Un nuevo informe por parte de investigadores de seguridad pone en evidencia una técnica cada vez más preocupante: en lugar de crear malware propio, los atacantes están aprovechando herramientas legítimas de administración remota para mantener acceso persistente a equipos comprometidos. Investigadores de KnowBe4 describen una campaña en dos etapas en la que el objetivo inicial es robar credenciales mediante correos falsos, y la segunda parte consiste en convertir esos credenciales robadas en acceso permanente usando software de Remote Monitoring and Management (RMM) legítimo como si fuera una «llave maestra» del sistema. Puedes leer el análisis original de KnowBe4 aquí: KnowBe4 - The Skeleton Key.
La primera fase de la operación aprovecha un señuelo convincente: invitaciones falsas que parecen provenir de servicios legítimos de envío de tarjetas electrónicas. Estas comunicaciones inducen al destinatario a pulsar un enlace de phishing que simula una página de inicio de sesión de grandes proveedores de correo como Outlook, Yahoo! o AOL. Cuando la víctima introduce sus credenciales, estas quedan en manos de los actores maliciosos, que a partir de ahí avanzan sin necesidad de explotar vulnerabilidades técnicas complejas.
Con una cuenta comprometida en su poder, los atacantes registran esa dirección en plataformas de administración remota para generar tokens de acceso de RMM. En el caso documentado, la cadena culmina con la puesta en marcha de un ejecutable con un nombre atractivo y aparentemente legítimo —el archivo identificado como “GreenVelopeCard.exe”— que incluye en su interior una configuración en formato JSON. Ese archivo está firmado digitalmente y se utiliza para descargar e instalar silenciosamente la herramienta de acceso remoto (en este caso, LogMeIn Resolve, también conocido como GoTo Resolve) y conectarla a un servidor controlado por el atacante sin que el usuario lo advierta. El producto afectado puede consultarse en su web oficial: GoTo Resolve.
Una vez desplegada la herramienta RMM, los operadores modifican sus parámetros para que funcione con privilegios elevados en Windows y crean mecanismos de persistencia que impiden que un cierre manual termine con la intrusión: cambian la configuración del servicio y generan tareas programadas ocultas que relanzan el software en cuanto sea necesario. Es decir, transforman una utilidad diseñada para la gestión y soporte legítimo en un backdoor eficaz y durable.
El problema de fondo es que las defensas tradicionales, basadas exclusivamente en detección de “malware conocido”, pueden fallar frente a este tipo de abuso: las aplicaciones son legales, están firmadas y se instalan con credenciales válidas. Eso no significa que no haya señales que puedan y deban vigilarse. Actividades atípicas como la creación de accesos RMM desde cuentas nuevas o desde ubicaciones geográficas inusuales, la emisión de tokens por cuentas no administradas, instalaciones de software de soporte fuera de canales aprobados y la presencia de tareas programadas que se crean sin una justificación administrativa deberían disparar alertas en un SIEM o en las herramientas de monitoreo corporativo.
En términos prácticos, la mitigación pasa por reforzar la protección de las credenciales y limitar cómo se puede usar una cuenta administrativa. La activación y exigencia de autenticación multifactor es una medida sencilla y eficaz que reduce drásticamente la probabilidad de que credenciales robadas permitan registrar servicios en nombre de la víctima; Microsoft y otros proveedores ofrecen guías sobre cómo implementar MFA de forma robusta: Guía de MFA (Microsoft). Además, es recomendable mantener un inventario estricto de las herramientas RMM autorizadas, controlar los certificados de firma y aplicar políticas de least privilege para las cuentas con capacidad de instalar software o generar tokens de acceso.
La concienciación también cuenta. Los esfuerzos de formación para que empleados y administradores reconozcan correos de phishing y señales de compromiso ayudan a cortar la campaña en su fase inicial. Las autoridades y organismos de protección al consumidor disponen de recursos prácticos sobre cómo identificar y evitar campañas de phishing: Consejos contra el phishing (FTC). Para equipos de seguridad, es prudente revisar las guías nacionales sobre acceso remoto seguro, como las que publica la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.: Securing Remote Access (CISA).
Finalmente, esta campaña es un recordatorio claro de que la confianza en herramientas legítimas puede ser manipulada. Las organizaciones deben asumir que los atacantes nunca dejarán de buscar atajos para eludir controles y, por ello, conviene combinar medidas preventivas —como MFA, control de cuentas privilegiadas y listas blancas de aplicaciones— con detección basada en comportamiento, auditoría continua de instalaciones y procedimientos de respuesta que incluyan la revocación rápida de tokens y la remediación de servicios RMM sospechosos. La clave está en no tratar las herramientas de soporte remoto como intocables, sino como recursos que, como cualquier otro, necesitan gobernanza y monitoreo.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...