Aprovechando la presión psicológica de una videollamada fallida, los ciberdelincuentes lograron que las víctimas descargaran una versión maliciosa y silenciosa del software corporativo Teramind. El engaño evadió a Microsoft Defender.
A veces, la ingeniería social más efectiva no requiere un código complejo, sino simplemente jugar con la ansiedad de llegar tarde a una reunión. Hoy 26 de febrero de 2026, el descubrimiento de una ingeniosa campaña de malware que logró infectar a 1,437 usuarios de Windows a nivel mundial en apenas 12 días.
Analistas de seguridad descubrieron que la operación, detectada inicialmente a mediados de febrero, utilizaba una réplica exacta de la sala de espera de Zoom para instalar herramientas de espionaje corporativo sin levantar sospechas en los sistemas antivirus tradicionales.
El Engaño: Psicología en lugar de Exploits
La trampa se activa en el momento en que la víctima hace clic en un enlace falso y aterriza en uswebzoomus[.]com/zoom/. A partir de ahí, el sitio web monta una obra de teatro digital impecable:
- La Falsa Sala: El usuario ve la clásica interfaz de Zoom. Para dar realismo, tres participantes falsos (Matthew Karlsson, James Whitmore y Sarah Chen) “entran” a la llamada uno por uno, acompañados del inconfundible sonido de notificación de Zoom y un audio de conversación en bucle de fondo.
- El Problema Fabricado: Para generar frustración, la página muestra un cartel permanente de “Problema de red”. El video se congela y el audio se entrecorta deliberadamente.
- La Solución Trampa: Diez segundos después, aparece una ventana emergente que no se puede cerrar: “Actualización disponible: Hay una nueva versión lista para descargar”, acompañada de una cuenta regresiva de 5 segundos.
- La Infección Oculta: Al terminar la cuenta atrás, se descarga un instalador .msi. Para distraer al usuario, el navegador muestra una falsa pantalla de la Microsoft Store simulando la instalación de “Zoom Workplace”, mientras la carga útil real aterriza en la carpeta de Descargas.
Dato curioso de seguridad: La página estaba tan bien programada que solo activaba esta secuencia si detectaba interacción humana real (movimiento del ratón/clics), lo que le permitió ser invisible para los escáneres de seguridad automatizados.
El Arma: Teramind “Zombificado”
Lo que hace que esta campaña sea particularmente peligrosa es que los atacantes no escribieron su propio malware desde cero. En su lugar, abusaron de Teramind, una herramienta legítima y comercial de monitoreo de empleados (la empresa ya ha confirmado que no tiene afiliación con los atacantes).
Los hackers configuraron una versión rogue del agente de Teramind en su modo de “despliegue sigiloso” (stealth).
- El instalador se compila para ejecutarse de forma invisible: sin icono en la barra de tareas, sin bandeja del sistema y oculto en la lista de programas instalados de Windows.
- Incluso cuenta con técnicas para evadir el análisis de los investigadores (detectando entornos “sandbox”) y borrando sus propias huellas temporales tras la instalación.
Una vez instalado (camuflado bajo el nombre de proceso dwm.exe y el servicio tsvchst), el agente espía silenciosamente registrando pulsaciones de teclas, capturando pantallas, monitoreando la web y robando archivos del portapapeles, enviando todo a un servidor controlado por los ciberdelincuentes.
Dado que Teramind es un software comercial “limpio”, al momento del ataque Microsoft Defender no lo marcaba como virus, dejando a los usuarios completamente vulnerables.
¿Qué hacer si sospechas de infección?
Si recientemente hiciste clic en un enlace extraño de Zoom y descargaste una “actualización”, no confíes ciegamente en tu antivirus.
- Busca la carpeta oculta en la ruta: C:ProgramData{4CEC2908-5CE4-48F0-A717-8FC833D8017A}.
- Verifica si el servicio tsvchst está corriendo en tu Administrador de Tareas.
- Si lo encuentras, asume que tu dispositivo está comprometido. Cambia todas tus contraseñas importantes desde otro dispositivo y contacta a tu equipo de TI.
Para evitar caer en la trampa: Abre siempre tus reuniones directamente desde la aplicación de escritorio instalada de Zoom, no desde enlaces aleatorios en el navegador.
