Los ciberdelincuentes están reciclando uno de los trucos más antiguos del manual porque, lamentablemente, sigue funcionando a la perfección para evadir los filtros de seguridad corporativos.
La bandeja de entrada sigue siendo el campo de batalla más crítico para la seguridad empresarial. Este mes, se reporta un incremento masivo en las campañas de phishing que utilizan archivos ZIP adjuntos para engañar a los empleados y entregar cargas útiles destructivas.
La Táctica de la Doble Extensión y Contraseñas
Los atacantes han perfeccionado la forma en que empaquetan su malware para asegurarse de que pase desapercibido por las pasarelas de correo electrónico seguro (SEG) y los motores antivirus tradicionales.
La anatomía de estos ataques sigue un patrón altamente persuasivo y difícil de detectar a simple vista:
- Las víctimas reciben correos electrónicos urgentes que suplantan la identidad de empresas de logística, departamentos de recursos humanos o proveedores financieros, exigiendo la revisión inmediata de un documento adjunto.
- El archivo adjunto es un fichero comprimido ZIP que, en muchas ocasiones, está protegido con una contraseña (la cual se proporciona directamente en el cuerpo del correo) para impedir que los escáneres de seguridad automatizados puedan inspeccionar su contenido.
- Una vez que el usuario descomprime el archivo, se encuentra con ficheros que utilizan técnicas de “doble extensión” (como factura_urgente.pdf.exe o documento.pdf.lnk) o accesos directos disfrazados deliberadamente con los íconos de programas legítimos como Microsoft Word o Adobe Acrobat.
- Al hacer doble clic creyendo que están abriendo un PDF inofensivo, la víctima ejecuta silenciosamente un script malicioso que descarga e instala troyanos de acceso remoto (RAT) o software de robo de información directamente en la memoria del sistema.
Consecuencias y Defensa
El impacto de caer en esta trampa es inmediato: los atacantes obtienen persistencia en la máquina comprometida, extraen contraseñas guardadas en el navegador, secuestran sesiones de autenticación y utilizan el equipo como un puente silencioso para realizar movimientos laterales hacia los servidores corporativos.
Para defenderse contra esta creciente amenaza, los analistas de ciberseguridad instan a los administradores de TI a configurar reglas estrictas en sus servidores de correo para poner en cuarentena automática cualquier archivo ZIP protegido por contraseña. Además, es vital bloquear a nivel de endpoint la ejecución de archivos .lnk, .vbs o .exe que provengan directamente de carpetas temporales de descompresión, y reforzar la capacitación continua del personal sobre los peligros críticos de interactuar con archivos comprimidos no solicitados.
