HP advierte a los turistas sobre riesgos cibernéticos relacionados con banners de cookies maliciosos en páginas falsas de reservas
Un reciente análisis de HP Wolf Security ha revelado un nuevo tipo de ciberamenaza que apunta directamente a los viajeros. Se trata de portales de reservas ficticios que utilizan notificaciones de cookies manipuladas para infiltrar software malicioso en los dispositivos de los usuarios, justo antes de la temporada alta de vacaciones.
Aspectos clave del informe
- El más reciente informe sobre amenazas cibernéticas de HP revela cómo sitios fraudulentos de viajes utilizan banners de consentimiento de cookies para instalar malware y tomar control de equipos.
- Los ciberdelincuentes están aprovechando estructuras conocidas del sistema operativo Windows —como carpetas “Documentos”— para esconder archivos peligrosos camuflados como PDFs.
- Los archivos MSI están siendo cada vez más utilizados para propagar código malicioso, principalmente debido a campañas como ChromeLoader.
La amenaza del “clic por costumbre”
Fecha: junio de 2025 — HP Inc. (NYSE: HPQ) dio a conocer su nuevo informe de inteligencia, que muestra cómo los atacantes se benefician del comportamiento impulsivo de los usuarios, especialmente cuando estos navegan de manera rápida y despreocupada buscando ofertas de viaje. Este estudio está basado en incidentes reales y busca alertar sobre las estrategias más recientes para evadir sistemas de protección y comprometer equipos.
Falsas webs de reservas y trampas encubiertas
La investigación se centra en una serie de dominios sospechosos, relacionados con una campaña anterior que utilizaba CAPTCHA como disfraz. Los sitios emulan la apariencia de plataformas de reserva conocidas, aunque con diferencias sutiles como texto desenfocado o elementos visuales inusuales.
Una de las tácticas más peligrosas es el uso de banners falsos para el consentimiento de cookies. Al hacer clic en “Aceptar”, los usuarios descargan sin saberlo un archivo JavaScript infectado. Al ejecutarlo, se activa XWorm, un troyano de acceso remoto (RAT) que permite a los atacantes tomar el control del dispositivo: acceder a documentos, cámara, micrófono, y hasta desactivar el software de protección.
Detectada por primera vez a inicios de 2025, esta ofensiva digital se intensificó coincidiendo con el pico de reservas para las vacaciones. Según el informe, la campaña sigue activa, adaptándose y registrando nuevos dominios para seguir captando víctimas.
Expertos en ciberseguridad explican el fenómeno
Patrick Schläpfer, investigador principal en HP, explica que la normalización de las solicitudes de cookies —impulsada por legislaciones como el RGPD— ha creado una respuesta automática en los usuarios, quienes muchas veces aceptan sin pensar.
“Los atacantes no necesitan tácticas complejas. Solo esperan el momento justo, cuando el usuario está apurado o distraído”, señala Schläpfer.
Técnicas adicionales detectadas
Además de los banners de cookies, HP Wolf Security identificó otras formas de ataque:
- Archivos trampa camuflados: Usan archivos incrustados en carpetas que imitan directorios familiares del sistema (como “Descargas”), presentados a través de ventanas emergentes similares a las del Explorador de Windows. Estos accesos directos, que simulan ser documentos PDF, activan el malware al abrirse.
- Archivos de PowerPoint disfrazados: Se detectaron presentaciones que, al abrirse en modo de pantalla completa, emulan la interfaz de carpetas del sistema. Presionar “Escape” desencadena la descarga de un archivo comprimido con scripts maliciosos y ejecutables que introducen el virus en el sistema.
- Proliferación de instaladores MSI maliciosos: Estas herramientas están siendo utilizadas masivamente, disfrazadas de instaladores de software confiables. Suplantan programas reales y utilizan certificados digitales válidos para evitar ser bloqueados por los sistemas de seguridad de Windows.
Una defensa efectiva desde contenedores seguros
HP Wolf Security permite ejecutar este tipo de amenazas en entornos virtualizados, lo que proporciona una visión privilegiada de las nuevas técnicas empleadas por ciberdelincuentes. A la fecha, se han gestionado más de 50 mil millones de archivos adjuntos y descargas sin incidentes reportados, gracias a esta arquitectura de aislamiento.
Dr. Ian Pratt, director global de seguridad en sistemas personales de HP, comenta:
“Los usuarios ya no reaccionan con cuidado ante solicitudes emergentes. Esta apatía es justamente lo que explotan los atacantes. Reducir la exposición en momentos clave —como al hacer clic en enlaces dudosos— puede minimizar significativamente los riesgos sin necesidad de anticipar cada posible ataque”.
Para conocer más detalles del informe y otros hallazgos recientes, visita el blog de investigación en ciberseguridad de HP.