"Hola, soy un virus": cómo un simple mensaje de WhatsApp puede convertir tu equipo en una herramienta para hackers
Procesos ocultos redefinen las reglas del juego sin que te des cuenta
A finales de febrero de 2026, los atacantes lanzaron una nueva campaña con una táctica inusual: archivos maliciosos para Windows comenzaron a distribuirse a través de mensajes habituales en WhatsApp. La intención era simple: la confianza en una aplicación conocida reduce la cautela, y a partir de ahí la cadena de infección se despliega casi sin que el usuario lo note.
El equipo Microsoft Defender Security Research detectó el ataque, en el que se emplean scripts de Visual Basic. Tras ejecutar uno de esos archivos, se crean directorios ocultos en el sistema y se sustituyen utilidades estándar de Windows. Por ejemplo, «curl.exe» recibe el nombre «netapi.dll», y bitsadmin.exe se hace pasar por sc.exe. Al mismo tiempo, los metadatos internos permanecen sin cambios, lo que ofrece la posibilidad de detectar la suplantación, pero solo con una supervisión atenta.
A continuación, la actividad maliciosa se traslada a la nube. Los scripts descargan componentes adicionales desde servicios populares como Amazon Web Services, Tencent Cloud y Backblaze. Ese enfoque ayuda a ocultar el tráfico malicioso entre solicitudes legítimas y dificulta el análisis de la actividad de red.
Tras asentarse en el sistema, el software malicioso intenta elevar privilegios. Para ello se modifican los parámetros del control de cuentas de Windows, y la línea de comandos se ejecuta con permisos de administrador hasta que la operación tiene éxito. Paralelamente se realizan cambios en el registro para conservar el acceso incluso después de reiniciar el equipo.
La fase final resulta muy verosímil. En el sistema infectado se instalan paquetes MSI sin firma digital —entre ellos archivos con nombres como «Setup.msi», «WinRAR.msi» o «AnyDesk.msi». Bajo la apariencia de software habitual, los atacantes obtienen acceso remoto, pueden extraer datos o expandir la intrusión dentro de la red.
Los analistas señalan que la combinación de ingeniería social, herramientas integradas de Windows e infraestructura en la nube convierte esta campaña en especialmente peligrosa. Las soluciones de protección pueden detectar anomalías, pero mucho depende de la configuración del monitoreo y de la atención de los usuarios ante adjuntos incluso en aplicaciones conocidas.
Microsoft recomienda limitar la ejecución de scripts procedentes de orígenes no confiables, vigilar cambios sospechosos en el sistema y controlar las conexiones hacia servicios en la nube. Se hace especial hincapié en la formación del personal: el ataque comienza con un mensaje ordinario, y ese instante sigue siendo el más vulnerable.