Hace décadas que los accesos directos .lnk forman parte del ecosistema Windows: llegaron con Windows 95 y desde entonces su formato binario ha crecido en complejidad. Esa complejidad es precisamente lo que un investigador de seguridad holandés, Wietze Beukema, aprovechó para demostrar que estos archivos pueden convertirse en sofisticadas trampas para usuarios desprevenidos.
En una presentación en Wild West Hackin' Fest, Beukema detalló varias técnicas nuevas que permiten crear atajos que muestran una cosa en la ventana de propiedades del Explorador de Windows pero que, al ejecutarlos, lanzan otra completamente distinta. El núcleo del problema es que un archivo .lnk puede contener múltiples estructuras opcionales que describen la ruta de destino, y Windows Explorer no siempre prioriza o valida de forma consistente esos campos. El resultado: se pueden fabricar accesos directos que aparentan apuntar a un PDF, por ejemplo, y que en realidad ejecutan PowerShell u otras órdenes maliciosas.
Entre las técnicas descritas hay variantes que explotan caracteres prohibidos en rutas de Windows —como las comillas dobles— para construir rutas que parecen válidas a simple vista pero que son técnicamente inválidas. Explorer, en lugar de rechazar estos .lnk, los presenta de forma conciliadora, mostrando la ruta «falsa» mientras que al abrir el acceso directo se ejecuta la ruta «real» oculta en otra estructura del fichero.
Una de las técnicas más potentes se basa en manipular la estructura EnvironmentVariableDataBlock dentro del .lnk. Beukema comprobó que dejando vacío el campo Unicode y rellenando sólo la versión ANSI del destino, es posible mostrar un objetivo inocuo en la interfaz —por ejemplo, "invoice.pdf"— mientras que el contenido real del EnvironmentVariableDataBlock invoca comandos o ejecutables maliciosos. Además, en estas configuraciones los argumentos de línea de comandos pueden quedar ocultos, lo que complica aún más que un usuario detecte el engaño simplemente mirando las propiedades.
Beukema publicó un análisis técnico con ejemplos y pruebas en su blog, donde explica en detalle cómo funcionan estas estructuras y por qué Explorer se comporta de forma permisiva ante archivos LNK mal formados: análisis de Wietze Beukema. También liberó una herramienta de código abierto llamada lnk-it-up que permite generar atajos con estas técnicas y comparar qué muestra Explorer frente a qué se ejecuta realmente, útil para pruebas y detección: lnk-it-up en GitHub.
Cuando Beukema informó a Microsoft sobre el problema relacionado con EnvironmentVariableDataBlock (registro VULN-162145), la compañía decidió no clasificarlo como vulnerabilidad de seguridad en su MSRC, argumentando que su explotación requiere que el usuario ejecute voluntariamente un archivo malicioso y que, por tanto, no rompe los límites de seguridad del sistema. Esa posición fue comunicada por Microsoft a distintos medios, y la empresa recordó que Windows advierte al intentar abrir .lnk descargados de Internet y que herramientas como Microsoft Defender y Smart App Control añaden capas de protección.
Sin embargo, la historia reciente muestra por qué muchos investigadores y equipos de respuesta se preocupan por los .lnk. Un fallo relacionado, identificado como CVE-2025-9491, también permitía ocultar argumentos de línea de comandos y fue explotado en ataques reales durante años. Informes de la industria mostraron que múltiples grupos, incluidos actores estatales y bandas criminales, se han servido de ese tipo de debilidades para desplegar malware y troyanos de acceso remoto. Para profundizar en el alcance de aquellas explotaciones puede consultarse la ficha pública del CVE: CVE-2025-9491 en NVD, y el análisis de amenazas que documentó la actividad de varios actores: informe de Trend Micro.
Ante la explotación activa de CVE-2025-9491 Microsoft terminó introduciendo cambios en el manejo de .lnk en junio de 2025 con la intención de mitigar el vector que se estaba usando en ataques reales. Aun así, la postura de que una técnica «requiere interacción del usuario» sigue siendo la línea oficial para clasificar la gravedad, y eso deja margen de debate sobre la obligación de corregir cómo el sistema muestra y prioriza la información en accesos directos.
Para cualquier usuario o responsable de seguridad hay varios puntos prácticos que conviene tener en cuenta ahora mismo. En primer lugar, los .lnk deben considerarse archivos potencialmente peligrosos: si provienen de fuentes desconocidas o de mensajes inesperados, la opción más segura es no abrirlos. En segundo lugar, las soluciones de detección y la política de ejecución de aplicaciones (por ejemplo, Smart App Control) reducen el riesgo pero no lo eliminan; los atacantes siguen inventando trucos para evadir controles. Finalmente, quienes gestionan equipos o redes pueden usar herramientas como la mencionada por Beukema para analizar y detectar .lnk sospechosos en su entorno, siempre en laboratorios controlados y no en sistemas de producción.
El caso de los accesos directos .lnk es un buen recordatorio de que los vectores de ataque no siempre pasan por correos con adjuntos .exe ni por documentos macros: a veces la explotación es más sutil y aprovecha comportamientos permisivos del propio sistema operativo. La combinación de ingeniería social (convencer a alguien de hacer clic) y una implementación indulgente en el software da lugar a trampas difíciles de detectar a simple vista.
Si quieres profundizar en las pruebas técnicas y experimentar con los ejemplos, revisa el material publicado por Beukema y usa su herramienta en un entorno aislado: entrada técnica y repositorio lnk-it-up. Para entender el contexto histórico y las campañas que abusaron de fallos similares, la información recopilada en la base de datos NVD y los informes de compañías de seguridad como Trend Micro aportan ejemplos concretos de explotación: NVD y análisis de Trend Micro.
En definitiva, no es una mala idea revisar las prácticas de seguridad en la organización y recordar a los usuarios que las advertencias del sistema no son meras formalidades: muchas campañas exitosas han prosperado porque la gente hace clic sin pensar. Los atajos de Windows, por muy inocentes que parezcan, siguen siendo un vector útil para los atacantes y merecen atención por parte de equipos de seguridad y usuarios finales.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...