Los investigadores de HP Inc. han publicado su último Threat Insights Report, en el que alertan sobre el avance de técnicas de ingeniería social y evasión que elevan el listón en el panorama del cibercrimen. La compañía ha identificado campañas en las que los atacantes fabrican facturas PDF falsas con apariencia impecable de Adobe Reader, ocultan payloads en datos de imagen y reutilizan troyanos como Lumma Stealer mediante archivos comprimidos difíciles de detectar.
Phishing con PDF ultrarrealistas
Entre los hallazgos más llamativos del informe está el uso de archivos PDF que simulan ser Adobe Acrobat Reader, incluyendo una barra de progreso falsa que aumenta la credibilidad del señuelo. El archivo contenía un reverse shell incrustado en un pequeño archivo SVG, diseñado para otorgar a los atacantes acceso remoto al dispositivo comprometido.
La campaña incluso incluyó un geofencing a regiones germanoparlantes para limitar su exposición global y retrasar la detección automática en sistemas de análisis.
Código malicioso escondido en imágenes
Otra técnica analizada fue el uso de archivos Microsoft Compiled HTML Help (.CHM) con código malicioso embebido en los píxeles de las imágenes. De esta forma, los atacantes lograron ejecutar un payload de XWorm en múltiples fases.
La cadena de infección incluía comandos PowerShell que ejecutaban ficheros CMD para borrar evidencias tras la descarga y ejecución, un claro ejemplo de abuso de técnicas LOTL (living-off-the-land).
El regreso de Lumma Stealer
A pesar de la operación policial internacional de mayo, Lumma Stealer resurgió como una de las familias de malware más activas del segundo trimestre. El grupo responsable desplegó campañas a través de archivos IMG y sigue registrando nuevos dominios para reforzar su infraestructura.
Los archivos comprimidos, favoritos del cibercrimen
HP reporta que los archivos comprimidos siguen dominando como formato de entrega:
- 40 % de las amenazas se distribuyeron mediante archivos comprimidos (.zip, .rar, .img).
- 35 % correspondieron a ejecutables y scripts.
- Los .rar representaron un 26 %, lo que demuestra que los atacantes explotan la confianza en herramientas como WinRAR para pasar inadvertidos.
Además, 13 % de los correos electrónicos maliciosos lograron evadir al menos un sistema de filtrado de correo, confirmando la sofisticación de estas campañas.
Opinión de los expertos
Alex Holland, investigador principal de HP Security Lab, explica:
“Los atacantes no necesitan reinventar la rueda: perfeccionan lo que ya existe. Vemos más cadenas de LOTL, más uso de archivos atípicos y scripts mínimos que logran pasar desapercibidos. Su simplicidad es lo que los hace tan peligrosos”.
Por su parte, Ian Pratt, responsable global de seguridad en HP Personal Systems, añade:
“Las técnicas de living-off-the-land son especialmente problemáticas porque la línea entre actividad legítima y ataque es difusa. Incluso las mejores detecciones fallan. Por eso es fundamental el enfoque de defensa en profundidad con aislamiento y contención”.
Un reto para las defensas basadas en detección
El informe deja claro que los sistemas tradicionales, centrados en detección por firmas o comportamientos anómalos, no siempre bastan frente a este tipo de ataques. HP destaca que su solución Wolf Security aísla el malware en contenedores seguros, permitiendo observar cómo actúa sin poner en riesgo el endpoint.
Hasta la fecha, los clientes de Wolf Security han interactuado con más de 55.000 millones de archivos y enlaces sin reportar brechas de seguridad.
Conclusión
La evolución de técnicas como el phishing en PDF ultrarrealista, el ocultamiento de código en imágenes y la cadena LOTL multietapa confirma que los cibercriminales están perfeccionando herramientas de siempre para burlar controles modernos. Para las empresas tecnológicas y sus equipos de seguridad, el reto no está solo en detectar, sino en contener y aislar antes de que los daños sean irreversibles.
Preguntas frecuentes
¿Qué son las técnicas LOTL y por qué son difíciles de frenar?
Se basan en abusar de herramientas legítimas de Windows como PowerShell o CMD. Esto hace que la actividad maliciosa se confunda con procesos habituales del sistema.
¿Qué diferencia tienen estas nuevas campañas de phishing en PDF?
Han alcanzado un nivel de realismo visual muy alto, con elementos como barras de carga falsas, lo que aumenta la probabilidad de que el usuario confíe y abra el archivo.
¿Qué papel juegan los archivos comprimidos en los ataques actuales?
Son el vector de entrega más popular, representando el 40 % de las amenazas. Los atacantes aprovechan la confianza en software como WinRAR para colar malware en entornos corporativos.
¿Cuál es la estrategia más eficaz frente a estas amenazas?
Un enfoque de defensa en profundidad, que combine monitorización, educación del usuario y, sobre todo, aislamiento de amenazas en contenedores seguros para evitar que un clic desafortunado cause una brecha.
