A finales de febrero de 2026 se detectó una campaña que aprovecha mensajes de WhatsApp para distribuir archivos maliciosos escritos en Visual Basic Script (VBS). Según investigadores de Microsoft, el vector inicial son ficheros que, si el usuario los ejecuta, desencadenan una cadena de infección en varias fases diseñada para permanecer en el sistema y otorgar acceso remoto a los atacantes. Lo que hace especialmente peligrosa a esta operación es la mezcla de ingeniería social con el uso de herramientas legítimas del propio sistema y servicios en la nube reconocidos. Para entender el alcance y las implicaciones, conviene desglosar cómo funciona la intrusión y qué medidas tomar para reducir el riesgo.
El punto de partida —según la investigación— es el envío de un VBS por WhatsApp cuyo contenido busca persuadir a la víctima a ejecutarlo, aunque Microsoft no ha confirmado aún los señuelos exactos que emplean los atacantes. Al activarse, el script crea carpetas ocultas dentro de C:\ProgramData y deposita versiones renombradas de ejecutables legítimos de Windows. Entre los archivos identificados están utilidades como curl.exe y bitsadmin.exe, pero con nombres falsos como netapi.dll y sc.exe para confundirse con el tráfico y los procesos habituales del sistema.
Una vez logrado el acceso inicial, la campaña continúa descargando cargas útiles secundarias alojadas en servicios de almacenamiento en la nube ampliamente utilizados. Microsoft ha observado que los archivos complementarios VBS se obtienen desde plataformas como Amazon S3, servicios de Tencent Cloud y Backblaze B2. Al alojar componentes en infraestructuras de confianza, los atacantes dificultan la detección y se benefician de la reputación de esos servicios para camuflar sus descargas maliciosas. Si quieres comprobar por qué estos proveedores son comunes en abusos de este tipo, puedes leer la documentación pública de AWS S3 (aws.amazon.com/s3), Tencent Cloud (intl.cloud.tencent.com) y Backblaze B2 (backblaze.com).
El propósito de esos binarios y scripts secundarios es doble: establecer persistencia y escalar privilegios. Los atacantes intentan debilitar los mecanismos de control de cuentas (UAC) para ejecutar comandos con privilegios elevados. Según el análisis, el malware intenta lanzar repetidamente cmd.exe con elevación hasta lograrlo o hasta que el proceso sea interrumpido, además de modificar claves del Registro bajo HKLM\\Software\\Microsoft\\Win para insertar mecanismos que sobrevivan a reinicios. Este tipo de manipulación busca que el control sobre la máquina no dependa de la interacción continua del usuario.
Una vez que alcanzan privilegios elevados, los operadores instalan paquetes MSI sin firmar que proporcionan accesos remotos persistentes. Entre las herramientas observadas en despliegues maliciosos figura AnyDesk, un software legítimo de acceso remoto que, en manos de un atacante, permite exfiltrar información, ejecutar acciones adicionales o desplegar cargas útiles adicionales. Esta estrategia —usar software legítimo para conseguir objetivos maliciosos— es una variante clásica de las técnicas "living-off-the-land" y complica el trabajo de detección porque muchas defensas tienden a permitir tráfico o procesos considerados rutinarios.
Desde una perspectiva técnica y operativa, hay dos lecciones importantes. La primera es que el uso de utilidades renombradas hace que el comportamiento malicioso parezca ordinario en registros y tráfico de red; por ejemplo, descargar desde S3 con una copia de curl renombrada no genera necesariamente las mismas alertas que una herramienta externa desconocida. La segunda es que alojar binarios en plataformas de confianza reduce la probabilidad de que las transferencias sean bloqueadas por políticas de seguridad que confían implícitamente en dominios y endpoints conocidos.
Para usuarios y administradores esto se traduce en recomendaciones prácticas claras: no ejecutar archivos recibidos por mensajería instantánea sin verificarlos, incluso si provienen de contactos conocidos; habilitar y mantener actualizado un antivirus y soluciones EDR; revisar políticas de ejecución de scripts y restricciones sobre la instalación de software; auditar la ejecución de binarios renombrados y vigilar modificaciones en claves sensibles del Registro y en la configuración de UAC. Microsoft publica orientaciones generales y alertas de amenazas que pueden ayudar a responder a incidentes y endurecer sistemas: Microsoft Security Blog y la documentación de sus soluciones de protección endpoint (learn.microsoft.com - Defender for Endpoint).
También es útil conocer los vectores de mensajería y sus opciones de seguridad: WhatsApp dispone de guías y consejos sobre cómo identificar mensajes sospechosos y proteger cuentas, que conviene consultar si recibes archivos o enlaces inesperados (Whatsapp - Seguridad). Para responsables de infraestructura, recursos como el marco ATT&CK del MITRE ayudan a clasificar y entender las técnicas empleadas por los atacantes, incluyendo el abuso de utilidades del sistema y el uso de almacenamiento en la nube como canal de entrega (mitre.org/attack).
Si sospechas que un sistema ha sido comprometido por una campaña de este tipo, no lo apagues de forma inmediata sin documentar el incidente, a menos que exista riesgo inminente; en muchos casos los equipos de respuesta recomiendan aislar la máquina de la red, preservar registros y volcar memoria si es posible, y escalar a un equipo de respuesta a incidentes o al proveedor de seguridad. Las agencias de ciberseguridad nacional también publican guías y alertas sobre amenazas emergentes; por ejemplo, la agencia estadounidense CISA mantiene recursos para responder a campañas que usan técnicas de persistencia y acceso remoto (cisa.gov - alerts).
En definitiva, esta campaña reafirma una tendencia que los equipos de seguridad vienen observando desde hace años: los atacantes combinan la confianza que generan herramientas y servicios legítimos con señuelos sociales para sortear defensas. La protección efectiva no depende solo de bloquear lo obvio, sino de identificar patrones atípicos en procesos cotidianos y educar a los usuarios para que no conviertan un simple mensaje en la puerta de entrada de un compromiso mayor. Mantener sistemas actualizados, limitar la ejecución de scripts no verificados, monitorizar cambios críticos en el Registro y en la configuración de UAC, y aplicar controles de aplicación y comportamiento siguen siendo medidas fundamentales para reducir el impacto de este tipo de campañas.
Para ampliar información y ver alertas y análisis adicionales sobre amenazas parecidas, puedes consultar fuentes especializadas en ciberseguridad y noticias técnicas como BleepingComputer o los comunicados oficiales y blogs de los proveedores implicados.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...