{"id":366,"date":"2026-06-25T22:53:05","date_gmt":"2026-06-25T22:53:05","guid":{"rendered":"https:\/\/cybertica.cr\/?p=366"},"modified":"2026-06-25T22:53:05","modified_gmt":"2026-06-25T22:53:05","slug":"detectan-malware-distribuido-por-whatsapp-en-espana","status":"publish","type":"post","link":"https:\/\/cybertica.cr\/?p=366","title":{"rendered":"Detectan malware distribuido por WhatsApp en Espa\u00f1a"},"content":{"rendered":"
\n

Kaspersky<\/strong> ha identificado una nueva campa\u00f1a de malware que utiliza WhatsApp<\/a> como canal de distribuci\u00f3n para archivos maliciosos, afectando a usuarios de m\u00faltiples pa\u00edses y territorios, entre ellos Espa\u00f1a. La compa\u00f1\u00eda, que contin\u00faa activa en el momento del an\u00e1lisis, utiliza archivos VBScript (VBS) disfrazados de documentos empresariales y financieros para enga\u00f1ar a los afectados e instalar software leg\u00edtimo de administraci\u00f3n remota en sus dispositivos.<\/p>\n

Seg\u00fan los analistas de Kaspersky, la campa\u00f1a est\u00e1 dirigida principalmente a usuarios de WhatsApp Desktop y WhatsApp Web. Los ciberdelincuentes env\u00edan archivos adjuntos con nombres dise\u00f1ados para parecer documentos reales, como facturas, extractos bancarios, avisos de deuda o comprobantes de pago. Una vez que la v\u00edctima descarga y abre el archivo, comienza una cadena de infecci\u00f3n que permite a los ciberdelincuentes obtener acceso remoto al sistema.<\/p>\n

La investigaci\u00f3n, realizada por el equipo Global Research and Analysis Team (GReAT)<\/strong> de Kaspersky, revela que los ciberdelincuentes utilizan cuentas de WhatsApp previamente comprometidas para enviar archivos adjuntos maliciosos a los contactos de las v\u00edctimas. Al proceder aparentemente de personas conocidas, los mensajes tienen m\u00e1s probabilidades de generar confianza y conseguir que los usuarios abran los archivos.<\/p>\n

La campa\u00f1a ha afectado a usuarios de diferentes pa\u00edses y territorios, incluyendo Espa\u00f1a, con el mayor n\u00famero de v\u00edctimas observado en Malasia. El uso de nombres de archivos adaptados<\/p>\n

a diferentes idiomas apunta adem\u00e1s a una distribuci\u00f3n amplia por distintas regiones, especialmente Europa.<\/p>\n

\"\"
Ejemplos de mensajes de WhatsApp que contienen el archivo VBScript malicioso. \u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0Fuente: publicaciones de la supuesta v\u00edctima en redes sociales<\/figcaption><\/figure>\n

Archivos falsos que imitan documentos empresariales<\/strong><\/h3>\n

Los ciberatacantes recurren a t\u00e9cnicas de ingenier\u00eda social mediante archivos que aparentan ser documentos habituales en entornos profesionales, como:<\/p>\n

    \n
  • Facturas<\/li>\n
  • Extractos bancarios<\/li>\n
  • Estados de cuenta<\/li>\n
  • Registro de pagos<\/li>\n
  • Avisos de deuda<\/li>\n<\/ul>\n

    Los nombres de los archivos aparecen adaptados a diferentes idiomas, incluidos ingl\u00e9s, portugu\u00e9s, franc\u00e9s, alem\u00e1n y malayo, con el objetivo de aumentar la efectividad de la campa\u00f1a en distintos mercados.<\/p>\n

    Adem\u00e1s, los analistas detectaron que los scripts VBScript incluyen comentarios y metadatos dise\u00f1ados para aparentar ser componentes leg\u00edtimos de Microsoft Windows Update, con la finalidad de reducir las sospechas del usuario.<\/p>\n

    \u201cEn esta campa\u00f1a, los ciberatacantes aprovechan la confianza dentro de las plataformas de mensajer\u00eda utilizando cuentas de WhatsApp comprometidas para enviar archivos maliciosos que parecen proceder de contactos conocidos, haciendo que los destinatarios sean mucho m\u00e1s propensos a interactuar con ellos. Los nombres de archivo est\u00e1n cuidadosamente dise\u00f1ados para parecer documentos empresariales habituales, como facturas o avisos de pago, y est\u00e1n adaptados a varios idiomas para facilitar una distribuci\u00f3n amplia. Una vez abiertos, desencadenan una cadena de infecci\u00f3n por fases que descarga y ejecuta silenciosamente componentes maliciosos adicionales desde una infraestructura externa<\/em>\u201d, explica Fareed Radzi, investigador de seguridad de Kaspersky GReAT<\/strong>.<\/em><\/p>\n

    Uso de herramientas leg\u00edtimas para evitar la detecci\u00f3n<\/strong><\/h3>\n

    Una vez que la v\u00edctima abre el archivo, comienza un proceso de infecci\u00f3n en varias etapas. El script inicial crea una carpeta de trabajo en el sistema, descarga archivos adicionales desde servidores controlados por los atacantes y los ejecuta mediante Windows Script Host<\/strong>.<\/p>\n

    Posteriormente, estos componentes descargan un archivo comprimido que contiene un paquete de instalaci\u00f3n de software de monitorizaci\u00f3n y administraci\u00f3n remota (RMM)<\/strong>. Estas herramientas, dise\u00f1adas originalmente para tareas leg\u00edtimas de gesti\u00f3n inform\u00e1tica, pueden ser utilizadas por los atacantes para obtener control remoto sobre los dispositivos comprometidos.<\/p>\n

    En esta campa\u00f1a, los analistas identificaron el uso de un paquete de despliegue de ManageEngine Endpoint Central, una plataforma empresarial leg\u00edtima utilizada normalmente para la administraci\u00f3n de sistemas, la distribuci\u00f3n de software y el soporte remoto.<\/p>\n

    El abuso de herramientas RMM leg\u00edtimas se ha convertido en una t\u00e9cnica frecuente entre los ciberdelincuentes, ya que permite ocultar la actividad maliciosa detr\u00e1s de programas dise\u00f1ados originalmente para tareas de administraci\u00f3n corporal.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    Kaspersky ha identificado una nueva campa\u00f1a de malware que utiliza WhatsApp como canal de distribuci\u00f3n para archivos maliciosos, afectando a usuarios de m\u00faltiples pa\u00edses y territorios, entre ellos Espa\u00f1a. La compa\u00f1\u00eda, que contin\u00faa activa en el momento del an\u00e1lisis, utiliza archivos VBScript (VBS) disfrazados de documentos empresariales y financieros para enga\u00f1ar a los afectados e […]<\/p>\n","protected":false},"author":1,"featured_media":367,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-366","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/posts\/366","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=366"}],"version-history":[{"count":0,"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/posts\/366\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=\/wp\/v2\/media\/367"}],"wp:attachment":[{"href":"https:\/\/cybertica.cr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=366"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=366"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybertica.cr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=366"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}