HP Wolf Security revela que los atacantes ocultan malware abusando de herramientas legítimas de acceso remoto

La sofisticación de las amenazas informáticas ha alcanzado un punto de inflexión donde los métodos de intrusión tradicionales han sido sustituidos por el uso malintencionado de software legítimo. En el último Threat Insights Report publicado por HP Inc. en junio de 2026, los investigadores de amenazas detallan un panorama crítico: los ciberdelincuentes están convirtiendo aplicaciones de acceso remoto confiables en puertas traseras corporativas, logrando que la actividad delictiva sea indistinguible de las rutinas operativas ordinarias de un departamento de tecnologías de la información (TI).

Los datos presentados en la investigación provienen del análisis exhaustivo de millones de endpoints protegidos a nivel global por la suite de soluciones de hardware y software HP Wolf Security. Al aislar y ejecutar los archivos sospechosos de forma segura dentro de contenedores virtuales protegidos por hardware, los analistas de la firma lograron desglosar las técnicas de evasión que superan los escáneres perimetrales de correo electrónico habituales, exponiendo la vulnerabilidad de las redes corporativas frente a campañas hiperdirigidas de ingeniería social.

El abuso de software de acceso remoto y la táctica de envejecimiento de dominios

Una de las tendencias más preocupantes identificadas en el reporte es la instrumentalización de plataformas populares de administración remota, tales como LogMeIn y ScreenConnect. Para inducir a los usuarios a instalar estos programas, los atacantes despliegan correos electrónicos de phishing con una alta carga de contextualización, utilizando como gancho el cierre del año fiscal, descargas fraudulentas de aplicaciones de citas o instaladores de utilitarios de escritorio falsos. Una vez que la víctima instala la herramienta legítima, el agresor toma el control absoluto del sistema de cómputo. Al tratarse de software firmado y validado por la industria, estas conexiones se mezclan con el tráfico de red ordinario, evitando activar las alertas de los antivirus tradicionales.

De forma simultánea, el reporte alerta sobre fraudes diseñados específicamente para usuarios del ecosistema cripto. Se ha detectado la distribución de herramientas falsas para la recuperación de billeteras digitales perdidas en repositorios de código abierto y portales de descarga. Estos scripts maliciosos, creados bajo la modalidad de vibe coding y decorados con emojis para aparentar un desarrollo comunitario inofensivo, recopilan de manera automatizada las credenciales de acceso, las llaves privadas de las billeteras y las especificaciones del sistema operativo de la máquina afectada. Posteriormente, el software empaqueta la información recolectada en archivos comprimidos y la exfiltra hacia servidores externos controlados por los delincuentes.

Campañas ClickFix y desvíos de seguridad en documentos PDF

La distribución de cargas útiles dañinas ha encontrado un vector de propagación altamente efectivo a través de las denominadas campañas ClickFix. En esta variante de ataque, los actores de amenazas disfrazan el código malicioso bajo la apariencia de archivos de audio inofensivos. Las víctimas son atraídas a portales web fraudulentos que imitan interfaces de servicios de soporte técnico conocidos, donde se les presenta un sistema de verificación visual o captcha sumamente realista. Al interactuar con estos elementos de la página, se desencadena la ejecución automática de comandos de consola que descargan e instalan el malware en el fondo del sistema, otorgando persistencia al atacante dentro del dispositivo del usuario.

Las métricas del reporte de HP Security Lab revelan que el método de distribución de software malicioso predominante sigue encabezado por los archivos ejecutables con un 39% del volumen total de incidentes, seguidos muy de cerca por los archivos comprimidos con un 38%. No obstante, las amenazas ocultas en documentos PDF experimentaron un incremento del 2% en comparación con el periodo previo, consolidando una participación del 10% en el ecosistema de infecciones. Los ciberdelincuentes utilizan señuelos de alta urgencia, como supuestas notificaciones de bonificaciones corporativas o citaciones judiciales falsas, logrando que al menos el 11% de las amenazas enviadas por correo electrónico logren evadir por completo las herramientas de filtrado perimetral comerciales como HP Sure Click.

Protocolos de aislamiento y prevención en la infraestructura corporativa

Patrick Schläpfer y Alex Holland, investigadores principales de seguridad en HP Security Lab, coinciden en que la detección basada en firmas de virus es insuficiente cuando el vector de ataque se apoya en flujos de trabajo habituales de las empresas. Para reducir la superficie de exposición y mitigar los riesgos latentes de suplantación, las organizaciones deben migrar hacia políticas de seguridad de Confianza Cero (Zero Trust). Esto implica restringir los privilegios administrativos innecesarios en las estaciones de trabajo locales, fiscalizar de forma estricta la lista de software autorizado para instalación y aislar las tareas de alto riesgo —como la apertura de hipervínculos externos o la descarga de archivos adjuntos desconocidos— dentro de micro-entornos virtuales robustecidos por hardware.

Las capacidades operativas del ecosistema de protección de la firma radican en su arquitectura basada en microvirtualización por hardware, donde cada tarea riesgosa se ejecuta en una micro-máquina independiente aislada del sistema operativo principal. Hasta la fecha de consolidación del reporte en 2026, los endpoints protegidos bajo este esquema han procesado más de 60 mil millones de interacciones con páginas web y archivos adjuntos sin reportar brechas de seguridad. La contención lógica de los procesos informáticos se alinea como la defensa más eficiente en un entorno de TI donde el software confiable es manipulado para convertirse en una puerta trasera.