- Los atacantes usan archivos PDF con enlaces, QR y comentarios ocultos para lograr acceso remoto a dispositivos.
- Campañas suplantan marcas como Microsoft o DocuSign y evaden filtros de correo; también apuntan a móviles con señuelos de mensajería.
- El PDF gana terreno como vector: más del 20% del malware por email se distribuye con este formato por su apariencia confiable.
- Recomendaciones: sospechar de adjuntos, no dar acceso remoto, usar vista previa segura, antivirus, sandbox y autenticación de dos factores.
Una oleada de engaños aprovecha la confianza en los archivos PDF para colar malware que permite a los atacantes tomar el control de móviles y ordenadores sin que la víctima lo note. El formato, cotidiano en el trabajo y en casa, se usa como señuelo para que el usuario abra un documento que, en realidad, ejecuta acciones a distancia.
Los grupos criminales combinan ingeniería social con técnicas como el callback phishing (TOAD): tras recibir el PDF, la víctima es empujada a llamar a un supuesto soporte que le convence de instalar herramientas de acceso remoto como AnyDesk o Quick Assist, desbloqueando el control total del equipo.
Cómo funciona el engaño con PDF maliciosos
En campañas recientes se han observado correos y mensajes con PDF adjuntos que suplantan a empresas conocidas, incluidos Microsoft o DocuSign, para dotar de legitimidad al gancho. Dentro del documento pueden venir formularios falsos o llamadas a pulsar enlaces que llevan a páginas de inicio de sesión clonadas.
Los delincuentes abusan incluso de infraestructuras legítimas de correo, como el Direct Send de Microsoft 365, con el fin de mejorar la entrega y esquivar filtros. En los PDF es habitual encontrar:
- Enlaces disfrazados que redirigen a sitios de phishing.
- Códigos QR que descargan malware o abren webs fraudulentas.
- Metadatos y comentarios invisibles con scripts o peticiones de credenciales.
Cuando el usuario muerde el anzuelo, el ataque puede rematarse con una llamada de vishing para «verificar» datos o solicitar la instalación de software de soporte, elevando la tasa de éxito en entornos corporativos donde los PDF circulan a diario.
Impacto en móviles y alcance global
El vector también ha saltado al terreno móvil. Investigaciones de seguridad han descrito campañas que se hacen pasar por servicios postales con avisos de entrega en PDF. En un caso analizado, se distribuyeron más de 20 archivos PDF, se detectaron al menos 630 páginas de phishing activas y actividad en más de 50 países, señal de una operación amplia y persistente.
Para reducir la huella, los atacantes ocultan los enlaces en capas invisibles del documento, lo que complica su detección. En el móvil el riesgo crece porque hay menos opciones para inspeccionar un PDF en el celular antes de abrirlo y se actúa con más prisa, un caldo de cultivo perfecto para el error.
Por qué el formato PDF se ha convertido en vector preferido
Observatorios especializados sitúan a los PDF maliciosos por encima del 20% de los envíos de malware por correo. El éxito se explica por una mezcla de hábitos y limitaciones técnicas.
- Apariencia confiable: usuarios y sistemas asumen que un PDF es «seguro».
- Análisis complejo: algunos antivirus tienen dificultades para desempaquetar su contenido.
- Capacidad de incrustación: es posible ocultar código cifrado que se activa al abrir.
Este canal se usa con frecuencia para distribuir troyanos bancarios y spyware, elevando el impacto tanto en redes domésticas como en entornos empresariales.
Caso detectado en Latinoamérica: campaña con RAT Ratty
Especialistas han documentado una operación que afecta a usuarios hispanohablantes, con especial incidencia en Perú, en la que se propaga el troyano de acceso remoto Ratty (RAT). Para alojar los cebo se emplean servicios en la nube como Google Drive, Dropbox o MediaFire.
La cadena típica arranca con un correo de phishing con “Factura.pdf”. Al pulsar, la víctima es redirigida a un HTML que descarga un script VBS, y éste, a su vez, obtiene el ejecutable del RAT. Una vez en marcha, Ratty puede tomar capturas de pantalla, grabar audio desde micrófono, acceder a cámara web, automatizar inicios de sesión y hasta congelar el ratón, además de exfiltrar datos.
Tras comprometer el equipo, los operadores suelen filtrar la información en la web oscura o lanzar extorsiones, una dinámica ya conocida en ataques de escritorio remoto y ransomware.
Señales de alerta y buenas prácticas
La prevención pasa por combinar prudencia del usuario con controles técnicos. Estas medidas ayudan a reducir drásticamente el riesgo:
- No abrir PDF de remitentes desconocidos o no esperados; comprobar la dirección completa del correo.
- Usar la vista previa segura del visor antes de ejecutar el documento.
- Escanear adjuntos en servicios como VirusTotal y revisar metadatos si es posible.
- Mantener actualizado el lector de PDF, el navegador, el sistema operativo y el antivirus.
- Desconfiar de códigos QR en documentos no solicitados.
- No otorgar acceso remoto ni instalar software de soporte sin verificar por un canal oficial.
- Implementar análisis en sandbox para documentos en entornos corporativos.
- Capacitar a la plantilla en señales de ingeniería social, urgencias inusuales y suplantación de marca.
- En móviles, usar soluciones que detecten phishing y comportamientos anómalos en documentos.
- Evitar redes Wi‑Fi públicas para revisar correo sensible; si no hay opción, usar VPN.
- Activar autenticación de dos factores y rotar contraseñas tras cualquier sospecha.
- Revisar con frecuencia los permisos de apps (cámara, micrófono, archivos) en móviles y ordenadores.
La combinación de PDFs con suplantación de identidad, llamadas fraudulentas y herramientas de acceso remoto ha demostrado ser muy eficaz para tomar control de dispositivos. Mantener hábitos de verificación, aplicar parches a tiempo y limitar permisos puede marcar la diferencia entre un susto y una intrusión con consecuencias serias.