- Aparece un falso portal de soporte de Microsoft que ofrece una supuesta actualización de Windows 11 24H2.
- El archivo MSI parece legítimo, pesa 83 MB y está creado con WiX Toolset, pero instala un malware ladrón de datos.
- El código malicioso roba contraseñas, datos bancarios y cookies, y se oculta mediante JavaScript, Electron y Python.
- La campaña, detectada en Europa, es difícil de identificar incluso con antivirus y obliga a extremar las precauciones al actualizar Windows.
Una nueva campaña de malware que simula ser una actualización de Windows 11 está poniendo contra las cuerdas a usuarios de Europa, incluidos los de España, al aprovecharse de la confianza que mucha gente deposita en las actualizaciones oficiales del sistema. Bajo la apariencia de un parche acumulativo para la versión 24H2, los atacantes consiguen colar en los equipos un programa especializado en robar información sensible.
Lo preocupante es que el engaño está tan logrado que imita casi al milímetro el portal de soporte de Microsoft, con textos técnicos, referencias a mejoras de seguridad y un instalador MSI que parece totalmente legítimo. Muchos usuarios, al verlo, bajan la guardia y hacen clic pensando que están reforzando la protección de su ordenador, cuando en realidad están abriendo la puerta a un ladrón digital.
Un falso portal de soporte de Microsoft con una actualización inventada
Los investigadores de la firma de ciberseguridad Malwarebytes han identificado un sitio web fraudulento que suplanta el soporte de Microsoft y que ofrece una supuesta «actualización acumulativa» para Windows 11 versión 24H2. La página reproduce el estilo visual y el lenguaje técnico de la base de conocimientos oficial: número de artículo, descripción de cambios, mejoras de rendimiento y correcciones de seguridad, todo muy verosímil.
El dominio utilizado recurre a técnicas de typosquatting, es decir, un nombre casi idéntico al legítimo pero con ligeras variaciones que pueden pasar inadvertidas a simple vista. En algunos casos se han observado direcciones del tipo «microsoft-update.support» u otras fórmulas similares que, aunque no terminan en «microsoft.com», pueden confundir al usuario que solo mira por encima la barra del navegador.
En la web falsa se ofrece una descarga presentada como una actualización esencial para Windows 11 24H2, acompañada de un texto convincente sobre optimizaciones del menú Inicio, mayor estabilidad del sistema y parches críticos de seguridad. Un gran botón azul invita a descargar el archivo identificado como «WindowsUpdate 1.0.0.msi» o variantes muy parecidas, lo que refuerza la sensación de legitimidad.
Por ahora, la campaña se ha observado principalmente en países europeos como Francia, donde el contenido del portal está en francés y se adapta al mercado local. No obstante, los analistas advierten de que este tipo de operaciones se pueden extender rápidamente a otros territorios, incluyendo España, simplemente traduciendo los textos y registrando dominios parecidos orientados a nuevos usuarios.
Un instalador MSI de 83 MB que parece legítimo pero esconde un ladrón de datos
La clave del engaño está en el archivo de instalación: se trata de un paquete MSI de unos 83 MB, un tamaño que cuadra con el de muchas actualizaciones reales de Windows. El instalador ha sido creado con WiX Toolset, una herramienta legítima muy usada por desarrolladores para empaquetar software para el sistema operativo de Microsoft, lo que hace que, a primera vista, no levante sospechas.
Además, los atacantes han manipulado los metadatos del archivo para que, al revisar sus propiedades, aparezca como si fuera un producto desarrollado por Microsoft, con descripciones similares a las de un instalador auténtico. Para un usuario medio, o incluso para una comprobación rápida de soporte técnico, el archivo tiene todo el aspecto de proceder de la propia compañía de Redmond.
Una vez el usuario ejecuta el MSI, este despliega en segundo plano una aplicación basada en Electron en la carpeta AppData del sistema. Esa aplicación actúa como contenedor del malware real: desde ahí se ejecutan componentes adicionales y se incorporan librerías y herramientas diseñadas específicamente para robar información personal y financiera del equipo infectado.
Entre esas piezas se encuentran paquetes de Python y módulos como pycryptodome y psutil, que permiten extraer datos, gestionar procesos y cifrar la información robada antes de enviarla al exterior. Gracias a esta combinación de tecnologías, el atacante consigue desplegar un infostealer avanzado sin disparar demasiadas alarmas en los controles de seguridad más básicos.
El resultado es que el malware termina teniendo acceso a una gran cantidad de información delicada: contraseñas almacenadas en el navegador, datos bancarios, métodos de pago guardados, cookies de sesión, credenciales de correo y redes sociales, e incluso tokens de acceso a aplicaciones como Discord. Toda esa información se convierte en un botín muy valioso para posteriores fraudes o venta en la dark web.
Cómo roba datos y se comunica con los servidores de los atacantes
Cuando el ordenador se infecta, el programa malicioso comienza recogiendo información básica del sistema, como la dirección IP pública, la ubicación aproximada del dispositivo y detalles del entorno de Windows. Esta fase inicial sirve para perfilar a la víctima y ajustar el comportamiento del malware en función del país o el tipo de equipo.
A continuación, el código instalado con Electron descarga y ejecuta scripts en JavaScript y componentes de Python altamente ofuscados. En este código se encuentran las funciones encargadas de localizar, extraer y cifrar los datos de interés: contraseñas, cookies, autocompletados de formularios, sesiones de servicios online y datos de pago guardados en el navegador.
Los investigadores han observado que la información sustraída puede ser enviada a través de plataformas como GoFile y que el malware se comunica con infraestructuras de comando y control alojadas en servicios como Render o Cloudflare Workers. De esta forma, los atacantes aprovechan servicios legítimos de la nube para esconder su actividad entre el tráfico habitual de internet.
El malware también es capaz de manipular aplicaciones instaladas en el equipo, especialmente aquellas que manejan tokens de sesión, como Discord. Al modificar componentes de estas aplicaciones, puede interceptar cambios de contraseña, capturar códigos de autenticación en dos pasos y mantener el acceso a las cuentas incluso si el usuario intenta protegerlas a posteriori.
Esta combinación de técnicas —uso de herramientas legítimas, ofuscación avanzada y aprovechamiento de servicios de hospedaje en la nube— hace que la operación resulte especialmente difícil de rastrear y bloquear de forma automática. Para el usuario, todo ocurre entre bambalinas, sin síntomas claros más allá de una posible ralentización del sistema o comportamientos extraños en algunas cuentas online.
Un ataque que escapa a muchos antivirus y persiste tras reiniciar
Uno de los puntos que más preocupación genera entre los expertos es la baja tasa de detección del archivo malicioso. Según los análisis de Malwarebytes, en el momento del estudio ninguno de los 69 motores antivirus consultados marcaba el MSI como peligroso, precisamente porque parecía un instalador legítimo y el comportamiento malicioso estaba camuflado dentro de capas de JavaScript y componentes de Electron.
Muchos productos de seguridad se centran en revisar el ejecutable principal, pero no analizan en profundidad el código JavaScript ofuscado que se ejecuta dentro de aplicaciones empaquetadas con tecnologías como Electron. Esta laguna permite que los atacantes escondan la lógica del malware tras una capa que, a efectos del sistema, se considera software normal.
Para asegurarse de que el malware siga activo incluso tras apagar y encender el ordenador, los delincuentes han incorporado mecanismos de persistencia en el sistema. Uno de ellos consiste en modificar el registro de Windows para crear una entrada bautizada como «SecurityHealth», un nombre que imita al componente legítimo de notificaciones de seguridad del propio sistema operativo.
Además, el código malicioso genera accesos directos falsos en la carpeta de inicio automático, como un archivo «Spotify.lnk» que aparenta ser el acceso directo del conocido servicio de música. En realidad, al iniciarse Windows, ese acceso desencadena la ejecución del malware, que vuelve a ponerse en marcha sin que el usuario tenga que hacer nada.
Esta persistencia silenciosa implica que, aunque el usuario sospeche y deje de visitar la página fraudulenta, su equipo puede seguir comprometido. La detección y eliminación del software malicioso puede requerir herramientas especializadas y, en algunos casos, una reinstalación limpia del sistema para garantizar que no quedan restos activos.
Recomendaciones para usuarios de Windows 11 en España y Europa
Ante este escenario, los expertos en seguridad insisten en una serie de buenas prácticas especialmente relevantes para usuarios de España y el resto de Europa. La primera y más importante: nunca descargar actualizaciones de Windows a través de enlaces recibidos por correo electrónico, mensajes en redes sociales o páginas de terceros, por muy oficiales que parezcan.
Microsoft distribuye sus parches únicamente mediante Windows Update integrado en el sistema o, en casos concretos, a través del catálogo oficial de Microsoft accesible desde dominios que terminan en «microsoft.com». Cualquier web que ofrezca «la última actualización de Windows 11» desde direcciones con pequeñas variaciones en el nombre o sufijos extraños debería considerarse sospechosa.
Para comprobar si un equipo está correctamente actualizado, basta con acceder al menú de configuración de Windows, entrar en la sección «Windows Update» y pulsar en «Buscar actualizaciones». Si hay nuevas versiones disponibles, se descargarán e instalarán desde los servidores oficiales de Microsoft, sin necesidad de visitar páginas externas ni ejecutar instaladores adicionales.
Desde el soporte oficial de la compañía también recuerdan que Microsoft no contacta de forma proactiva con los usuarios por teléfono o correo para pedir datos personales o financieros, ni muestra en pantalla mensajes con números de teléfono a los que llamar para «solucionar errores críticos». Cualquier aviso de este tipo suele ser señal clara de estafa.
En el contexto europeo, donde los ataques se adaptan cada vez más a idiomas y referencias locales, conviene extremar la precaución aunque la página esté en un castellano perfecto o en el idioma del país. La calidad del texto ya no es un indicador suficiente: lo determinante es verificar el dominio, el origen de la descarga y utilizar siempre los canales oficiales del sistema.
El caso de este malware que simula ser una actualización de Windows 11 pone de manifiesto hasta qué punto los cibercriminales son capaces de explotar la confianza en las herramientas de actualización para colar código malicioso disfrazado de parche de seguridad. Frente a este tipo de campañas, la combinación de sentido común, verificación de las fuentes y uso estricto de los canales oficiales de Microsoft se convierte en la mejor defensa para los usuarios de España y del resto de Europa.
