Los ciberdelincuentes están perfeccionando su capacidad de engaño con señuelos cada vez más realistas, especialmente a través de facturas PDF falsificadas con apariencia profesional que esconden código malicioso. Así lo revela el último Threat Insights Report de HP Inc., que analiza millones de ataques en endpoints protegidos por HP Wolf Security entre abril y junio de 2025.
El informe pone de relieve que, aunque no se trata de técnicas nuevas, los atacantes están llevando la ingeniería social y el uso de herramientas legítimas del sistema operativo —conocidas como living-off-the-land (LOTL)— a un nuevo nivel de sofisticación, dificultando la detección por parte de las defensas tradicionales.
Facturas PDF falsas con apariencia de Adobe Reader
Uno de los hallazgos más llamativos es la utilización de un archivo PDF fraudulento que simula ser Adobe Acrobat Reader, con una barra de carga falsa que genera confianza y anima al usuario a abrirlo.
En realidad, el archivo escondía un reverse shell —un script ligero que otorga control remoto al atacante— oculto dentro de un pequeño archivo SVG. Para dificultar aún más su detección, los delincuentes limitaron la descarga a usuarios de habla alemana, reduciendo la exposición y complicando el análisis automatizado.
Malware oculto en píxeles de imagen
Los investigadores de HP también documentaron cómo se están usando archivos Microsoft Compiled HTML Help (.CHM) para camuflar código malicioso en los datos de píxeles de imágenes.
En este caso, los atacantes escondieron el payload de XWorm en las imágenes, desencadenando después una cadena de infección en varias fases que incluía comandos PowerShell y la ejecución de un fichero CMD diseñado para borrar las evidencias una vez ejecutado el ataque.
El regreso del troyano Lumma Stealer
Otro de los protagonistas del trimestre ha sido Lumma Stealer, uno de los malware más activos del segundo trimestre de 2025. Pese a la operación policial internacional de mayo que trató de desarticularlo, el grupo criminal siguió operando en junio, con nuevas campañas de distribución a través de archivos IMG y el registro de nuevos dominios e infraestructura.
Tendencias clave: archivar para engañar
El informe confirma que los archivos comprimidos siguen siendo el formato de entrega favorito de los atacantes:
- 40 % de las amenazas llegaron a través de archivos comprimidos (.zip, .rar, .img).
- 35 % fueron ejecutables y scripts.
- Los .rar representaron el 26 %, señal de que los ciberdelincuentes explotan la confianza en herramientas legítimas como WinRAR.
Además, 13 % de los correos maliciosos identificados por HP Sure Click lograron evadir al menos un escáner de pasarela de correo, lo que confirma la necesidad de capas adicionales de seguridad.
Voces de los expertos
Alex Holland, investigador principal de HP Security Lab, advierte:
“Los atacantes no están reinventando la rueda, pero sí perfeccionándola. Hoy vemos más cadenas de LOTL, el uso de archivos poco comunes como imágenes y scripts básicos de reverse shell que logran pasar desapercibidos. Es simple, rápido y muy eficaz”.
Por su parte, Ian Pratt, responsable global de seguridad en HP Personal Systems, añade:
“Las técnicas de living-off-the-land son un quebradero de cabeza para los equipos de seguridad porque cuesta diferenciar la actividad legítima de la maliciosa. Incluso las mejores detecciones fallan a veces. Por eso, la contención y el aislamiento en profundidad son claves para atrapar amenazas antes de que causen daño”.
Contención como respuesta
HP subraya que su solución Wolf Security permite que, aunque los usuarios hagan clic en adjuntos maliciosos, el malware se ejecute de forma aislada en contenedores seguros, sin posibilidad de comprometer el sistema. Hasta la fecha, los clientes de Wolf Security han interactuado con más de 55.000 millones de archivos, correos y páginas web sin que se hayan reportado brechas.
Preguntas frecuentes
¿Qué significa que un ataque sea “living-off-the-land (LOTL)”?
Son técnicas que aprovechan herramientas legítimas del sistema operativo (como PowerShell o CMD) para ejecutar acciones maliciosas, dificultando su detección porque parecen actividad normal.
¿Por qué son tan peligrosos los PDF falsificados?
Porque imitan con gran realismo a programas de confianza como Adobe Reader, lo que aumenta la probabilidad de que el usuario los abra. Dentro pueden esconder scripts que otorgan acceso remoto al atacante.
¿Qué es Lumma Stealer y cómo actúa?
Es un stealer (ladrón de información) que roba credenciales, datos financieros y cookies del navegador. Su resurgir demuestra que los grupos criminales reorganizan su infraestructura rápidamente incluso tras operaciones policiales.
¿Qué recomienda HP para protegerse de estas amenazas?
Adoptar un enfoque de defensa en profundidad, combinando herramientas de aislamiento, contención, monitorización de archivos comprimidos y educación de usuarios para reconocer señuelos cada vez más elaborados.
Fuente: HP Threat Insights Report (abril – junio 2025), publicado el 12 de septiembre de 2025.
