es un archivo de disco duro virtual (VHD). Cuando el usuario hace doble clic en él, Windows lo Windows como una nueva unidad (por ejemplo, la unidad E:) en lugar de abrir un visor de documentos. El montaje de VHD es Windows perfectamente legítimo Windows , lo que hace que este paso sea menos sospechoso.

Dentro de la unidad montada se encuentra lo que parece ser el documento esperado, pero en realidad es un archivoWindows (WSF). Cuando el usuario lo abre, Windows el código del archivo en lugar de mostrar un PDF.

Tras realizar algunas comprobaciones para evitar el análisis y la detección, el script inyecta la carga útil (el código shell AsyncRAT) en procesos fiables y firmados por Microsoft, como RuntimeBroker.exe, OneDrive.exe, taskhostw.exeo sihost.exeEl malware nunca escribe un archivo ejecutable real en el disco. Vive y se ejecuta íntegramente en la memoria dentro de estos procesos legítimos, lo que dificulta mucho su detección y, en última instancia, su análisis forense. También evita picos repentinos de actividad o uso de memoria que podrían llamar la atención.

Para un usuario individual, caer en la trampa de este correo electrónico de phishing puede tener las siguientes consecuencias:

  • Theft contraseñas guardadas y escritas, incluyendo las de correo electrónico, banca y redes sociales.
  • Exposición de documentos confidenciales, fotos u otros archivos sensibles extraídos directamente del sistema.
  • Vigilancia mediante capturas de pantalla periódicas o, cuando esté configurado, captura de la cámara web.
  • Uso del equipo como punto de apoyo para atacar otros dispositivos de la misma red doméstica o de oficina.

Cómo mantenerse seguro

Dado que la detección puede resultar difícil, es fundamental que los usuarios apliquen ciertas comprobaciones:

  • No abras los archivos adjuntos de los correos electrónicos hasta que hayas verificado, con una fuente fiable, que son legítimos.
  • Asegúrate de que puedes ver el extensiones de archivo. Desgraciadamente, Windows a los usuarios ocultarlos. Por lo tanto, cuando en realidad el archivo se llamaría invoice.pdf.vhd el usuario solo vería invoice.pdf. Para saber cómo hacerlo, consulte a continuación.
  • Utilice una solución antimalware actualizada y en tiempo real que pueda detectar el malware oculto en la memoria.

Mostrar extensiones de archivo en Windows y 11

Para mostrar las extensiones de archivo en Windows y 11:

  • Abrir el Explorador (Windows + E)
  • En Windows , seleccionaVery marca la casillaExtensiones denombre de archivo.
  • En Windows , esto se encuentra enVer > Mostrar > Extensiones de nombre de archivo.

También puedes buscar Opciones del Explorador de archivos para desmarcar Ocultar las extensiones de los tipos de archivo conocidos.

Para versiones anteriores de Windows, consulte este artículo.

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

AI
Una mano se inclina para coger un asterisco de una contraseña escrita.

Las contraseñas generadas por IA suponen un riesgo para la seguridad.

Febrero 19, 2026

Las contraseñas generadas por IA son «muy predecibles» y no son verdaderamente aleatorias, lo que facilita su descifrado por parte de los ciberdelincuentes.

Noticias
Logotipo de Tenga

El fabricante de productos íntimos Tenga filtró datos de clientes.

Febrero 19, 2026

Un ataque de phishing contra un empleado de Tenga podría haber expuesto los datos de clientes estadounidenses. Los clientes deben estar atentos a los intentos de phishing relacionados con la sextorsión.

Filtraciones de datos
Logotipo de Betterment

La filtración de datos de Betterment podría ser peor de lo que pensábamos.

Febrero 18, 2026

Esta filtración parece ahora mucho más grave. Los datos filtrados incluyen información personal y financiera detallada que los phishers podrían utilizar.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas