Los atacantes ya no necesitan disfrazarlo todo de malware evidente. Cada vez más campañas están abusando de herramientas legítimas de acceso remoto para tomar el control de equipos, moverse con menos ruido y confundirse con la actividad normal de los departamentos de IT. Es una de las principales conclusiones del último Threat Insights Report de HP Wolf Security, basado en ataques observados entre enero y marzo de 2026.
El informe describe campañas en las que aplicaciones como LogMeIn o ScreenConnect se usan como puerta trasera después de engañar a la víctima mediante correos de phishing, falsas descargas de aplicaciones de escritorio y páginas que imitan servicios conocidos. El resultado es especialmente problemático para las empresas: el atacante no introduce necesariamente un binario sospechoso, sino una herramienta real, firmada y usada habitualmente para soporte técnico.
Esa diferencia cambia la defensa. Un ejecutable desconocido puede activar alarmas. Una herramienta de administración remota aprobada o tolerada en muchos entornos puede pasar desapercibida, sobre todo si el usuario tiene permisos para instalar software o si la organización no controla bien qué soluciones de acceso remoto están autorizadas.
El abuso de RMM complica la detección
Las herramientas de RMM y acceso remoto son habituales en soporte técnico, proveedores gestionados y equipos de administración. Permiten diagnosticar incidencias, conectarse a puestos de usuario, desplegar cambios o ayudar a empleados en remoto. Esa utilidad es precisamente lo que las hace atractivas para el cibercrimen.
HP señala campañas ligadas al cierre del año fiscal, con correos diseñados para generar urgencia, y otras que usaban falsas descargas de escritorio, incluso desde supuestas webs de citas. Tras la instalación, el software remoto quedaba bajo control del atacante y ofrecía acceso persistente al dispositivo.
| Técnica observada | Qué busca el atacante |
|---|---|
| Abuso de LogMeIn o ScreenConnect | Control remoto persistente del equipo |
| Phishing vinculado al cierre fiscal | Aumentar la probabilidad de apertura y clic |
| Falsas apps de escritorio | Inducir una instalación voluntaria |
| Descargas desde webs falsas | Dar apariencia de legitimidad |
| Uso de software conocido | Mezclarse con actividad normal de IT |
Patrick Schläpfer, investigador principal de HP Security Lab, resume el problema: estas campañas combinan software de confianza con ingeniería social cuidada. Para los equipos de seguridad, la pregunta ya no es solo si una aplicación es maliciosa, sino si su uso tiene sentido en ese usuario, en ese equipo y en ese momento.
La consecuencia práctica es clara. Las organizaciones deben inventariar herramientas remotas, limitar su instalación, bloquear versiones no autorizadas y vigilar conexiones salientes asociadas a estos productos. También conviene revisar qué proveedores externos pueden usarlas, con qué credenciales y bajo qué registros de auditoría.
ClickFix se disfraza de audio y CAPTCHA
El informe también destaca campañas ClickFix que ocultan malware como si fueran archivos de audio. La técnica se apoya en webs falsas bien diseñadas, prompts de CAPTCHA realistas e instrucciones que llevan al usuario a ejecutar comandos maliciosos sin percibirlo como una instalación de malware.
ClickFix es eficaz porque explota un comportamiento aprendido. Los usuarios están acostumbrados a resolver verificaciones, aceptar pasos técnicos o seguir instrucciones cuando una página les dice que algo no funciona. El atacante convierte esa rutina en una vía de ejecución.
| Señal de alerta | Lectura técnica |
| CAPTCHA que pide copiar comandos | No es un flujo legítimo de verificación |
| Supuesto archivo de audio que exige pasos manuales | Posible señuelo para ejecutar payloads |
| Web visualmente cuidada pero desconocida | Ingeniería social más elaborada |
| Instrucciones para abrir consola o ejecutar código | Riesgo directo de compromiso |
| Descarga fuera de repositorios oficiales | Mayor probabilidad de payload manipulado |
Este tipo de ataques muestra que la barrera entre phishing y malware es cada vez más difusa. El usuario no solo hace clic: participa en la ejecución. Para las defensas tradicionales, eso complica el análisis, porque una parte del flujo ocurre mediante acciones humanas guiadas paso a paso.
La formación sigue siendo necesaria, pero no suficiente. Las empresas deben reforzar controles de ejecución, restringir intérpretes de comandos cuando no sean necesarios, supervisar PowerShell y shells equivalentes, y aislar descargas procedentes de sitios no verificados.
Falsos recuperadores de wallets y “vibe coding” ofensivo
HP también detectó campañas dirigidas a usuarios que intentan recuperar monederos de criptomonedas perdidos. Los atacantes distribuyen falsas herramientas de recuperación que prometen localizar wallets, pero en realidad roban credenciales, información del sistema y datos del monedero.
El detalle más llamativo está en el código. HP describe scripts llenos de emojis y señales compatibles con “vibe coding”, una práctica en la que se genera código con ayuda de herramientas de Inteligencia Artificial a partir de instrucciones en lenguaje natural. No implica necesariamente que toda la campaña sea automática, pero sí sugiere que los atacantes están usando asistentes para acelerar la creación de herramientas ofensivas.
| Campaña | Vector | Impacto |
| Falso recuperador de wallet | Descarga desde repositorios o webs de medios | Robo de credenciales y datos cripto |
| Scripts con emojis | Código posiblemente generado o asistido por IA | Menor barrera técnica para atacantes |
| Empaquetado en archivos comprimidos | Preparación para exfiltración | Salida ordenada de información |
| Señuelos para usuarios desesperados | Promesa de recuperar fondos | Mayor probabilidad de ejecución |
El caso es relevante porque anticipa una tendencia más amplia. La Inteligencia Artificial no solo ayuda a defensores y desarrolladores. También permite a actores con menos experiencia crear scripts funcionales, modificar malware existente, generar páginas falsas más creíbles o adaptar señuelos a contextos concretos.
Ejecutables y archivos comprimidos siguen dominando
HP aporta además una fotografía útil sobre formatos de entrega. En el periodo analizado, los ejecutables fueron el tipo de archivo más usado para distribuir malware, con un 39 %. Les siguieron los archivos comprimidos, con un 38 %, y los PDF, con un 10 %. Además, al menos el 11 % de las amenazas de correo identificadas por HP Sure Click habían logrado saltarse uno o más escáneres de pasarela.
| Formato o indicador | Dato del informe |
| Ejecutables | 39 % |
| Archivos comprimidos | 38 % |
| 10 % | |
| Amenazas que evadieron al menos un gateway de correo | 11 % |
| Actividades aisladas por HP Sure Click hasta la fecha | Más de 60.000 millones |
| Endpoints protegidos por HP Sure Start | Más de 200 millones |
El aumento de amenazas basadas en PDF también merece atención. HP observó un incremento de dos puntos y señuelos ligados a documentos judiciales, pagos de bonus y comunicaciones diseñadas para crear urgencia. El PDF sigue funcionando porque muchas empresas lo tratan como un formato cotidiano, relativamente seguro y difícil de bloquear sin afectar a la operativa.
Alex Holland, investigador principal de HP Security Lab, advierte de que estos ataques no parecen intrusiones clásicas. Se camuflan como actividad normal, evitan señales evidentes de malware y aprovechan herramientas que los equipos de IT ya conocen.
Qué deberían revisar los equipos de seguridad
El informe de HP refuerza una idea que muchas organizaciones están aprendiendo por las malas: la detección basada solo en reputación o firmas no basta cuando el atacante usa herramientas legítimas. La defensa debe incorporar contexto, control de privilegios, aislamiento y políticas claras de software permitido.
Una revisión mínima debería incluir el inventario de soluciones de acceso remoto, la eliminación de herramientas duplicadas, el bloqueo de instaladores no aprobados y la aplicación de listas de aplicaciones permitidas en puestos críticos. También es importante registrar sesiones remotas, alertar sobre conexiones inusuales y limitar privilegios locales.
| Control recomendado | Objetivo |
| Application control | Impedir herramientas remotas no autorizadas |
| Mínimo privilegio | Evitar instalaciones y cambios innecesarios |
| Aislamiento de descargas | Ejecutar archivos dudosos en contenedores |
| Auditoría de RMM | Saber quién se conecta, cuándo y desde dónde |
| Monitorización de scripts | Detectar ejecución sospechosa de comandos |
| Formación sobre ClickFix | Reducir la ejecución guiada por webs falsas |
| Revisión de gateways | Asumir que una parte de amenazas los superará |
Los MSP y proveedores externos merecen una atención especial. Muchas empresas permiten a terceros acceder a sus sistemas mediante herramientas remotas. Si esos accesos no están segmentados, auditados y protegidos con MFA fuerte, pueden convertirse en una vía de entrada de alto impacto.
El reto es equilibrar productividad y control. Bloquear toda herramienta remota puede ser inviable. Permitir cualquiera, en cambio, deja demasiado margen al atacante. La respuesta pasa por estandarizar, aprobar y registrar.
La nueva normalidad del malware parece actividad legítima
El mensaje de fondo del informe es incómodo: muchos ataques modernos no se ven como una intrusión. Parecen una descarga, una verificación, una herramienta de soporte o una acción administrativa. Esa normalidad es parte de la técnica.
Para un medio tecnológico, el punto importante no es solo que HP haya detectado nuevas campañas, sino que el patrón confirma una evolución del cibercrimen hacia el abuso de herramientas legítimas, ingeniería social más cuidada y uso creciente de automatización. Los atacantes quieren reducir la fricción de sus operaciones igual que cualquier equipo de software: reutilizan plataformas, automatizan scripts y explotan flujos conocidos por los usuarios.
En ese contexto, el endpoint vuelve a ser una frontera crítica. El correo puede filtrar mucho, pero no todo. El navegador puede advertir, pero el usuario puede seguir instrucciones. El EDR puede detectar comportamientos, pero una herramienta remota aprobada puede moverse dentro de zonas grises. Por eso gana peso el aislamiento: permitir que el usuario abra, descargue o navegue, pero dentro de entornos que limiten el impacto si algo sale mal.
La lección es clara. Cuando los atacantes convierten software legítimo en backdoor, las empresas deben dejar de pensar solo en malware y empezar a pensar en abuso de confianza. Quién puede instalar, qué puede ejecutar, qué acceso remoto está permitido y cómo se revisa cada acción son ya preguntas tan importantes como qué antivirus está desplegado.
Preguntas frecuentes
¿Qué alerta HP en su último Threat Insights Report?
HP alerta del abuso de herramientas legítimas de acceso remoto, campañas ClickFix con malware disfrazado de audio y falsos recuperadores de wallets diseñados para robar credenciales y datos.
¿Por qué preocupa el uso de LogMeIn o ScreenConnect?
Porque son herramientas legítimas. Si un atacante logra que la víctima las instale o las ejecute bajo su control, puede obtener acceso remoto persistente sin parecer malware convencional.
¿Qué es ClickFix?
ClickFix es una técnica de ingeniería social que usa webs falsas, CAPTCHA realistas o instrucciones engañosas para convencer al usuario de ejecutar comandos o acciones que instalan malware.
¿Qué controles técnicos deberían aplicar las empresas?
Application control, mínimo privilegio, aislamiento de descargas, auditoría de herramientas remotas, MFA, registro de sesiones, monitorización de scripts y formación específica sobre ClickFix y falsas descargas.
vía: Open Security
