Sitios Gubernamentales Falsos, Advertencias Legales y Actualizaciones de Software
HP Inc. presentó su más reciente Threat Insights Report, donde destaca cómo los atacantes están perfeccionando sus campañas mediante señuelos animados, reutilización de plantillas y herramientas maliciosas que se pueden adquirir fácilmente. El resultado: campañas cada vez más creíbles, capaces de evadir tanto a usuarios como a soluciones de seguridad.
Los investigadores explican que los ciberdelincuentes se apoyan en plataformas legítimas como Discord y en kits de malware que se actualizan tan rápido como el software comercial. Sobre la base de millones de endpoints protegidos por HP Wolf Security, el análisis identificó varios patrones preocupantes.
Señuelos más pulidos, ataques más efectivos
1. DLL sideloading con señuelos visuales creíbles
Atacantes que se hicieron pasar por la Fiscalía de Colombia enviaron falsas advertencias legales. Las víctimas eran llevadas a un sitio falso con una animación que los guiaba a un supuesto “código de un solo uso”, empujándolos a abrir un archivo malicioso.
La carga incluía una DLL modificada que instalaba PureRAT, otorgando control total del dispositivo. Apenas el 4% de las muestras fue detectado por antivirus.
2. Actualización falsa de Adobe distribuye acceso remoto
Un PDF con branding Adobe conducía a un sitio fraudulento que simulaba una actualización del lector. Una animación replicaba la instalación oficial, mientras que en realidad descargaba una versión alterada de ScreenConnect, conectada a servidores controlados por los atacantes.
3. Discord como plataforma para evadir defensas de Windows 11
Los actores alojaron malware en Discord para aprovechar su reputación de dominio confiable. Antes de infectar, el software desactivaba la protección Memory Integrity de Windows 11. La infección terminaba instalando Phantom Stealer, un infostealer por suscripción con funciones de robo de credenciales y datos financieros, actualizado de forma constante.
Auge de los infostealers y secuestro de cookies
El informe complementa un análisis sobre el crecimiento de los ataques de secuestro de cookies de sesión. En lugar de robar contraseñas, los atacantes obtienen acceso inmediato mediante cookies que verifican que un usuario ya está autenticado.
Más de la mitad (57%) de las principales familias de malware en el Q3 2025 fueron infostealers con capacidades de robo de cookies.
Tendencias del trimestre
Entre julio y septiembre de 2025, HP registró:
• 11% de amenazas de correo que sortearon uno o más filtros de gateway.
• 45% de ataques entregados mediante archivos comprimidos, con crecimiento en el uso de .tar y .z maliciosos.
• 11% de amenazas vinculadas a archivos PDF, con aumento trimestral de 3 puntos.
HP Wolf Security señala además que sus usuarios hicieron clic en más de 55.000 millones de archivos y enlaces sin reportar brechas, gracias al aislamiento de contenido riesgoso dentro de contenedores seguros.
Perspectiva experta
Patrick Schläpfer, Principal Threat Researcher en HP Security Lab, advierte que las animaciones profesionales y el malware por suscripción permiten a los atacantes evitar defensas con poco esfuerzo.
El Dr. Ian Pratt, Global Head of Security for Personal Systems, agrega que las organizaciones deben asumir que algunas amenazas escaparán a la detección y adoptar aislamiento de alto riesgo como capa adicional de protección.