Los ciberdelincuentes utilizan cuentas robadas para enviar documentos maliciosos que simulan ser archivos bancarios
La empresa de ciberseguridad Kaspersky ha emitido una advertencia dirigida a todos los usuarios de WhatsApp tras detectar una campaña de ataques informáticos que está afectando a personas en diversos países. El modus operandi consiste en el envío de mensajes desde cuentas previamente robadas a contactos reales, acompañados de documentos que aparentan ser importantes, pero que en realidad contienen código malicioso.
Según los datos recabados por la firma, la campaña no se limita a un solo país ni a objetivos específicos. Se han reportado casos en España, México, Brasil, India, Singapur, Reino Unido, Taiwán, Australia, Rusia, Vietnam y Malasia. El ataque se vuelve especialmente peligroso porque el mensaje llega desde la cuenta de un amigo, familiar o compañero de trabajo, cuya cuenta fue vulnerada minutos antes. Esta táctica explota la confianza previa entre contactos, lo que aumenta la probabilidad de que la víctima abra el archivo adjunto sin dudar.
Los atacantes utilizan archivos en formato VBScript, diseñados para pasar desapercibidos ante la mayoría de los antivirus y ocultos bajo nombres adaptados al idioma de cada país. El objetivo es que el documento parezca legítimo y relevante para la víctima.
El funcionamiento técnico del ataque
La investigación detalla que, tras acceder ilegalmente a una cuenta de WhatsApp, los ciberdelincuentes envían de forma masiva el archivo infectado a todos los contactos de esa cuenta. El mensaje suele simular ser un documento bancario, una factura o cualquier archivo importante para aumentar las probabilidades de que sea abierto.
Cuando la víctima descarga y ejecuta el archivo, comienza una cadena de acciones invisibles. Primero, el archivo se conecta a internet y descarga dos códigos adicionales cuya función principal es desactivar el Control de Cuentas de Usuario de Windows, eliminando así una de las principales barreras de seguridad del sistema operativo.
Posteriormente, el virus descarga un paquete con el programa ManageEngine Endpoint Central, una herramienta legítima utilizada habitualmente por informáticos para administrar dispositivos a distancia. En este contexto, los atacantes usan el software para controlar el ordenador o dispositivo móvil de la víctima desde cualquier ubicación, como si fueran administradores autorizados.
Riesgos para los datos personales y bancarios
El peligro principal de este ataque radica en que los ciberdelincuentes obtienen control total sobre el dispositivo comprometido. Tienen acceso a contraseñas bancarias almacenadas en el navegador, fotografías, documentos personales y pueden instalar programas adicionales para vigilar al usuario en todo momento. El acceso remoto les permite incluso esperar a que la propia víctima introduzca información confidencial, que luego será robada sin que lo note.
La campaña aprovecha tanto la versión web como la versión de escritorio de WhatsApp en Windows, aunque existen diferencias en el nivel de riesgo. En navegadores como Chrome o Edge, el usuario debe descargar manualmente el archivo antes de ejecutarlo, lo que le da una oportunidad para sospechar y evitar caer en la trampa. Sin embargo, en la aplicación WhatsApp Desktop para Windows, el archivo puede abrirse directamente con doble clic, facilitando la infección debido a las herramientas internas del sistema operativo.
Consejos para protegerse y medidas preventivas
Kaspersky recomienda evitar abrir archivos que lleguen a través de WhatsApp, incluso si provienen de contactos conocidos, especialmente si se trata de documentos bancarios o archivos inesperados. Ante la duda, se aconseja comunicarse por llamada telefónica con la persona que envió el archivo para verificar su autenticidad.
Hasta el momento, los investigadores no han determinado con precisión cómo logran los atacantes obtener acceso a las cuentas de WhatsApp, pero las evidencias apuntan a una campaña coordinada y de alcance global. Las primeras pistas señalan que los ataques podrían estar relacionados con grupos de origen chino, aunque las autoridades y empresas de ciberseguridad ya trabajan para cerrar esta brecha.
La recomendación general es nunca abrir documentos sospechosos recibidos por mensajería instantánea y mantener los sistemas operativos y aplicaciones actualizados para minimizar el riesgo de infección. La alerta enfatiza la importancia de la precaución ante cualquier documento recibido por WhatsApp, incluso si parece provenir de una fuente confiable.
