Las herramientas de acceso remoto nacieron para facilitar el soporte técnico, la administración de equipos y el trabajo distribuido. Ahora también se están convirtiendo en una vía cómoda para los atacantes. El último informe Threat Insights de HP Wolf Security advierte de un aumento de campañas en las que los ciberdelincuentes abusan de software legítimo como LogMeIn o ScreenConnect para tomar el control de dispositivos sin levantar las mismas sospechas que provocaría un malware tradicional.
El cambio es relevante porque dificulta la detección. Una herramienta firmada, conocida y usada por departamentos de IT puede parecer actividad normal dentro de una empresa. Si el atacante consigue que la víctima la instale mediante ingeniería social, obtiene acceso persistente al equipo y se mezcla con el ruido cotidiano de la administración remota.
Según HP, las campañas analizadas entre enero y marzo de 2026 usaron correos de phishing ligados al cierre del año fiscal y falsas descargas de aplicaciones de escritorio, incluidas páginas que simulaban servicios de citas. El objetivo era convencer al usuario de instalar una aplicación aparentemente legítima que, en realidad, quedaba bajo control del atacante.
Cuando lo legítimo se vuelve sospechoso
Durante años, muchas defensas se han centrado en detectar binarios claramente maliciosos, macros peligrosas, enlaces fraudulentos o exploits conocidos. El problema de este tipo de campañas es que el componente principal puede ser una herramienta real, usada en miles de empresas para soporte remoto.
Patrick Schläpfer, investigador principal de HP Security Lab, resume el problema: los atacantes combinan software de confianza con ingeniería social cuidada y eventos del calendario, como el final del año fiscal, para hacer cada vez más difícil distinguir lo fiable de lo peligroso.
| Técnica observada | Cómo funciona | Riesgo principal |
|---|---|---|
| Abuso de LogMeIn o ScreenConnect | El usuario instala una herramienta remota legítima controlada por el atacante | Acceso persistente y apariencia de actividad IT normal |
| Phishing de cierre fiscal | Correos que aprovechan urgencias administrativas o tributarias | Mayor probabilidad de clic y ejecución |
| Falsas apps de escritorio | Descargas desde webs que imitan servicios legítimos | Instalación voluntaria de software peligroso |
| Falsos sitios de citas | Señuelos menos corporativos, pero efectivos en equipos personales o híbridos | Compromiso de dispositivos usados para trabajo |
| ClickFix con CAPTCHA falso | El usuario sigue instrucciones en una web falsa y ejecuta código malicioso | Infección basada en manipulación, no en vulnerabilidad técnica |
La conclusión para empresas es incómoda: no basta con bloquear malware conocido. También hay que controlar qué herramientas pueden instalar los usuarios, quién puede ejecutarlas, desde dónde se descargan y qué permisos reciben. En muchos incidentes modernos, el atacante no necesita romper una puerta si logra que alguien se la abra con una herramienta autorizada.
ClickFix: el engaño que convierte al usuario en ejecutor
HP también destaca campañas ClickFix en las que el malware se disfraza como archivos de audio. La técnica juega con una idea sencilla: el usuario llega a una web falsa, encuentra un CAPTCHA convincente o una instrucción aparentemente técnica y acaba ejecutando comandos que activan la infección en segundo plano.
Este tipo de ataque no depende necesariamente de una vulnerabilidad del sistema. Depende de la confianza. La víctima cree que está resolviendo un problema de acceso, verificando que no es un robot o desbloqueando un contenido. En realidad, sigue pasos diseñados para ejecutar código malicioso.
La evolución de ClickFix refleja un cambio en el cibercrimen: menos fuerza bruta y más manipulación de comportamiento. Los atacantes invierten en páginas bien diseñadas, mensajes creíbles y flujos que imitan procesos habituales. La calidad visual y narrativa de la estafa reduce la sensación de riesgo.
| Señal de alerta | Por qué debe preocupar |
| Una web pide copiar y pegar comandos | Un CAPTCHA real no necesita comandos del usuario |
| Un archivo de audio exige pasos técnicos raros | Puede tratarse de una excusa para ejecutar malware |
| Una descarga llega desde una página no oficial | Aumenta el riesgo de instalación manipulada |
| La web genera urgencia o presión | La prisa reduce la revisión crítica |
| El proceso parece demasiado manual | Los atacantes usan instrucciones humanas para saltarse defensas automáticas |
Para los equipos de seguridad, ClickFix obliga a formar mejor a los usuarios. No basta con decir “no abras adjuntos”. Ahora hay que explicar que una web puede inducir a copiar instrucciones peligrosas, ejecutar comandos o instalar herramientas que parecen legítimas.
Criptoestafas y malware creado con ayuda de IA
El informe de HP también señala campañas centradas en usuarios que intentan recuperar monederos de criptomonedas perdidos. Los atacantes distribuyen falsas herramientas de recuperación que prometen ayudar a localizar wallets, pero en realidad roban credenciales, datos del sistema e información del propio monedero.
Uno de los detalles llamativos es que algunos scripts estaban llenos de emojis y presentaban rasgos que HP asocia con “vibe coding”, una forma informal de referirse a código generado o asistido con herramientas de IA a partir de instrucciones en lenguaje natural. No significa que todo el malware haya sido escrito por IA, pero sí apunta a que los atacantes están usando asistentes para crear, modificar o acelerar piezas de sus campañas.
Esto reduce la barrera de entrada. Un ciberdelincuente con menos conocimientos técnicos puede apoyarse en herramientas de generación de código para producir scripts funcionales, automatizar robo de datos o empaquetar información para su exfiltración.
| Campaña | Señuelo | Objetivo del atacante |
| Falsos recuperadores de wallets | Ayuda para localizar criptomonedas perdidas | Robar credenciales y datos del monedero |
| Scripts “vibe-coded” | Código rápido, con señales de generación asistida | Acelerar desarrollo de infostealers |
| Distribución en repositorios y webs de descargas | Apariencia de herramienta técnica útil | Llegar a usuarios desesperados o poco cautelosos |
| Empaquetado de datos | Archivos comprimidos para exfiltración | Sacar información del equipo de forma ordenada |
El componente emocional es importante. Quien ha perdido acceso a una wallet puede estar dispuesto a probar herramientas dudosas. Los atacantes lo saben y explotan esa urgencia. En ciberseguridad, la desesperación también es una superficie de ataque.
Los adjuntos siguen pasando filtros
HP aporta además datos sobre formatos de entrega y evasión. En el primer trimestre de 2026, al menos el 11 % de las amenazas por correo identificadas por HP Sure Click habían sorteado uno o más escáneres de pasarela de email. Los ejecutables fueron el formato de entrega más común, con un 39 %, seguidos por archivos comprimidos, con un 38 %, y documentos PDF, con un 10 %.
| Formato de entrega | Peso observado por HP |
| Ejecutables | 39 % |
| Archivos comprimidos | 38 % |
| 10 % | |
| Amenazas que saltaron al menos un escáner de pasarela | 11 % |
El dato sobre los PDF también merece atención. HP detectó un aumento de dos puntos en malware basado en PDF, con señuelos como documentos judiciales o pagos de bonus. Son cebos diseñados para generar urgencia y provocar clics rápidos.
Alex Holland, investigador principal de HP Security Lab, explica que estos ataques no parecen intrusiones clásicas. Se camuflan como actividad cotidiana, se mezclan con herramientas normales de IT y evitan algunas señales habituales de malware. Por eso, señala, las organizaciones deben restringir privilegios innecesarios, controlar la instalación de software y aislar actividades de riesgo como descargas o enlaces desconocidos.
Qué deben cambiar las empresas
La defensa frente a estas campañas exige asumir que la detección no siempre será suficiente. Si una herramienta legítima se usa como puerta trasera, los controles deben mirar contexto, permisos, origen, comportamiento y necesidad real.
Una empresa debería revisar qué aplicaciones de acceso remoto permite, quién puede instalarlas, si se exige aprobación del equipo de seguridad y cómo se registran las sesiones. También conviene bloquear instalaciones desde ubicaciones no autorizadas y aplicar listas de aplicaciones permitidas en puestos críticos.
| Medida defensiva | Objetivo |
| Control de aplicaciones permitidas | Evitar instalación de herramientas remotas no aprobadas |
| Restricción de privilegios | Reducir el daño si un usuario cae en el engaño |
| Aislamiento de descargas | Ejecutar archivos sospechosos en entornos contenidos |
| Registro de sesiones remotas | Detectar accesos anómalos o fuera de horario |
| Formación sobre ClickFix | Evitar que usuarios ejecuten comandos indicados por webs falsas |
| Revisión de herramientas cripto | Impedir descargas de recuperadores no verificados |
El teletrabajo y los entornos híbridos complican el escenario. Muchos empleados usan conexiones remotas, soporte técnico, herramientas SaaS y dispositivos que mezclan uso personal y profesional. Esa normalidad facilita que un atacante introduzca una herramienta legítima sin parecer extraño.
La lección de HP es clara: los atacantes no necesitan que todo parezca falso. Al contrario, cuanto más se parezca a la actividad diaria de una empresa, más probabilidades tiene de pasar desapercibido. La ciberseguridad ya no puede basarse solo en identificar lo raro. También debe preguntarse si lo aparentemente normal tiene sentido.
Preguntas frecuentes
¿Qué ha detectado HP en su último informe de amenazas?
HP ha observado campañas en las que atacantes abusan de herramientas legítimas de acceso remoto, distribuyen falsos recuperadores de wallets de criptomonedas y usan ClickFix para engañar a usuarios y ejecutar malware.
¿Por qué son peligrosas herramientas como LogMeIn o ScreenConnect?
Porque son aplicaciones legítimas y usadas por equipos de IT. Si un atacante consigue que la víctima las instale bajo su control, puede acceder al equipo sin levantar tantas sospechas como un malware clásico.
¿Qué es ClickFix?
ClickFix es una técnica de ingeniería social que guía al usuario mediante webs falsas, CAPTCHA convincentes o instrucciones engañosas para que ejecute comandos o acciones que instalan malware.
¿Cómo pueden protegerse las empresas?
Deben limitar privilegios, controlar la instalación de software, aprobar solo herramientas remotas necesarias, aislar descargas y enlaces desconocidos, registrar sesiones remotas y formar a los usuarios sobre nuevas tácticas de engaño.
vía: hp
