Estafas, información sobre amenazas

Cómo se están utilizando invitaciones falsas a fiestas para instalar herramientas de acceso remoto

por Stefan Dasic | 2 de febrero de 2026
invitación a una fiesta

«¡Estás invitado!» 

Suena amistoso, familiar y bastante inofensivo. Pero en una estafa que hemos detectado recientemente, esa sencilla frase se utiliza para engañar a las víctimas y que instalen una herramienta de acceso remoto completo en susWindows , lo que da a los atacantes el control total del sistema. 

Lo que parece ser una invitación informal a una fiesta o evento conduce a la instalación silenciosa deScreenConnect, una herramienta legítima de asistencia remota que se instala discretamente en segundo plano y es utilizada indebidamente por los atacantes. 

A continuación, explicamos cómo funciona la estafa, por qué es eficaz y cómo protegerse. 

El correo electrónico: Una invitación a una fiesta 

Las víctimas reciben un correo electrónico que parece una invitación personal, a menudo escrito para que parezca que viene de un amigo o conocido. El mensaje es deliberadamente informal y social, lo que reduce las sospechas y anima a actuar rápido. 

En la captura de pantalla siguiente, el correo electrónico lo envió un amigo cuya cuenta había sido pirateada, pero podría haberlo enviado fácilmente alguien que no conoces.

Hasta ahora, solo hemos visto esta campaña dirigida a personas en el Reino Unido, pero nada impide que se expanda a otros lugares. 

Al hacer clic en el enlace del correo electrónico, se accede a una página de invitación muy bien diseñada alojada en un dominio controlado por el atacante. 

Correo electrónico de invitación a una fiesta de un contacto

La invitación: la página de destino que lleva al instalador. 

La página de destino se inclina fuertemente hacia el tema de la fiesta, pero en lugar de mostrar los detalles del evento, la página incita al usuario a abrir un archivo. Ninguno de ellos parece peligroso por sí solo, pero juntos mantienen al usuario centrado en el archivo de la «invitación»: 

  • Un llamativo titular «¡Estás invitado!» 
  • La sugerencia de que un amigo había enviado la invitación. 
  • Un mensaje que indica que la invitación se ve mejor en unWindows o de sobremesaWindows
  • Una cuenta atrás que sugiere que tu invitación ya se está «descargando». 
  • Un mensaje que transmite urgencia y prueba social («¡Yo abrí el mío y fue muy fácil!»). 

En cuestión de segundos, el navegador se redirige para descargar. RSVPPartyInvitationCard.msi 

La página incluso activa la descarga automáticamente para que la víctima siga adelante sin detenerse a pensar. 

Este archivo MSI no es una invitación. Es un instalador. 

La página de destino

El invitado: ¿Qué hace realmente MSI? 

Cuando el usuario abre el archivo MSI, se inicia msiexec.exe y se instala silenciosamenteScreenConnect Client, una herramienta de acceso remoto legítima que suelen utilizar los equipos de soporte técnico.  

No hay invitación, formulario de confirmación de asistencia ni entrada en el calendario. 

Lo que ocurre en su lugar: 

  • Los binarios de ScreenConnect se instalan en C:\Program Files (x86)\ScreenConnect Client\ 
  • Se crea un Windows persistente Windows (por ejemplo, ScreenConnect Client 18d1648b87bb3023). 
  • ScreenConnect instala varios componentes basados en .NET. 
  • No hay ninguna indicación clara para el usuario de que se está instalando una herramienta de acceso remoto. 

Desde la perspectiva de la víctima, parece que no ocurre gran cosa. Pero, en este momento, el atacante ya puede acceder de forma remota a su ordenador. 

La fiesta posterior: se establece el acceso remoto. 

Una vez instalado, el cliente ScreenConnect inicia conexiones salientes cifradas a los servidores de retransmisión de ScreenConnect, incluyendo un dominio de instancia asignado de forma única.

Esa conexión le da al atacante el mismo nivel de acceso que un técnico informático remoto, incluyendo la capacidad de: 

  • Ver la pantalla de la víctima en tiempo real
  • Controla el ratón y el teclado. 
  • Subir o descargar archivos 
  • Mantener el acceso incluso después de reiniciar el ordenador. 

Dado que ScreenConnect es un software legítimo que se utiliza habitualmente para la asistencia remota, su presencia no siempre es evidente. En un ordenador personal, los primeros indicios suelen ser de comportamiento, como movimientos inexplicables del cursor, windows solas o un proceso de ScreenConnect que el usuario no recuerda haber instalado. 

¿Por qué funciona esta estafa? 

Esta campaña es eficaz porque se centra en el comportamiento humano normal y predecible. Desde el punto de vista de la seguridad conductual, aprovecha nuestra curiosidad natural y parece ser de bajo riesgo. 

La mayoría de la gente no considera que las invitaciones sean peligrosas. Abrir una parece algo pasivo, como echar un vistazo a un folleto o consultar un mensaje, no instalar un software. 

Incluso los usuarios conscientes de la seguridad están entrenados para estar atentos a las advertencias y la presión. Un mensaje amistoso de «estás invitado» no activa esas alarmas. 

Para cuando algo parece estar mal, el software ya está instalado. 

Señales de que tu ordenador puede estar afectado 

Esté atento a: 

  • Una descarga o un archivo ejecutado llamado RSVPPartyInvitationCard.msi 
  • Una instalación inesperada deScreenConnect Client 
  • Windows llamado ScreenConnect Client con caracteres aleatorios.  
  • Tu ordenador establece conexiones HTTPS salientes con los dominios de retransmisión de ScreenConnect. 
  • Su sistema resuelve el dominio de alojamiento de invitaciones utilizado en esta campaña, xnyr[.]digital. 

Cómo mantenerse seguro  

Esta campaña nos recuerda que los ataques modernos a menudo no irrumpen en los sistemas, sino que son invitados a entrar. Las herramientas de acceso remoto proporcionan a los atacantes un control profundo sobre un sistema. Actuar con rapidez puede limitar los daños.  

Para particulares 

Si recibe un correo electrónico como este: 

  • Desconfíe de las invitaciones que le pidan que descargue o abra software. 
  • Nunca ejecute archivos MSI procedentes de correos electrónicos no solicitados. 
  • Verifique las invitaciones a través de otro canal antes de abrir nada. 

Si ya ha hecho clic o ejecutado el archivo:  

  • Desconéctese inmediatamente de Internet. 
  • Busca ScreenConnect y desinstálalo si está presente. 
  • Realizar un análisis de seguridad completo 
  • Cambie las contraseñas importantes desde un dispositivo limpio y no afectado. 

Para organizaciones (especialmente en el Reino Unido) 

  • Alerta sobre instalaciones no autorizadas de ScreenConnect
  • Restringir la ejecución de MSI siempre que sea posible. 
  • Trate las «herramientas de asistencia remota» como software de alto riesgo.
  • Educar a los usuarios: las invitaciones no vienen como instaladores. 

Esta estafa funciona instalando una herramienta de acceso remoto legítima sin la intención clara del usuario. Esa es precisamente la brecha que Malwarebytes diseñado para detectar.

Malwarebytes detecta las herramientas de acceso remoto recién instaladas y le avisa cuando aparece una en su sistema. A continuación, se le ofrece la posibilidad de confirmar que la herramienta es esperada y de confianza, o eliminarla si no lo es.

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

AI
Una mano se inclina para coger un asterisco de una contraseña escrita.

Las contraseñas generadas por IA suponen un riesgo para la seguridad.

Febrero 19, 2026

Las contraseñas generadas por IA son «muy predecibles» y no son verdaderamente aleatorias, lo que facilita su descifrado por parte de los ciberdelincuentes.

Noticias
Logotipo de Tenga

El fabricante de productos íntimos Tenga filtró datos de clientes.

Febrero 19, 2026

Un ataque de phishing contra un empleado de Tenga podría haber expuesto los datos de clientes estadounidenses. Los clientes deben estar atentos a los intentos de phishing relacionados con la sextorsión.

Filtraciones de datos
Logotipo de Betterment

La filtración de datos de Betterment podría ser peor de lo que pensábamos.

Febrero 18, 2026

Esta filtración parece ahora mucho más grave. Los datos filtrados incluyen información personal y financiera detallada que los phishers podrían utilizar.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas