Los principales actores en la ciberseguridad mundial siguen a la caza y captura de nuevas tipologías de ataques para, desde este conocimiento, poder reforzar sus sistemas de defensa. En el análisis de millones de dispositivos protegidos por la solución Wolf Security, HP ha detectado que las técnicas de phishing se han vuelto más refinadas, hasta el punto de que los ataques pasan inadvertidos por las defensas automáticas.
Es lo que se ha visto entre los meses de abril y junio. Alex Holland, investigador principal de amenazas en HP Security Lab, confirma esta preocupante tendencia, destacando que este refinamiento se está realizando sobre técnicas de phishing ya conocidas. Una de ellas, el living-off-the-land consiste en utilizar herramientas legítimas del propio sistema —como PowerShell o utilidades de Windows— para ejecutar acciones maliciosas. Esto permite a los atacantes camuflarse en la actividad normal de un ordenador, dificultando que los sistemas de detección distingan lo dañino de lo inocuo.
Facturas falsas en Adobe Reader
El informe destaca campañas recientes en las que los ciberdelincuentes encadenan múltiples binarios poco comunes, generando un efecto de invisibilidad que confunde incluso a los programas más sofisticados. A esta técnica se suman variantes del phishing que explotan la confianza de los usuarios con un nivel de realismo inquietante.
Un ejemplo claro: la distribución de una falsa factura de Adobe Reader. Bajo la apariencia de un archivo PDF con barra de carga, se escondía un reverse shell, es decir, un script que otorga al atacante el control remoto del dispositivo. Para reducir el riesgo de ser detectados, los delincuentes limitaron la difusión de estos correos fraudulentos a regiones germanoparlantes, una táctica que complica el análisis automático a nivel global.
El malware escondido en imágenes
Otra de las innovaciones reseñadas por HP es la inserción de código malicioso en imágenes pixeladas, camufladas como documentos de proyecto. En este caso, se recurrió a archivos de ayuda compilada de Microsoft (CHM) para ocultar la carga útil de XWorm. El ataque incluía varias fases: primero la descarga, luego la ejecución mediante PowerShell y, finalmente, la eliminación de evidencias para borrar huellas.
La creatividad de los ciberdelincuentes alcanza cotas llamativas. “No se necesita un troyano completo cuando un simple script puede lograr el mismo efecto. Es simple, rápido y suele pasar desapercibido por su bajo perfil”, apunta Holland. El bajo coste de estos ataques contrasta con el enorme daño potencial que pueden causar a empresas y particulares.
El regreso de Lumma Stealer
El informe también documenta el resurgir de Lumma Stealer, una de las familias de malware más activas del segundo trimestre. Distribuido en archivos comprimidos IMG, este software malicioso roba credenciales y datos sensibles, utilizando técnicas LOTL para evitar los filtros.
Precisamente, los archivos comprimidos se consolidaron, en términos generales, como el vector de entrada más común, representando el 40% de los ataques, seguidos de ejecutables y scripts (35%).
Un hallazgo especialmente llamativo es el protagonismo de los archivos .rar, responsables del 26% de los incidentes. Según los expertos, los atacantes se aprovechan de la confianza generalizada en herramientas como WinRAR, lo que aumenta la probabilidad de que los usuarios abran estos ficheros sin sospechas.
La solución, según HP, no pasa únicamente por reforzar los filtros de detección, sino por aplicar un enfoque de defensa en profundidad que combine aislamiento y contención. Wolf Security, por ejemplo, ejecuta los archivos sospechosos en contenedores seguros, permitiendo observar su comportamiento sin poner en riesgo el sistema principal. De este modo, incluso si un ataque logra sortear las barreras iniciales, se evita que alcance los datos críticos de la organización.
