Alguien más está adentro, pero no ves nada raro
En el espacio donde la confianza entre personas se convierte en vulnerabilidad, una nueva campaña de ciberdelincuentes aprovecha los lazos cotidianos de WhatsApp para distribuir archivos maliciosos disfrazados de documentos bancarios y facturas. Detectada por Kaspersky y activa en varios países, la amenaza opera desde cuentas reales comprometidas, lo que disuelve la primera línea de defensa del usuario: reconocer al remitente. El ataque, que solo se activa en computadoras Windows, instala silenciosamente herramientas de acceso remoto que entregan el control total de la máquina a manos desconocidas.
- La campaña es especialmente peligrosa porque los mensajes no llegan de extraños, sino de contactos reales cuyas cuentas han sido comprometidas, neutralizando la desconfianza natural del usuario.
- Un solo clic sobre el archivo .vbs desencadena una cadena silenciosa: el script prepara el sistema, descarga componentes externos e instala ManageEngine Endpoint Central bajo el control de los atacantes.
- Una vez instalada la herramienta, los delincuentes tienen acceso total y encubierto: pueden robar contraseñas, revisar archivos, acceder a cuentas bancarias y ejecutar comandos sin que la víctima note nada.
- La expansión es amplia y deliberada: los nombres de los archivos imitan documentos cotidianos y están adaptados a múltiples idiomas, lo que permitió que la amenaza cruzara fronteras rápidamente.
- La defensa más efectiva es la verificación por canales alternativos: ante cualquier archivo inesperado, incluso de un conocido, confirmar por llamada o mensaje separado antes de descargarlo puede ser la diferencia entre seguridad y compromiso total.
Un nuevo engaño circula por WhatsApp dirigido a usuarios de Windows: archivos disfrazados de facturas, resúmenes bancarios o avisos de deuda que, al ejecutarse, entregan el control total de la computadora a ciberdelincuentes. La campaña fue detectada por Kaspersky y ya opera en múltiples países.
Lo que la hace especialmente efectiva es su punto de partida: los atacantes comprometen cuentas reales de WhatsApp para enviar los archivos. El mensaje no llega de un desconocido, sino de alguien en la lista de contactos de la víctima, lo que baja la guardia de forma casi inevitable.
El archivo tiene extensión .vbs, un tipo de script que Windows ejecuta sin advertencias visibles. Al abrirlo, trabaja en segundo plano: primero prepara el sistema, luego descarga componentes desde servidores externos y finalmente instala ManageEngine Endpoint Central, una herramienta legítima de administración remota que queda conectada a los servidores de los delincuentes. El resultado es acceso total y silencioso: archivos, contraseñas, cuentas bancarias, todo queda expuesto mientras la computadora aparenta funcionar con normalidad.
El riesgo solo se activa si el archivo se descarga y ejecuta en Windows; recibirlo en el teléfono no genera infección. WhatsApp Desktop es el entorno más vulnerable, ya que permite ejecutar el archivo con menos pasos.
La defensa es concreta: desconfiar de cualquier archivo inesperado, incluso de contactos conocidos, verificar la extensión real antes de abrir, y confirmar por otro canal si el documento parece importante. Extensiones como .vbs, .exe, .bat o .ps1 son señales de alerta inmediata. En un entorno donde los propios contactos pueden estar comprometidos, la precaución es la única protección confiable.
Un nuevo engaño circula por WhatsApp dirigido específicamente a quienes usan la plataforma desde una computadora con Windows. El ataque llega disfrazado de algo cotidiano: una factura, un resumen bancario, un aviso de deuda, un informe de trabajo. Pero dentro de ese archivo aparentemente inofensivo hay un script preparado para entregar el control total de tu máquina a delincuentes.
La campaña fue detectada y reportada por Kaspersky, la empresa de ciberseguridad, y ya circula en varios países. Lo que la hace particularmente efectiva es que los atacantes comprometieron cuentas reales de WhatsApp para enviar los archivos maliciosos. Cuando recibes el mensaje, no viene de un desconocido. Viene de alguien en tu lista de contactos. Eso es lo que hace que bajes la guardia.
El mecanismo es simple pero letal. El archivo tiene extensión .vbs, que es un tipo de script de Visual Basic que Windows puede ejecutar sin hacer preguntas. Cuando lo descargas desde WhatsApp Web o desde la aplicación de escritorio y lo abres, el script se pone a trabajar en segundo plano sin que veas nada. Primero prepara el entorno del sistema. Luego descarga componentes adicionales desde servidores externos controlados por los atacantes. Finalmente instala ManageEngine Endpoint Central, una herramienta de administración remota que las empresas usan legítimamente para manejar sus computadoras desde la distancia. Pero en este caso, queda conectada a servidores de los delincuentes.
Una vez que eso está instalado, los atacantes tienen acceso completo a tu máquina. Pueden revisar tus archivos, ejecutar comandos, instalar más malware, robar contraseñas, acceder a tus cuentas bancarias. El control es total y silencioso. No ves nada raro. Tu computadora funciona normalmente. Pero alguien más está adentro.
Los nombres de los archivos están diseñados para parecer legítimos: factura, extracto, comprobante, informe. Y están adaptados a diferentes idiomas, lo que permitió que la campaña se expandiera por múltiples regiones. El riesgo no existe si recibes el archivo en tu teléfono. Solo se activa cuando lo descargas y ejecutas en una computadora Windows. WhatsApp Desktop es especialmente peligroso porque el archivo puede ejecutarse con menos pasos desde la propia aplicación.
Para no caer en la trampa, la regla principal es desconfiar de cualquier archivo inesperado que llegue por WhatsApp, incluso si lo envía alguien que conoces. Si una factura o un aviso de deuda aparece sin contexto, confirma por otro canal antes de descargarlo. Revisa la extensión real del archivo. Un documento legítimo llega como .pdf, .docx, .xlsx o imagen. Si ves .vbs, .vbe, .exe, .bat, .cmd, .js o .ps1, es una señal de alerta. Y si el archivo parece importante, lo más seguro es llamar al remitente o escribirle por otro medio para confirmar que realmente lo envió. En tiempos donde los contactos pueden estar comprometidos, la desconfianza es tu mejor defensa.
Citações Notáveis
Los atacantes comprometieron cuentas de WhatsApp para enviar los archivos maliciosos a contactos reales, lo que vuelve más creíble el mensaje— Kaspersky, empresa de ciberseguridad
A Conversa do Hearth Outra perspectiva sobre a história
¿Por qué estos archivos .vbs son tan efectivos si Windows debería tener defensas contra esto?
Porque el .vbs es un formato que Windows reconoce como legítimo. No es un virus tradicional. Es un script que Windows está diseñado para ejecutar. Los antivirus ven un archivo que el sistema operativo considera seguro, así que lo dejan pasar.
Pero entonces, ¿por qué no simplemente no ejecutar el archivo?
Porque la gente no sabe qué es un .vbs. Ven algo que parece una factura, hacen doble clic, y Windows lo ejecuta automáticamente. No hay una ventana que diga "esto es un script". Solo sucede.
¿Y si alguien tiene un antivirus bueno?
Algunos antivirus modernos lo detectan. Pero los atacantes actualizan constantemente el código para evadir las defensas. Es una carrera. Además, muchas personas usan antivirus básicos o desactualizado.
¿Qué es lo más peligroso una vez que tienen acceso remoto?
Pueden hacer cualquier cosa que hagas tú en tu computadora. Robar contraseñas guardadas, acceder a tus cuentas bancarias, instalar más malware, usar tu máquina para atacar a otros. Y lo hacen sin que te des cuenta.
¿Cómo saben que la cuenta de WhatsApp está comprometida?
No lo sabes hasta que alguien te dice que recibió un mensaje extraño de ti. Eso es lo insidioso. Tu contacto está infectado, así que cuando te envía el archivo, parece que vienes de alguien de confianza.
¿Entonces la única defensa real es no abrir nada?
No es tan extremo. Es ser escéptico. Si no esperabas un archivo, no lo abras. Si lo esperabas pero algo se ve raro, confirma. Y revisa la extensión. Eso solo toma un segundo y puede salvarte.