El informe Threat Insights de HP revela cómo los atacantes están utilizando software legítimo, malware camuflado y señuelos cada vez más convincentes para acceder a los dispositivos de los usuarios. La investigación pone de manifiesto un desafío creciente tanto para los usuarios como para los equipos de seguridad, ya que las actividades maliciosas son cada vez más difíciles de distinguir del comportamiento legítimo.
Campañas maliciosas
El informe analiza ciberataques reales para ayudar a las organizaciones a mantenerse al día sobre las técnicas más recientes que utilizan los ciberdelincuentes para evadir la detección y comprometer los equipos en un panorama de amenazas en constante evolución. Basándose en los millones de dispositivos protegidos por HP Wolf Security, los investigadores identificaron, entre otras, las siguientes campañas:
- Herramientas legítimas de acceso remoto utilizadas como puertas traseras: Los ciberdelincuentes están utilizando de aplicaciones como LogMeIn y ScreenConnect para tomar el control de los dispositivos de las víctimas sin levantar sospechas. Las campañas se iniciaban mediante correos electrónicos de phishing relacionados con el cierre del ejercicio fiscal y descargas falsas de aplicaciones de escritorio, incluidas páginas de citas fraudulentas, para persuadir posteriormente a los usuarios de que instalaran herramientas legítimas de acceso remoto. Una vez instaladas, estas herramientas eran controladas por los atacantes y les permitían integrarse en la actividad habitual de TI, obteniendo un control total sobre los dispositivos.
- Atacantes que se aprovechan de usuarios que intentan recuperar carteras de criptomonedas perdidas: Los atacantes están distribuyendo falsas herramientas de recuperación de carteras de criptomonedas que afirman ayudar a localizar fondos perdidos, pero cuyo verdadero objetivo es robarlos. Estos programas maliciosos, compartidos habitualmente a través de plataformas de intercambio de código y sitios de descarga de contenidos, contienen scripts de robo de información repletos de emojis que parecen haber sido desarrollados mediante técnicas de «vibe coding». Son capaces de recopilar credenciales, datos de carteras e información del sistema antes de empaquetarlos en archivos comprimidos para su exfiltración.
- Las campañas de ClickFix ocultan malware en archivos de audio: Los responsables de recientes campañas ClickFix están camuflando malware en archivos de audio para evitar su detección. Las víctimas son dirigidas a sitios web falsos cuidadosamente diseñados que muestran mensajes CAPTCHA aparentemente legítimos. Al interactuar con ellos, se ejecutan comandos maliciosos que activan silenciosamente cargas maliciosas ocultas en segundo plano.
Patrick Schläpfer, investigador principal de amenazas de HP Security Lab, comenta: “Lo que más llama la atención de estas campañas es la facilidad con la que herramientas legítimas de acceso remoto pueden convertirse en puntos de entrada para los atacantes. Al combinar software de confianza con técnicas de ingeniería social cuidadosamente diseñadas —vinculadas a eventos como el cierre del ejercicio fiscal— cada vez resulta más difícil distinguir qué es fiable y qué no».
Al aislar las amenazas que han eludido las herramientas de detección en los ordenadores personales —pero permitiendo al mismo tiempo que el malware se active de forma segura dentro de contenedores protegidos—, HP Wolf Security obtiene información sobre las últimas técnicas utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 60.000 millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados sin que se hayan notificado brechas de seguridad.
El informe, basado en datos recopilados entre enero y marzo de 2026, muestra cómo los ciberdelincuentes siguen diversificando sus métodos de ataque para eludir las herramientas de seguridad:
- Al menos el 11 % de las amenazas de correo electrónico identificadas por HP Sure Click consiguieron evadir uno o más escáneres de pasarela de correo electrónico.
- Los archivos ejecutables fueron el método de distribución de malware más popular (39 %), seguidos de los archivos comprimidos (38 %) y los documentos PDF (10 %).
- El malware distribuido mediante documentos PDF aumentó un 2 %, utilizando señuelos de diversa índole, como documentos judiciales o notificaciones de pagos de bonificaciones, para generar sensación de urgencia e incentivar a la interacción de los usuarios.
Alex Holland, investigador principal de amenazas de HP Security Lab, comenta: “Estos ataques no tienen el aspecto de una intrusión tradicional; parecen actividad empresarial habitual. Se integran en las operaciones normales de TI y evitan muchas de las señales de alerta asociadas al malware. Para proteger el futuro del trabajo y reducir el riesgo, las organizaciones deben limitar privilegios innecesarios, controlar la instalación de software y aislar actividades de riesgo como descargas y enlaces desconocidos. La detección por sí sola ya no es suficiente cuando herramientas legítimas pueden convertirse en puertas traseras».
