Un nuevo kit llamado MatrixPDF está circulando entre los ciberdelincuentes, y su función es tan preocupante como ingeniosa: permite convertir archivos PDF normales en trampas interactivas diseñadas para robar credenciales o instalar malware, todo mientras burlan filtros de seguridad como los del correo electrónico.
La herramienta fue identificada por investigadores de seguridad de Varonis, quienes detectaron su presencia inicial en un conocido foro del cibercrimen. Según explican, MatrixPDF no solo se vende en estos espacios, sino que también se promociona activamente a través de canales de Telegram, donde el desarrollador mantiene contacto directo con posibles compradores.
Aunque su creador la describe como una solución para phishing simulation o pruebas de seguridad ofensivas, los expertos de Varonis advierten que ya está siendo usada con fines maliciosos. Desde el primer momento en que apareció en foros clandestinos, su propósito real quedó claro: facilitar ataques encubiertos usando un formato de archivo en el que la mayoría de los usuarios confía.
MatrixPDF se presenta como una herramienta de alto nivel para generar archivos PDF personalizados que simulan escenarios de phishing de forma realista. Está diseñada para equipos de pruebas ofensivas y programas de concientización en ciberseguridad, pero sus capacidades van mucho más allá de un simple generador de documentos.
Entre sus funciones destacadas se encuentra una interfaz intuitiva con opción de arrastrar y soltar archivos, vista previa en tiempo real y superposiciones de seguridad configurables. Todo esto permite crear campañas de phishing que imitan situaciones reales con un nivel de detalle profesional.
Además, MatrixPDF incluye varias funciones para eludir barreras de seguridad, como desenfoque de contenido sensible, redireccionamientos controlados, cifrado de metadatos y técnicas específicas para evadir filtros de Gmail. Esto garantiza que los archivos lleguen a su destino incluso en entornos altamente controlados.
La herramienta se comercializa mediante distintos planes de suscripción, con precios que van desde los 400 dólares mensuales hasta 1.500 dólares al año, dependiendo del nivel de acceso y las funcionalidades incluidas.
Precios de MatrixPDF (Fuente: Varonis)
MatrixPDF permite a los atacantes tomar un archivo PDF legítimo y transformarlo en un señuelo diseñado para engañar al usuario. La herramienta hace posible agregar capas maliciosas como contenido borroso, mensajes falsos tipo “Documento seguro” y botones interactivos que redirigen a sitios externos donde se aloja el payload (carga útil), como malware o páginas de phishing.
Una de sus funciones más potentes es la capacidad de incrustar acciones en JavaScript, que pueden ejecutarse automáticamente al abrir el archivo o cuando la víctima hace clic en ciertos elementos. Estas acciones pueden lanzar sitios web maliciosos, redirigir a formularios falsos o incluso iniciar otras actividades no deseadas sin que el usuario lo note.
Pantalla de características de MatrixPDF
Además, el uso de contenido borroso y botones tipo “Abrir documento seguro” da al archivo una apariencia profesional y legítima, aumentando las probabilidades de que el usuario interactúe con él. Al hacer clic, el archivo lleva al usuario a una web externa, lo que puede facilitar el robo de credenciales o la instalación de malware.
En pruebas recientes, se demostró que los archivos creados con MatrixPDF pudieron enviarse sin problemas a cuentas de Gmail, evadiendo los filtros antiphishing. Esto ocurre porque los PDFs no contienen archivos ejecutables o binarios maliciosos incrustados, sino que solo incluyen enlaces externos disfrazados de contenido legítimo, lo que les permite pasar desapercibidos.
Conoce más sobre: Advanced Email Security de Acronis: Seguridad de Correo Electrónico
Aunque Gmail no permite ejecutar código JavaScript dentro de los archivos PDF, sí permite que los usuarios hagan clic en enlaces y anotaciones dentro del documento. Los atacantes se aprovechan de esto para crear archivos PDF con botones que, al presionarlos, simplemente abren un sitio web externo directamente en el navegador del usuario.
Este método, aunque simple, logra evadir muchos mecanismos de seguridad. Al no contener malware directamente dentro del archivo, los escáneres automáticos no detectan nada sospechoso. El contenido malicioso solo se activa si el usuario hace clic, lo que hace que parezca una acción legítima iniciada por él, incluso para plataformas como Gmail.
En algunas variantes más agresivas, los documentos están configurados para intentar abrir automáticamente una URL externa tan pronto como se abren. Sin embargo, los visores PDF modernos suelen mostrar una advertencia cuando esto ocurre, lo que limita un poco la efectividad de este enfoque automático.
El problema es que los archivos PDF siguen siendo un formato muy utilizado en comunicaciones diarias, especialmente por correo electrónico. Esto los convierte en un vehículo ideal para campañas de phishing, ya que muchas personas confían en ellos y los abren sin pensar dos veces.
Una de las formas más efectivas de combatir esta amenaza es mediante soluciones de seguridad impulsadas por inteligencia artificial, que no solo escanean el contenido visible, sino que también analizan la estructura interna del archivo. Estas herramientas pueden detectar superposiciones falsas, contenido borroso simulado, enlaces ocultos y otros elementos típicos de ataques con PDF maliciosos.
TecnetProtect ofrece una capa de protección inteligente para el correo electrónico. Su tecnología analiza de forma profunda cada archivo adjunto, detecta anomalías estructurales y detona URLs sospechosas en entornos aislados (sandbox), evitando que archivos peligrosos lleguen a la bandeja de entrada del usuario final.
Este tipo de enfoque proactivo no solo bloquea amenazas conocidas, sino que también anticipa ataques nuevos o personalizados, una capacidad clave frente a técnicas evasivas como las que emplea MatrixPDF.