Puntos clave
- Los cibercriminales están recurriendo a señuelos animados muy realistas para generar confianza y llevar a los usuarios a sitios web y descargas infectadas.
- Mediante el uso de herramientas de malware disponibles en el mercado —como PureRAT y Phantom Stealer—, los atacantes ejecutan campañas avanzadas con bajo esfuerzo, reutilizando recursos visuales y aprovechando plataformas legítimas.
- Para esquivar los sistemas de seguridad, los actores maliciosos emplean técnicas como DLL sideloading, software legítimo alterado y ajustes diseñados para evadir las protecciones más recientes de Windows.
Chile, diciembre de 2025 — HP Inc. (NYSE: HPQ) dio a conocer una nueva edición de su Threat Insights Report, en la que detalla cómo los ciberdelincuentes están elevando el nivel de sus ataques mediante animaciones de apariencia profesional y el uso de servicios de malware comercializados abiertamente. De acuerdo con los analistas de HP, estas campañas combinan gráficos cuidadosamente diseñados, servicios de alojamiento populares como Discord y kits de malware que se actualizan de forma constante para esquivar tanto a los usuarios como a las herramientas de detección tradicionales.
El reporte examina incidentes reales y proporciona a las organizaciones información clave para comprender las técnicas más recientes utilizadas para comprometer equipos y eludir defensas de seguridad en un panorama de amenazas en permanente cambio. A partir del análisis de millones de endpoints protegidos por HP Wolf Security*, el equipo de Investigación de Amenazas de HP identificó las siguientes campañas destacadas:
DLL sideloading como método para evadir la seguridad en endpoints
En una de las campañas detectadas, los atacantes se hicieron pasar por la Fiscalía General de la Nación de Colombia y enviaron correos electrónicos con supuestas notificaciones legales. Los mensajes dirigían a las víctimas a un falso sitio gubernamental que desplegaba una animación automática y de aspecto profesional, diseñada para guiar al usuario hacia una presunta “clave de un solo uso”.
Al seguir las instrucciones, la víctima descargaba un archivo comprimido protegido con contraseña. Una vez abierto, el contenido ejecutaba una carpeta que incluía una DLL maliciosa oculta, lo que permitía instalar PureRAT de manera silenciosa y otorgar control total del dispositivo al atacante. Las muestras analizadas mostraron una alta capacidad de evasión: en promedio, solo el 4% fue identificado por soluciones antivirus.
Supuesta actualización de Adobe instala acceso remoto no autorizado
Otro escenario detectado involucró un archivo PDF fraudulento que utilizaba la imagen corporativa de Adobe. Este documento redirigía a un sitio falso que simulaba una actualización del lector de PDF. A través de una animación progresiva con una barra de instalación falsa —similar a la oficial—, los usuarios eran inducidos a descargar una versión manipulada de ScreenConnect, una herramienta legítima de acceso remoto.
Una vez instalada, la aplicación se conectaba a servidores controlados por los atacantes, quienes obtenían control remoto del sistema comprometido.
Discord como plataforma de distribución para evadir Windows 11
En otro tipo de ataque, los actores de amenazas alojaron el malware en Discord, evitando así crear su propia infraestructura y aprovechando la reputación confiable del dominio. Antes de ejecutarse, el código malicioso modificaba la función de Integridad de Memoria de Windows 11, debilitando esta protección para facilitar la infección.
La cadena de ataque culminaba con la instalación de Phantom Stealer, un malware de tipo infostealer vendido bajo suscripción en foros clandestinos. Esta herramienta está diseñada para robar credenciales y datos financieros, y se actualiza de manera frecuente para evadir las soluciones de seguridad modernas.
Patrick Schläpfer, Investigador Principal de HP Security Lab, señaló:
“Los atacantes están utilizando animaciones muy bien diseñadas, como falsas barras de progreso y solicitudes de contraseñas, para transmitir urgencia y credibilidad. Paralelamente, emplean malware listo para usar, que se actualiza con la misma velocidad que el software legítimo. Esta combinación les permite adelantarse a las defensas basadas en detección con un esfuerzo significativamente menor”.
El auge del secuestro de cookies y el malware infostealer
Junto con el informe, el equipo de HP publicó un análisis adicional en su blog sobre el aumento de ataques basados en el robo de cookies de sesión. En lugar de vulnerar contraseñas o sortear la autenticación multifactor, los atacantes secuestran cookies activas que prueban que un usuario ya inició sesión, obteniendo acceso inmediato a sistemas críticos.
El análisis, basado en datos públicos de incidentes reportados, reveló que el 57% de las principales familias de malware detectadas durante el tercer trimestre de 2025 correspondieron a infostealers, muchos de los cuales incluyen funciones específicas para el robo de cookies.
Datos clave del periodo julio–septiembre de 2025
El informe también expone cómo los atacantes diversifican sus vectores para superar los sistemas de detección:
- Al menos el 11% de las amenazas por correo electrónico identificadas por HP Sure Click logró evadir uno o más escáneres de correo.
- Los archivos comprimidos fueron el principal método de entrega (45%), con un aumento del 5% frente al trimestre anterior, destacando el uso de formatos como .tar y .z.
- Durante el tercer trimestre, el 11% de las amenazas bloqueadas por HP Wolf Security correspondió a archivos PDF, lo que supone un incremento del 3% respecto al periodo previo.
El Dr. Ian Pratt, Director Global de Seguridad para Sistemas Personales en HP Inc., concluyó:
“El uso indebido de plataformas legítimas, la suplantación de marcas confiables y el empleo de recursos visuales sofisticados, como animaciones, hacen que incluso las mejores herramientas de detección puedan fallar. Aunque no es posible anticipar todos los ataques, aislar interacciones de alto riesgo —como la apertura de archivos o sitios no confiables— permite contener las amenazas antes de que provoquen daños, sin afectar la experiencia del usuario”.