Podría parecer que los días de los correos ingenuos con un .exe adjunto quedaron atrás. Pero en realidad los adjuntos en los correos siguen siendo la herramienta preferida de los ciberdelincuentes. Solo cambian los formatos y los métodos. Archivos PDF, imágenes ISO e incluso los habituales accesos directos de Windows (.lnk) se han convertido en armas en manos de los delincuentes informáticos. ¿Por qué? Es sencillo: los adjuntos abren una vía directa hacia su equipo, a menudo eludiendo las protecciones habituales.
Si lo piensa, cualquier archivo recibido por correo supone una amenaza potencial. El correo es un canal ideal: el usuario descarga, abre y activa la trampa por sí mismo. No es de extrañar que casi todos los incidentes resonantes de los últimos años empiecen con la palabra “phishing” y terminen en “adjunto”.
Vamos a analizar cómo funciona esto en la práctica y por qué incluso especialistas experimentados caen en estas trampas.
Archivos PDF: un asesino silencioso con apariencia de factura
El archivo PDF es algo cotidiano. Facturas, recibos, documentos oficiales: todo llega en este formato. Y aquí comienza el problema: dentro de un PDF puede ocultarse mucho más que texto o una imagen.
- Scripts JavaScript. Los PDF admiten scripts JavaScript que pueden ejecutarse al abrirse, por ejemplo para iniciar código malicioso automáticamente o descargar un archivo adicional.
- Exploits en los renderizadores. PDF creados adrede pueden aprovechar fallos en Adobe Reader u otros visores para ejecutar código arbitrario, por ejemplo bajo la apariencia de una imagen o un enlace incrustado.
- Objetos embebidos y enlaces. El PDF admite archivos adjuntos y enlaces. Por ejemplo: dentro del PDF se oculta un archivo comprimido o un ejecutable malicioso que se abre al hacer clic.
Ejemplo real: en uno de los ataques más conocidos los actores maliciosos enviaban “facturas” en PDF que contenían un .exe adjunto. Abres el documento y aparece un botón “Descargar factura”. Al pulsar, el troyano se descarga en el equipo.
¿Por qué no detecta el antivirus? Primero, el PDF en sí no tiene por qué contener un virus evidente: solo scripts u objetos. Segundo, las vulnerabilidades en los renderizadores (CVE-2018-4990, CVE-2021-21017, etc.) permiten eludir incluso protecciones modernas.
Archivos ISO: verdaderas matrioskas digitales
Un ISO es una imagen de disco que se puede montar en el sistema como un CD virtual o una unidad USB. Es práctico para distribuir software y controladores, pero los ciberdelincuentes lo usan como contenedor para archivos maliciosos.
- Evasión del bloqueo de macros. Un ISO puede contener no solo documentos, sino también accesos directos, scripts y ejecutables. Con frecuencia incluye un acceso directo LNK que apunta a un script malicioso o a un .exe. Tras montar la imagen, Windows no siempre advierte del origen externo del archivo.
- Empaquetado de adjuntos complejos. La imagen ISO permite meter varios archivos en una sola envoltura, incluida la apariencia de documentos, PDF e incluso archivos comprimidos. Abrir un ISO no suele despertar sospechas, y dentro se puede ocultar cualquier cosa.
- Automatización del lanzamiento. Mediante autoarranque, scripts o simple ingeniería social, el usuario puede verse inducido a hacer doble clic en un “documento” que en realidad ejecuta un troyano.
Ejemplo típico: la víctima recibe un correo con un adjunto llamado “Documentos_pedido.iso”. Lo monta y ve “Formulario_pedido.lnk” y un par de PDF. Al abrir el “formulario” se inicia una cadena de scripts de PowerShell que descargan y ejecutan el malware.
El uso de ISO entre los atacantes aumentó tras la decisión de Microsoft de bloquear por defecto las macros en documentos de Office procedentes de Internet. Pero la ISO sigue siendo una zona gris: Windows no siempre marca los archivos como peligrosos y los antivirus no siempre inspeccionan el contenido de la imagen.
Archivos LNK: accesos directos que funcionan como caballo de Troya
Un archivo LNK es un acceso directo de Windows, algo muy común en el escritorio. Pocos se plantean que un acceso directo puede ejecutar cualquier comando al abrirse, incluidos comandos de PowerShell, descargas o cambios en la configuración del sistema.
- Facilidad para disfrazarse. Un LNK se puede hacer pasar por un documento, una presentación o incluso una imagen cambiando el icono y el nombre.
- Inserción de comandos complejos. En el campo “Destino” se puede escribir una cadena de comandos completa. Se puede ejecutar el malware directamente, descargar un script desde internet o cargar una DLL e inyectarla en procesos del sistema.
- Evasión de las restricciones de adjuntos. Muchos servicios de correo filtran .exe, .js o .bat, pero no suelen bloquear LNK. Por eso el LNK se convirtió en un cebo estándar tras la implantación masiva de filtros para otros tipos de archivo.
Cómo se presenta: llega un correo con asunto “Vacante. Respuesta”. Dentro hay un archivo comprimido con “Currículum.lnk”. Al abrirlo se ejecuta una orden de PowerShell que descarga y lanza un software espía.
Importante: las versiones modernas de Windows marcan los LNK recibidos por internet con el atributo Mark-of-the-Web y advierten al ejecutarlos. Pero existen técnicas para eliminar esa marca —por ejemplo mediante compresores, imágenes ISO o descargas desde la nube.
Ataques combinados: creatividad sin límites
Si hay algo que los ciberdelincuentes evitan, es limitarse a un solo método. Cada vez son más comunes los ataques complejos que combinan PDF, ISO y LNK.
- En el correo hay un archivo comprimido que contiene un ISO. Dentro del ISO hay supuestos documentos, pero en realidad hay LNK y ejecutables.
- Un PDF incluye un enlace para descargar un ZIP que contiene un LNK que lanza PowerShell.
- En un ISO se ocultan LNK, scripts ejecutables y documentos maliciosos para maximizar la flexibilidad del ataque.
A veces incluso especialistas con experiencia no detectan el engaño a primera vista. Todas las fases pueden estar cuidadosamente disfrazadas: iconos, nombres y presentación están pensados para no despertar la menor sospecha.
Los escenarios se complican: el malware puede descargarse por partes, ciertas instrucciones solo se ejecutan en versiones concretas de Windows, se comprueba la presencia de entornos virtuales o de antivirus.
Elusión de antivirus y protecciones: ¿por qué siguen funcionando estas tácticas?
Los antivirus tienen un punto débil: no siempre inspeccionan dentro de ISO o de archivos comprimidos, no analizan cadenas complejas de LNK y no siempre detectan un script malicioso dentro de un PDF. A ello súmese el factor humano: quien espera un documento o un pago a menudo actúa de forma automática.
- Muchos filtros se centran en formatos básicos (exe, js, bat) y no analizan profundamente los adjuntos.
- PDF con exploits pueden no reconocerse si el exploit es nuevo o está modificado.
- ISO y LNK no siempre se marcan como peligrosos, sobre todo si se descargan no directamente de internet sino, por ejemplo, desde un servicio en la nube.
Además, los atacantes actualizan sus herramientas constantemente: cambian firmas, usan utilidades legítimas de Windows para ejecutar los ataques, y añaden archivos legítimos en la cadena para confundir a las defensas.
Al final, adjuntos aparentemente inocuos pueden producir la total comprometición de un sistema.
Ataques notables y casos reales
En los últimos años ha habido numerosos casos. Por ejemplo, se habló mucho del ataque Emotet: el malware enviaba correos con documentos adjuntos y archivos LNK, usando técnicas sofisticadas para evadir filtros. Otro caso: el uso de PDF con exploits en campañas de phishing bancario: supuestas extractos o avisos de pago que, en realidad, descargaban un troyano aprovechando una vulnerabilidad en el lector de PDF.
Las agrupaciones avanzadas tipo APT tampoco se quedan atrás: emplean ISOs multietapa y archivos híbridos con LNK y scripts que se hacen pasar por documentos legítimos. En 2023 se registraron ataques en los que un solo ISO contenía el malware, LNK y PDF para engañar al usuario de forma más efectiva.
Cada vez los atacantes idean algo nuevo para eludir las defensas y, en la mayoría de casos, tienen éxito gracias a la confianza del usuario en los adjuntos.
¿Cómo protegerse? Consejos prácticos
¿Debería abrir adjuntos? Por supuesto: es algo inevitable hoy en día. Pero hay reglas simples que conviene seguir:
- No abra adjuntos de remitentes desconocidos. Si el documento parece importante, verifique la dirección y confirme por otro canal.
- En las opciones del explorador de Windows desactive “Ocultar las extensiones de archivo para tipos de archivo conocidos” para reconocer enseguida nombres sospechosos como “Declaración_de_impuestos.pdf.lnk”.
- Desconfíe de adjuntos con extensiones poco habituales: .iso, .lnk, .js, .vbs, .exe e incluso .pdf.
- No monte imágenes ISO recibidas por correo salvo que sea imprescindible, sobre todo si dentro solo hay un “documento” o accesos directos sospechosos.
- Mantenga actualizados los visores de PDF y las suites ofimáticas. Las vulnerabilidades aparecen con regularidad y las actualizaciones suelen corregirlas.
- Use un antivirus que realice inspección profunda de archivos comprimidos y adjuntos
- De vez en cuando utilice VirusTotal para comprobar en línea archivos dudosos.
- Limite la ejecución de macros, scripts y ejecutables procedentes de adjuntos mediante políticas de seguridad.
- Recuerde: si un archivo parece extraño, tiene un aspecto inusual o llega sin explicación, probablemente sea una trampa.
En entornos corporativos conviene emplear capas adicionales de protección en el correo y proxies capaces de analizar en profundidad el contenido de los adjuntos —por ejemplo, PT Sandbox
Conclusión: la guerra contra los adjuntos continúa
Los adjuntos maliciosos no son una reliquia del pasado, sino un problema real para usuarios y organizaciones. PDF, ISO, LNK son solo la punta del iceberg, y la confianza humana en “documentos simples” sigue siendo la principal arma de los atacantes.
Paradoja: cuanto más sencillo parece un archivo, más peligroso puede ser. Los ataques modernos se vuelven cada vez más sofisticados, y las técnicas de ocultación y evasión mejoran constantemente. La única barrera efectiva es el pensamiento crítico y un mínimo de higiene cibernética.
Si recibe un correo inesperado con un adjunto, es mejor preguntar antes que intentar luego recuperar cuentas comprometidas o datos perdidos. La mecánica de los ataques es conocida, pero la vulnerabilidad humana sigue fuera del alcance de las actualizaciones.
