Cuidado con los correos: Así usan aplicaciones legítimas para robar tu información
Estas estrategias no generan sospechas, lo que abre un nuevo desafío para los diferentes usuarios y para las áreas de seguridad que existen al interior de las empresas
Los cibercriminales están refinando sus métodos de ataque y, recientemente, han estado utilizando herramientas legítimas de acceso remoto para tomar control de dispositivos sin generar sospechas, lo que abre un nuevo desafío tanto para los usuarios como para las áreas de seguridad de las empresas.
Patrick Schläpfer, investigador principal de Amenazas de HP Security Lab, consideró que este caso destaca porque demuestra la facilidad con la que aplicaciones oficiales pueden volverse puntos de entrada para los atacantes.
Añadió que el uso de herramientas de acceso remoto no es nuevo, pero estas campañas destacan por las herramientas específicas que eligieron los atacantes.
De acuerdo con el más reciente Informe de análisis de amenazas Junio 2026, realizado por HP, los ciberdelincuentes se han enfocado en utilizar aplicaciones como LogMeIn y ScreenConnect, que se enfocan en el acceso remoto y soluciones de asistencia, para tomar control de los equipos de las víctimas.
“Al combinar software confiable con técnicas cuidadosamente diseñadas de ingeniería social resulta cada vez más difícil distinguir qué es confiable y qué no”, explicó.
¿Cómo lo hacen?
Los piratas informáticos primero lanzan una campaña de correos de phishing, la cual estaba relacionada con el cierre del año fiscal y cuyos archivos adjuntos afirmaban proporcionar una forma segura de transferir documentos fiscales confidenciales.
Al abrirse, el documento PDF redirige a la potencial víctima a una página web que aparentemente carga un documento y, al mismo tiempo, inicia la descarga de un archivo protegido con contraseña, la cual viene detallada en el PDF.
En dicho archivo hay un documento etiquetado como resumen fiscal y, al abrirse, inicia una cadena de instalación mayormente automatizada. Sin embargo, la víctima no se da cuenta porque, mientras se ejecuta el instalador, se abre una página en el navegador que muestra un documento fiscal pregenerado.
Esto da al usuario la impresión de que el documento esperado se cargó correctamente, sin embargo, en segundo plano, el cibercriminal instaló LogMeIn o ScreenConnect y añadió el dispositivo de la víctima a una cuenta en su posesión.
Adicionalmente, el atacante utiliza ciertos parámetros para evitar las notificaciones que usualmente informan al usuario sobre la instalación de software de acceso remoto.
Una vez instalado, la aplicación se conecta a la infraestructura del proveedor con la cuenta del atacante y puede usar la sesión remota para explorar archivos, buscar datos confidenciales o instalar herramientas adicionales.
Schläpfer indicó que, al usar la infraestructura legítima del proveedor para el acceso remoto, se dificulta para las áreas de seguridad el distinguir esta actividad maliciosa.
El informe encontró que algunos cibercriminales utilizan campañas con temas diferentes a los compromisos fiscales. Por ejemplo, en algunos casos afirmaban que los usuarios necesitaban una actualización de software para ver un documento y los enlaces conducían a un sitio web falso muy bien diseñado que parecía detectar la versión del software del usuario y ofrecía una actualización de inmediato.
Lamentablemente, el archivo descargado no contenía la actualización prometida, sino que instalaba un software de acceso remoto controlado por el atacante.
También usaron motores de búsqueda y publicidad maliciosa para dirigir a los usuarios a sitios que ofrecían versiones falsas de escritorio de aplicaciones que normalmente se usan en dispositivos móviles como aplicaciones de citas.
Para Alex Holland, investigador principal de Amenazas de HP Security Lab, las organizaciones pueden tomar varias medidas, como limitar privilegios innecesarios, controlar la instalación de software y aislar actividades riesgosas como descargas y enlaces desconocidos.
