Los atacantes ya no necesitan disfrazar todo como malware evidente. Cada vez más campañas aprovechan herramientas legítimas de acceso remoto para tomar el control de los equipos, moverse con menor ruido y confundirse con la actividad normal de los departamentos de TI. Esta es una de las principales conclusiones del último informe Threat Insights de HP Wolf Security, basado en ataques observados entre enero y marzo de 2026.
El informe describe campañas en las que aplicaciones como LogMeIn o ScreenConnect se emplean como puertas traseras tras engañar a la víctima mediante correos de phishing, descargas falsas de aplicaciones de escritorio y páginas que imitan servicios conocidos. El resultado es especialmente problemático para las empresas: el atacante no necesariamente introduce un binario sospechoso, sino una herramienta real, firmada y usada habitualmente para soporte técnico.
Esa diferencia altera las defensas. Un ejecutable desconocido puede activar alertas. Sin embargo, una herramienta de administración remota aprobada o tolerada en muchos entornos puede pasar desapercibida, especialmente si el usuario tiene permisos para instalar software o si la organización no controla adecuadamente qué soluciones de acceso remoto están autorizadas.
El abuso de RMM complica la detección
Las herramientas de RMM y acceso remoto son comunes en soporte técnico, proveedores gestionados y equipos de administración. Permiten diagnosticar incidencias, conectarse a los puestos de usuario, desplegar cambios o asistir a empleados en remoto. Esa utilidad es precisamente lo que las hace atractivas para el cibercrimen.
HP señala campañas relacionadas con el cierre del año fiscal, mediante correos diseñados para generar urgencia, así como otras que utilizan falsas descargas de escritorio, incluso desde supuestas webs de citas. Tras la instalación, el software remoto queda controlado por el atacante y ofrece acceso persistente al dispositivo.
| Técnica observada | Qué busca el atacante |
|---|---|
| Abuso de LogMeIn o ScreenConnect | Control remoto persistente del equipo |
| Phishing vinculado al cierre fiscal | Aumentar la probabilidad de apertura y clic |
| Falsas apps de escritorio | Inducir una instalación voluntaria |
| Descargas desde webs falsas | Generar apariencia de legitimidad |
| Uso de software conocido | Mezclarse con la actividad normal de TI |
Patrick Schläpfer, investigador principal de HP Security Lab, resume el problema: estas campañas combinan software de confianza con ingeniería social cuidada. Para los equipos de seguridad, la cuestión ya no es solo si una aplicación es maliciosa, sino si su uso tiene sentido en ese usuario, en ese equipo y en ese momento.
La consecuencia práctica es clara: las organizaciones deben inventariar las herramientas remotas, limitar su instalación, bloquear versiones no autorizadas y vigilar las conexiones salientes relacionadas con estos productos. También es recomendable revisar qué proveedores externos pueden utilizarlas, con qué credenciales y bajo qué registros de auditoría.
ClickFix se disfraza de audio y CAPTCHA
El informe también destaca campañas de ClickFix que ocultan malware como si fueran archivos de audio. La técnica se apoya en webs falsas bien diseñadas, prompts de CAPTCHA realistas e instrucciones que llevan al usuario a ejecutar comandos maliciosos sin percibirlo como una instalación de malware.
ClickFix resulta eficaz porque aprovecha un comportamiento aprendido. Los usuarios están acostumbrados a resolver verificaciones, aceptar pasos técnicos o seguir instrucciones cuando una página les indica que algo no funciona. El atacante convierte esa rutina en una vía para ejecutar código malicioso.
| Señal de alerta | Lectura técnica |
| CAPTCHA que pide copiar comandos | No es un flujo legítimo de verificación |
| Supuesto archivo de audio que exige pasos manuales | Posible señuelo para ejecutar payloads |
| Web visualmente cuidada pero desconocida | Ingeniería social más avanzada |
| Instrucciones para abrir consola o ejecutar código | Riesgo directo de compromiso |
| Descarga fuera de repositorios oficiales | Mayor probabilidad de payload manipulado |
Este tipo de ataques demuestra que la línea entre phishing y malware es cada vez más difusa. El usuario no solo hace clic: participa en la ejecución. Para las defensas tradicionales, esto complica el análisis, ya que parte del proceso ocurre mediante acciones humanas guiadas paso a paso.
La formación sigue siendo necesaria, pero no basta. Las empresas deben reforzar controles de ejecución, restringir intérpretes de comandos cuando no sean imprescindibles, monitorizar PowerShell y shells similares, además de aislar descargas provenientes de sitios no verificados.
Falsos recuperadores de wallets y «vibe coding» ofensivo
HP también detectó campañas dirigidas a usuarios que intentan recuperar monederos de criptomonedas perdidos. Los atacantes distribuyen falsas herramientas de recuperación que prometen localizar wallets, pero en realidad roban credenciales, información del sistema y datos del monedero.
El detalle más llamativo está en el código: HP describe scripts llenos de emojis y señales compatibles con «vibe coding», una práctica en la que se genera código con ayuda de herramientas de inteligencia artificial a partir de instrucciones en lenguaje natural. Aunque no implica necesariamente que toda la campaña sea automática, sí sugiere que los atacantes usan asistentes para acelerar la creación de herramientas ofensivas.
| Campaña | Vector | Impacto |
| Falso recuperador de wallet | Descarga desde repositorios o webs de medios | Robo de credenciales y datos cripto |
| Scripts con emojis | Código posiblemente generado o asistido por IA | Menor barrera técnica para los atacantes | Empaquetado en archivos comprimidos | Preparación para exfiltración | Salida ordenada de información |
| Señuelos para usuarios desesperados | Promesa de recuperar fondos | Mayor probabilidad de ejecución |
Este caso es relevante porque anticipa una tendencia más amplia: la inteligencia artificial no solo ayuda a los defensores y desarrolladores, sino que también permite a actores con menos experiencia crear scripts funcionales, modificar malware existente, generar páginas falsas más creíbles o adaptar señuelos a contextos específicos.
Los ejecutables y archivos comprimidos siguen dominando
HP también ofrece una visión sobre los formatos de distribución. En el período analizado, los ejecutables fueron el tipo de archivo más utilizado para distribuir malware, con un 39 %. Le siguieron los archivos comprimidos, con un 38 %, y los PDF, con un 10 %. Además, al menos el 11 % de las amenazas de correo identificadas por HP Sure Click lograron evadir uno o más escáneres de gateways.
| Formato o indicador | Dato del informe |
| Ejecutables | 39 % |
| Archivos comprimidos | 38 % |
| 10 % | |
| Amenazas que evadieron al menos un gateway de correo | 11 % |
| Actividades aisladas por HP Sure Click hasta la fecha | Más de 60.000 millones |
| Endpoints protegidos por HP Sure Start | Más de 200 millones |
El incremento en amenazas basadas en PDFs merece especial atención. HP observó un aumento de dos puntos porcentuales, con señuelos relacionados con documentos judiciales, pagos de bonificación y comunicaciones que generan urgencia. El formato PDF continúa siendo utilizado porque muchas organizaciones lo consideran un formato cotidiano, relativamente seguro y difícil de bloquear sin afectar la operativa.
Alex Holland, investigador principal de HP Security Lab, advierte que estos ataques no parecen intentos de intrusión clásica: se camuflan como actividad normal, evadiendo señales evidentes de malware y aprovechando herramientas conocidas por los equipos de TI.
Qué deberían revisar los equipos de seguridad
El informe de HP refuerza una idea que muchas organizaciones están aprendiendo de manera forzada: la detección basada únicamente en reputación o firmas ya no es suficiente cuando los atacantes usan herramientas legítimas. La defensa debe incorporar contexto, control de privilegios, aislamiento y políticas claras sobre el software permitido.
Una revisión básica debería incluir el inventario de soluciones de acceso remoto, eliminar herramientas duplicadas, bloquear instaladores no autorizados y mantener listas de aplicaciones permitidas en puestos críticos. Además, es clave registrar sesiones remotas, alertar sobre conexiones inusuales y limitar privilegios locales.
| Control recomendado | Objetivo |
| Application control | Impedir herramientas remotas no autorizadas |
| Mínimo privilegio | Prevenir instalaciones y cambios innecesarios |
| Aislamiento de descargas | Ejecutar archivos sospechosos en contenedores aislados |
| Auditoría de RMM | Saber quién se conecta, cuándo y desde dónde |
| Monitorización de scripts | Detectar ejecución sospechosa de comandos |
| Formación sobre ClickFix | Reducir la efectividad de webs falsas |
| Revisión de gateways | Reconocer que algunos ataques pueden superarlos |
Los MSP y proveedores externos necesitan atención especial. Muchas empresas permiten a terceros acceder a sus sistemas mediante herramientas remotas. Si estos accesos no están segmentados, auditados y protegidos con MFA fuerte, pueden convertirse en vectores de alta gravedad para incidentes de seguridad.
El reto consiste en equilibrar productividad y seguridad. Bloquear toda herramienta remota puede ser inviable. Permitir cualquier acceso, en cambio, deja mucho espacio para que los atacantes entren. La clave está en estandarizar, aprobar y registrar los accesos.
La nueva normalidad del malware: actividad legítima
El mensaje central del informe es incómodo: muchos ataques modernos no parecen intrusiones tradicionales. Se parecen a descargas, verificaciones, herramientas de soporte o acciones administrativas. Esa apariencia de normalidad forma parte de la técnica del atacante.
Para los responsables de seguridad, lo importante no es solo que HP haya detectado campañas nuevas, sino que el patrón confirma una evolución del cibercrimen hacia el abuso de herramientas legítimas, un uso más cuidadoso de ingeniería social y mayor automatización. Los atacantes buscan reducir la fricción en sus operaciones, reutilizando plataformas, automatizando scripts y explotando flujos conocidos por los usuarios.
En este contexto, el endpoint vuelve a ser una frontera crítica. El correo puede filtrar mucho, pero no todo. El navegador puede advertir, pero el usuario puede seguir instrucciones. El EDR puede detectar comportamientos, pero una herramienta remota aprobada puede desplazarse en zonas grises. Por ello, gana importancia el aislamiento: permitir al usuario abrir, descargar o navegar, pero en entornos que limiten el impacto si algo falla.
La lección es clara: cuando los atacantes convierten software legítimo en backdoor, las organizaciones deben pasar de pensar solo en malware a considerar el abuso de confianza. Quién puede instalar, qué puede ejecutar, qué acceso remoto está permitido y cómo se revisa cada acción son ahora preguntas tan relevantes como el antivirus desplegado.
Preguntas frecuentes
¿Qué advierte HP en su último informe Threat Insights?
Que se abusa de herramientas legítimas de acceso remoto, se detectan campañas ClickFix con malware disfrazado de audio y falsos recuperadores de wallets para robar credenciales y datos.
¿Por qué preocupa el uso de LogMeIn o ScreenConnect?
Porque son herramientas legítimas. Si un atacante logra que la víctima las instale o ejecuten bajo su control, puede obtener acceso remoto persistente sin parecer malware convencional.
¿Qué es ClickFix?
Una técnica de ingeniería social que emplea webs falsas, CAPTCHA realistas o instrucciones engañosas para convencer al usuario de ejecutar comandos o acciones que instalan malware.
¿Qué controles técnicos recomiendan las empresas?
Application control, mínimo privilegio, aislamiento de descargas, auditoría de herramientas remotas, MFA, registro de sesiones, monitorización de scripts y formación específica en ClickFix y falsas descargas.
fuente: Open Security