¿Te has enterado del nuevo truco que están usando los hackers? Ahora resulta que están enviando archivos de Word dañados a propósito para colarse en los sistemas y robar información. Suena raro, ¿verdad? Pues funciona, y lo peor es que logran pasar desapercibidos incluso para muchas herramientas de seguridad.
Un nuevo ataque de phishing está aprovechando la función de recuperación de archivos de Word de Microsoft para salirse con la suya. Básicamente, los hackers envían documentos de Word dañados como adjuntos en correos electrónicos, y gracias a su estado "corrupto", logran pasar por alto el software de seguridad. Lo curioso es que, aunque están dañados, Word todavía puede recuperarlos, lo que les abre la puerta para ejecutar su ataque.
Los ciberdelincuentes siempre están buscando formas nuevas y creativas de esquivar las medidas de seguridad de los correos electrónicos y asegurarse de que sus mensajes lleguen directo a las bandejas de entrada de sus víctimas.
En este caso, una campaña reciente descubierta por la empresa de análisis de malware Any.Run está utilizando esta técnica con correos que parecen venir de departamentos de nóminas o recursos humanos. ¿El objetivo? Engañar a los usuarios para que abran estos archivos dañados y les den acceso a información sensible.
Los archivos adjuntos de esta campaña suelen usar temas que llaman la atención de cualquiera, especialmente si trabajas en una oficina. Cosas como bonificaciones, beneficios de empleados y asuntos relacionados con nóminas. Básicamente, cualquier cosa que te haga pensar: "¿Esto es algo importante para mí?".
Una cosa curiosa de estos documentos es que todos incluyen una cadena codificada en base64 que, al decodificarla, muestra algo como "##TEXTNUMRANDOM45##". ¿Qué significa? Nada en particular, pero es parte del truco que usan para que el archivo pase desapercibido.
Cuando abres uno de estos archivos, Word te lanzará un aviso diciendo que encontró "contenido ilegible" y te preguntará si quieres intentar recuperarlo. Y claro, la mayoría de las personas hará clic en "Sí" sin pensarlo demasiado, que es justo lo que los atacantes esperan.
Estos documentos de phishing están dañados a propósito, pero no tanto como para que no puedan recuperarse. Cuando los abres, Word te muestra un archivo con un mensaje que te pide que escanees un código QR para "recuperar el documento". Lo interesante (y preocupante) es que estos archivos están personalizados con logotipos de la empresa que están atacando, haciéndolos parecer súper legítimos. Por ejemplo, una de las campañas apuntó al Daily Mail, y el documento llevaba su logo como si fuera algo oficial.
Si caes en la trampa y escaneas el código QR, te llevará directo a un sitio falso que se hace pasar por una página de inicio de sesión de Microsoft. El objetivo es claro: robar tus credenciales de acceso. Es el típico "parece real, pero no lo es", diseñado para engañarte y quedarse con tus datos.
Página de phishing que roba credenciales de Microsoft
Aunque el objetivo final de este ataque de phishing (robar tus credenciales) no es ninguna novedad, lo realmente interesante es la táctica que están usando: documentos de Word dañados para burlar las herramientas de seguridad.
Según explica Any.Run, “aunque estos archivos funcionan perfectamente en el sistema operativo, la mayoría de las soluciones de seguridad no los detectan porque no aplican los procedimientos correctos para analizar este tipo de archivos”. De hecho, algunos de estos archivos fueron subidos a VirusTotal, y la mayoría de los antivirus devolvieron un mensaje como "limpio" o "Elemento no encontrado", simplemente porque no pudieron procesarlos correctamente.
Lo preocupante es que este truco ha sido bastante efectivo. Los archivos utilizados en esta campaña apenas han sido detectados por las herramientas de seguridad. Por ejemplo, de los documentos compartidos, casi todos tenían cero detecciones en VirusTotal, y solo un par fueron detectados por dos proveedores de seguridad. Esto podría deberse a que los documentos no contienen código malicioso como tal, sino que simplemente muestran un código QR para engañar a la víctima.
Ahora bien, las reglas básicas para evitar caer en este tipo de trampas siguen siendo igual de importantes. Si recibes un correo electrónico de alguien que no conoces, especialmente si tiene un archivo adjunto, lo mejor es borrarlo de inmediato. Si tienes dudas, consulta primero con tu administrador de red antes de abrir cualquier archivo. No dejes que la curiosidad sea tu talón de Aquiles. ¡Más vale prevenir que lamentar!
Podría interesarte leer: Detección de Ataques de Phishing con Wazuh
Este nuevo truco de los ciberdelincuentes no es cosa menor, y con la creatividad que ponen para evadir las defensas, es más importante que nunca tomar medidas para protegerte. Aquí te dejamos algunas recomendaciones clave que pueden marcar la diferencia para mantener tus datos y sistemas a salvo:
Es vital contar con herramientas de seguridad que no solo bloqueen lo obvio, sino que detecten patrones más complejos, como estos documentos dañados. Una solución como TecnetProtect puede ser un gran aliado. No solo protege tu correo electrónico contra intentos de phishing, sino que también analiza archivos adjuntos sospechosos y evita que estas amenazas lleguen a tu bandeja de entrada.
Las macros son un clásico en los ataques de phishing porque permiten ejecutar código malicioso en tu equipo. Configura Microsoft Office para que las macros estén desactivadas por defecto. Si realmente necesitas activarlas, hazlo solo en archivos de confianza absoluta.
No importa qué tan buena sea tu solución de ciberseguridad, los errores humanos siempre son un punto débil. Capacita a tu equipo para que identifique correos sospechosos, como aquellos que contienen mensajes urgentes o archivos adjuntos inusuales. Que aprendan a verificar antes de abrir cualquier cosa es una inversión que vale oro.
Los ataques de phishing no siempre buscan robar información, a veces intentan inutilizar tus sistemas con ransomware. Aquí es donde las copias de seguridad entran en juego. Soluciones como TecnetProtect, que combinan protección contra ataques y copias de seguridad automáticas, aseguran que aunque algo salga mal, siempre tengas una copia segura de tus datos para restaurarlos rápidamente.
Actualiza regularmente tu sistema operativo, tus aplicaciones y, sobre todo, Microsoft Office. Muchos ataques se aprovechan de vulnerabilidades ya conocidas que los desarrolladores han parcheado en las versiones más recientes. No dejes esa puerta abierta por descuido.
En resumen, protegerse contra este tipo de phishing no solo es cuestión de tecnología, sino también de estar alerta y preparado. Con herramientas como TecnetProtect y un equipo capacitado, puedes reducir enormemente el riesgo de convertirte en una víctima. ¿Lo mejor? Invertir en prevención siempre es mucho más barato que recuperarse de un ataque.