HP Inc. (NYSE: HPQ) publicó su más reciente Threat Insights Report, que documenta cómo los atacantes utilizan software confiable, malware disfrazado y señuelos de ingeniería social para obtener acceso a los dispositivos de los usuarios. El informe se basa en datos de clientes de HP Wolf Security recopilados entre enero y marzo de 2026, con el consentimiento de los usuarios, y fue elaborado por el equipo de HP Threat Research.
Los investigadores identificaron tres campañas. En la primera, los ciberdelincuentes abusan de aplicaciones legítimas de acceso remoto como LogMeIn y ScreenConnect para tomar control de dispositivos sin generar sospechas. Las campañas comenzaron con correos de phishing relacionados con el cierre del año fiscal y descargas falsas de aplicaciones de escritorio, incluyendo sitios de citas falsos, para convencer a los usuarios de instalar estas herramientas.
En la segunda, los atacantes distribuyen falsas herramientas de recuperación de billeteras de criptomonedas bajo la promesa de localizar fondos perdidos, cuando en realidad buscan robarlos. Estas herramientas se comparten a través de plataformas de intercambio de código y sitios de descarga de medios. Los scripts, cargados de emojis, parecen desarrollados mediante «vibe coding» y recopilan credenciales, datos de billeteras y del sistema antes de empaquetarlos en archivos comprimidos para su exfiltración.
La tercera consiste en campañas ClickFix, donde el malware se disfraza como archivos de audio. Las víctimas son guiadas a través de captchas en sitios web falsos, lo que desencadena la ejecución de comandos maliciosos que activan cargas útiles ocultas en segundo plano.
Patrick Schläpfer, Principal Threat Researcher de HP Security Lab, señaló: «Lo que destaca en estas campañas es la facilidad con la que herramientas legítimas de acceso remoto se están convirtiendo en puntos de entrada para los atacantes. Al combinar software confiable con técnicas cuidadosamente diseñadas de ingeniería social, vinculadas a eventos como el cierre del año fiscal, resulta cada vez más difícil distinguir qué es confiable y qué no.»
Según el informe, al menos el 11% de las amenazas por correo electrónico identificadas por HP Sure Click lograron evadir uno o más escáneres de seguridad de correo. Los archivos ejecutables fueron el método más común de distribución de malware (39%), seguidos por archivos comprimidos (38%) y documentos PDF (10%). El malware distribuido mediante PDFs aumentó 2%, utilizando señuelos como documentos judiciales y notificaciones de bonos.
Alex Holland, Principal Threat Researcher de HP Security Lab, indicó: «Estos ataques no parecen intrusiones; parecen actividades cotidianas. Se mezclan con el trabajo habitual de TI y evitan las señales de alerta tradicionalmente asociadas con el malware. Para proteger el futuro del trabajo y reducir riesgos, las organizaciones deben limitar privilegios innecesarios, controlar la instalación de software y aislar actividades riesgosas como descargas y enlaces desconocidos.»
Hasta la fecha, los clientes de HP Wolf Security han interactuado con más de 60 mil millones de archivos adjuntos de correo, páginas web y descargas sin que se haya reportado ninguna brecha de seguridad. HP Sure Start ha protegido más de 200 millones de endpoints contra ataques dirigidos al firmware.
📬 Newsletter gratuito
