La infraestructura de actualizaciones del antivirus eScan, desarrollado por la firma india MicroWorld Technologies, fue comprometida y utilizada para distribuir un cargador malicioso a equipos tanto corporativos como domésticos. En pocas palabras: los atacantes lograron insertar una actualización dañina en un canal que millones de usuarios confían para recibir parches, lo que convierte el incidente en un ejemplo especialmente peligroso de ataque a la cadena de suministro.
La intrusión se detectó el 20 de enero de 2026 y, según la propia empresa, afectó a un subconjunto de clientes que recibieron actualizaciones automáticas desde un clúster regional durante un intervalo de apenas dos horas. MicroWorld aisló los servidores comprometidos, que permanecieron fuera de servicio más de ocho horas, y ha publicado una corrección para deshacer los cambios provocados por la actualización maliciosa. Su comunicado formal está disponible en el boletín técnico que publicaron el 22 de enero: eScan Security Advisory (PDF).
La primera señal la difundió el equipo de investigación de Morphisec, que describió cómo una actualización legítima fue aprovechada para distribuir un ejecutable malicioso denominado reload.exe que actúa como lanzador. Puede consultarse su análisis en: Morphisec: Critical eScan threat bulletin. Investigadores independientes, entre ellos Kaspersky, han profundizado en las técnicas empleadas y en la mecánica del ataque: su informe técnico explica cómo el binario alterado sustituye componentes legítimos y evita que el producto reciba actualizaciones posteriores, entre otras acciones publicado por Kaspersky.
En términos técnicos, el archivo legítimo reload.exe (ubicado habitualmente en C:\Program Files (x86)\eScan\reload.exe) fue reemplazado por una versión maliciosa. Este fichero fraudulento está firmado con una firma digital falsa y contiene código capaz de ejecutar PowerShell embebido dentro de procesos nativos mediante una modificación del proyecto UnmanagedPowerShell. Los atacantes añadieron una capacidad para eludir la interfaz de escaneo antimalware de Windows (AMSI), lo que dificulta la detección por parte de las defensas nativas del sistema. Para quienes deseen revisar la documentación de AMSI, Microsoft la mantiene aquí: Antimalware Scan Interface (AMSI).
El comportamiento malicioso se desplegó en varias etapas. El reload.exe malicioso ejecuta tres cargas codificadas en Base64 que, entre otras cosas, manipulan la propia instalación de eScan para impedir nuevas actualizaciones y ejecutar comprobaciones locales. Estas comprobaciones sirven para decidir si un equipo es un objetivo viable: analizan programas instalados, procesos en ejecución y servicios, comparando todo contra una lista dura que incluye herramientas de análisis y soluciones de seguridad —si detectan ciertos productos, los atacantes abortan la infección para evitar entornos de investigación.
Si el equipo supera esas pruebas, el loader contacta con servidores controlados por los atacantes y descarga dos componentes: un binario llamado CONSCTLX.exe y una segunda carga en PowerShell que se configura para ejecutarse periódicamente, por ejemplo mediante tareas programadas, garantizando persistencia. El componente CONSCTLX.exe también modifica marcas de actualización internas (escribe la fecha actual en C:\Program Files (x86)\eScan\Eupdate.ini) para dar la apariencia de que el antivirus sigue funcionando y recibiendo actualizaciones con normalidad.
Además de impedir actualizaciones, el código malicioso puede alterar el archivo HOSTS para bloquear comunicaciones con servidores legítimos, complicando la restauración automática del producto. Puedes revisar los hashes y muestras públicas que los investigadores han subido a VirusTotal, como la entrada de reload.exe y la de CONSCTLX.exe: Reload.exe en VirusTotal y CONSCTLX.exe en VirusTotal.
Respecto al alcance, Kaspersky indica que su telemetría detectó intentos de infección en centenas de equipos, tanto personales como empresariales, concentrados principalmente en India, Bangladés, Sri Lanka y Filipinas. Esa distribución geográfica sugiere que la campaña se dirigió o al menos se propagó con mayor intensidad en la región donde la herramienta tiene más presencia.
MicroWorld no detalla públicamente cuál de sus servidores regionales fue comprometido ni el mecanismo exacto de acceso inicial, pero el análisis de los expertos sugiere que los atacantes tuvieron que estudiar a fondo la arquitectura de actualización de eScan para manipularla con éxito. No es trivial entender y explotar un proceso de actualización de un producto antivirus, lo que subraya la sofisticación necesaria para ejecutar esta clase de ataque a la cadena de suministro.
La gravedad del incidente radica en la confianza inherente a las actualizaciones de seguridad. Cuando el canal de distribución de un antivirus se corrompe, el potencial de daño se multiplica: el software que debería proteger termina por convertirse en vector de ataque. Por eso expertos describen estos casos como especialmente preocupantes y poco habituales en el panorama habitual de ciberamenazas.
Para organizaciones y administradores, la recomendación inmediata es ponerse en contacto con MicroWorld para obtener la corrección oficial y seguir las pautas de remediación que el fabricante ha publicado. A la par, es aconsejable verificar señales de compromiso relacionadas con los comportamientos descritos: presencia de ejecutables modificados en la carpeta de eScan, cambios en el archivo Eupdate.ini, entradas inesperadas en el archivo HOSTS, tareas programadas sospechosas y procesos que ejecuten PowerShell con cargas codificadas. Realizar un análisis forense, aislar máquinas afectadas y, si procede, restaurar desde copias limpias son acciones prudentes mientras se confirma la limpieza completa.
El caso de eScan vuelve a poner en primer plano una lección crítica: la seguridad no puede depender de un único elemento de confianza. Las organizaciones deben combinar controles de integridad de actualizaciones, monitoreo de comportamiento, segmentación de red y verificación de firmas digitales para mitigar el riesgo de que componentes legítimos sean utilizados en su contra. La industria en su conjunto también necesita mejorar la transparencia y los mecanismos de verificación para las cadenas de suministro del software.
Para profundizar en los hallazgos técnicos y las recomendaciones oficiales, puede consultarse el análisis de Kaspersky en Securelist, el aviso de Morphisec en su blog y el comunicado de MicroWorld en su boletín oficial. Mantenerse informado y actuar con celeridad sigue siendo la mejor defensa frente a este tipo de amenazas.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...