Eficacia del 100 %: ¿por qué el phishing en PDF se ha vuelto invulnerable a las defensas tradicionales?

Investigadores de la empresa Varonis informaron sobre la aparición de un nuevo conjunto de herramientas llamado MatrixPDF, que permite a los atacantes convertir archivos PDF ordinarios en señuelos de phishing interactivos. Estos archivos pueden evadir los filtros de correo y redirigir a las víctimas a sitios para el robo de credenciales o la descarga de software malicioso. MatrixPDF fue observado por primera vez en uno de los foros de ciberdelincuencia, donde el autor lo distribuía a través de Telegram.

El desarrollador presenta MatrixPDF como una herramienta para «simulaciones de phishing» y el trabajo de «equipos oscuros» dentro de pruebas de simulación. Sin embargo, según Varonis, en la práctica la utilidad se usa para crear escenarios de ataque reales; además, la propia publicidad de la herramienta destaca sus funciones profesionales: importación de PDF por arrastrar y soltar, vista previa en tiempo real, personalización de la interfaz y elementos visuales, incluidos fondos con contenido difuminado y botones interactivos.

MatrixPDF presta especial atención a la evasión de protecciones. La herramienta permite insertar acciones en JavaScript en los documentos PDF, que se activan al abrir el archivo o al hacer clic en determinados elementos. Por ejemplo, en lugar del texto estándar puede mostrarse un campo difuminado con un botón «Abrir documento protegido». Al pulsarlo se dirige a un recurso externo donde se aloja un sitio de phishing o un descargador malicioso.

MatrixPDF también ofrece métodos integrados de camuflaje: cifrado de metadatos, un mecanismo de redireccionamiento con verificación de autenticidad e incluso la capacidad de eludir los filtros de Gmail. La investigación de Varonis mostró que esos archivos PDF sí llegan a la bandeja de entrada de cuentas de Gmail, ya que no contienen archivos ejecutables, solo enlaces. En el visor de Gmail el JavaScript no se ejecuta, pero los elementos clicables están activos, lo que hace que el ataque sea especialmente eficaz. El atacante crea el PDF de modo que el botón parezca un elemento esperado y la acción de seguirlo sea interpretada por Gmail como una acción del usuario, no como actividad maliciosa.

Varonis también mostró una demostración en la que el mero hecho de abrir el PDF ya inicia un intento de conexión a un recurso remoto. Aunque los visores modernos advierten sobre esa actividad, no siempre detienen al usuario —especialmente si el documento está presentado visualmente como un archivo oficial o protegido.

MatrixPDF se distribuye por suscripción: desde 400 dólares al mes hasta 1500 dólares por acceso anual. En los foros se indica que el paquete recibe soporte activo y actualizaciones, lo que lo hace atractivo para ciberdelincuentes que desean automatizar el phishing con apariencia de documentación legítima.

Los documentos PDF siguen siendo uno de los portadores más populares en los ataques de phishing. Su uso generalizado y la confianza por parte de los usuarios, así como la ausencia de advertencias del sistema al abrirlos, hacen de este formato una cubierta ideal para archivos adjuntos maliciosos. Incluso si el documento en sí está «limpio», las transiciones integradas hacia sitios externos eluden con facilidad las comprobaciones antivirus y los filtros de seguridad.

En Varonis destacan que las soluciones de protección tradicionales a menudo resultan impotentes frente a esta técnica. Sin embargo, soluciones más avanzadas basadas en inteligencia artificial, que analizan la estructura del PDF, detectan elementos visuales falsos e imitan el comportamiento de los usuarios en un entorno de pruebas, pueden bloquear eficazmente estas amenazas antes de que lleguen al buzón de la víctima.