Alerta por estafa con archivos PDF que permite tomar control de móviles y ordenadores

Última actualización: 10/10/2025
Autor: Isaac
  • Los atacantes usan PDFs con enlaces, capas invisibles y QR para ejecutar acceso remoto y robar datos.
  • Campañas suplantan marcas como Microsoft o DocuSign y eluden filtros con envíos legítimos de Microsoft 365.
  • En móviles, una operación global desplegó más de 20 PDFs y 630 páginas de phishing en 50+ países.
  • Protégete: verifica remitentes, usa sandboxing, no concedas acceso remoto y activa 2FA.

Estafa con PDFs y control remoto de dispositivos

Una nueva oleada de estafas aprovecha la confianza que generan los archivos PDF para colarse en móviles y ordenadores. Los delincuentes envían documentos aparentemente normales que, al abrirse, activan descargas o conexiones hacia sitios controlados por ellos, con el objetivo de lograr control total del dispositivo.

Investigaciones recientes detallan que estas campañas mezclan ingeniería social, enlaces ocultos y llamadas de seguimiento para sortear defensas técnicas y humanas. El resultado puede ser el robo de credenciales, acceso a cámara y micrófono, o la instalación silenciosa de herramientas de acceso remoto.

Cómo funciona el engaño con PDFs

El fraude se apoya en que el formato PDF se percibe como “seguro” en entornos personales y corporativos. Los archivos llegan por correo, mensajería o redes sociales, con pretextos tan comunes como facturas, notificaciones de entrega o comprobantes de pago.

Dentro del documento pueden esconderse elementos maliciosos como:

  • Enlaces camuflados que llevan a páginas falsas de inicio de sesión.
  • Códigos QR que redirigen a descargas de malware.
  • Comentarios o capas invisibles con scripts o solicitudes de credenciales.

Varios grupos combinan este señuelo con la táctica de callback phishing (TOAD): tras el PDF, un falso “soporte” llama a la víctima y la convence para instalar software de control remoto (por ejemplo, AnyDesk o Quick Assist). Con ese paso, el atacante obtiene el manejo total del equipo sin necesidad de explotar una vulnerabilidad compleja.

  Cómo poner Google en la barra de herramientas

Campañas que suplantan marcas y evaden filtros

Entre mayo y junio se observó un incremento de correos con PDF adjunto que suplantan a Microsoft o DocuSign para ganar credibilidad. En algunos casos, los envíos se realizaron mediante configuraciones legítimas de Microsoft 365 (Direct Send), lo que complica la detección por parte de los filtros antiphishing.

Ataques con PDFs maliciosos y suplantación de identidad

Los análisis técnicos describen PDFs con formularios incrustados, como los usados para crear PDF editables, que enlazan a portales falsos, metadatos manipulados con URLs encubiertas y cadenas de correo que aparentan proceder de flujos legítimos para burlar controles perimetrales.

  • Formularios que capturan usuario y contraseña en sitios clonados.
  • URLs escondidas en metadatos o en capas no visibles.
  • Mensajería enviada desde servicios corporativos válidos para reducir sospechas.

Dispositivos móviles en el punto de mira

En el frente móvil, una investigación independiente identificó una campaña que imitaba al servicio postal con PDFs de supuestas entregas; por eso es importante saber cómo abrir un archivo PDF en el celular. El objetivo era dirigir a los usuarios a páginas de phishing o a descargas que facilitaban el control del teléfono.

El mismo estudio reportó más de 20 archivos PDF maliciosos repartidos globalmente, al menos 630 páginas de phishing activas y actividad en más de 50 países, lo que confirma la escala internacional de esta modalidad.

Los documentos incluían enlaces en capas invisibles, algo que dificulta el análisis por parte de algunos antivirus en móviles. Además, en pantallas pequeñas y con prisas, los usuarios tienen menos margen para revisar un PDF antes de abrirlo.

Por qué el PDF es el canal preferido

Observatorios de ciberseguridad apuntan que los PDFs maliciosos ya suponen una fracción significativa del malware distribuido por correo, superando el 20% en algunas mediciones. El formato es atractivo para los atacantes por varios motivos.

  • Goza de confianza entre usuarios y sistemas corporativos.
  • Algunos motores antivirus tienen limitaciones de inspección en su contenido interno.
  • Permite incrustar material cifrado o fragmentado que solo se activa al abrirse.
  El Big Data transforma la seguridad ciudadana: de la prevención al análisis predictivo

También se ha observado el uso de PDFs como canal para troyanos bancarios y spyware, ampliando el impacto tanto en hogares como en empresas.

Cadena de infección observada en Latinoamérica

Especialistas han documentado una campaña en la región con un troyano de acceso remoto (RAT) denominado Ratty, distribuido a través de correos con asuntos de facturación. Aunque se detectó con más fuerza en Perú, este tipo de operación puede expandirse con rapidez.

La secuencia típica comienza con un “Factura.pdf” que contiene un enlace a una página HTML. Al abrirla, se descarga y ejecuta un script VBS que, a su vez, trae el RAT. Una vez dentro, el atacante puede capturar pantalla, usar la cámara y el micrófono o registrar pulsaciones.

Entre sus funciones adicionales se citan el inicio de sesión automático, el control del ratón y la congelación de pantalla, así como la exfiltración de datos. Para alojar y propagar las cargas se emplean servicios de nube conocidos como Google Drive, Dropbox o MediaFire, lo que mejora la tasa de entrega.

El auge del trabajo a distancia, unido a conexiones desde redes Wi‑Fi públicas, hace que muchos usuarios revisen correos corporativos fuera de entornos controlados, abriendo una puerta extra a este tipo de intrusiones.

Señales de riesgo y cómo protegerse

Como norma general, evita abrir PDFs inesperados, incluso si parecen de una entidad conocida. Desconfía de mensajes con urgencia o amenazas, y verifica la dirección completa del remitente antes de interactuar con el documento.

  • No abras PDFs de remitentes desconocidos o no esperados.
  • Comprueba el correo completo y los dominios, aunque el nombre sea familiar.
  • No escanees códigos QR en documentos no solicitados.
  • Mantén actualizado el lector de PDF y el antivirus.
  • Revisa metadatos y previsualiza el archivo antes de pulsar enlaces o formularios.
  • Analiza documentos en entornos sandbox cuando sea posible.
  • Forma a empleados para detectar ingeniería social y señales de urgencia.
  • Usa contraseñas robustas y activa la autenticación de dos factores.
  • En móviles, instala defensas que detecten enlaces de phishing y comportamientos anómalos.
  • Si dudas, sube el archivo a un servicio como VirusTotal antes de abrirlo.
  • No concedas acceso remoto ni instales herramientas de control a petición de desconocidos.
  Detenidos dos jóvenes por filtrar datos personales de políticos y periodistas

Si sospechas que has abierto un PDF malicioso, cambia credenciales críticas, revisa los permisos de apps (cámara, micrófono, archivos), ejecuta un escaneo completo y aplica todas las actualizaciones pendientes del sistema y aplicaciones.

El uso malicioso del PDF no es nuevo, pero la combinación de señuelos creíbles, evasión de filtros y asistencia telefónica fraudulenta lo ha convertido en un vector especialmente rentable para los atacantes; conocer sus trucos y aplicar medidas de higiene digital básicas marca hoy la diferencia entre caer en la trampa o neutralizarla a tiempo.

Artículo relacionado:
Cómo Hacer Cambios a Un Archivo Pdf