
El uso de archivos PDF ha sido aprovechado por grupos de ciberdelincuentes, para propagar distintos tipos de ataques dirigidos, especialmente en Latinoamérica, aprovechando la confianza que hay sobre este tipo de documentos que parecen inofensivos, pero pueden esconder una estafa.
Según investigaciones de ESET, durante el último tiempo se detectó una campaña específica que utiliza documentos PDF maliciosos para distribuir el troyano de acceso remoto Ratty, afectando a usuarios hispanohablantes principalmente en Perú.
PUBLICIDAD
Cómo es la trampa oculta detrás de un PDF
Los archivos PDF suelen inspirar confianza porque su aspecto resulta conocido y los programas necesarios para leerlos están presentes en casi todos los dispositivos. Esta aceptación facilita que un archivo malicioso pase inadvertido.
Los ciberdelincuentes se aprovechan de esta percepción y utilizan documentos que simulan ser facturas, estados de cuenta, currículums o notificaciones bancarias, entre otros. Apelan a la urgencia o la preocupación para inducir a las víctimas a abrir el archivo. Un ejemplo típico es el envío de un correo electrónico que contiene un PDF con el nombre “Factura.pdf”, supuestamente pendiente de pago.
PUBLICIDAD

Al abrir el archivo, el usuario no detecta nada extraño a simple vista, pero al hacer clic en los enlaces internos comienza la secuencia dañina. En la campaña identificada la táctica consistió en incorporar en el PDF enlaces que, al ser activados, descargan archivos adicionales a través de servicios gratuitos de almacenamiento en la nube, como Google Drive, Dropbox o Mediafire.
Estos servicios, conocidos por su popularidad y uso masivo, contribuyen a que las descargas no levanten sospechas entre las potenciales víctimas.
Así funciona la cadena de infección
El esquema de ataque se desarrolla en varias etapas cuidadosamente ideadas. Todo inicia con la llegada de un correo malicioso, muchas veces bien disfrazado, en el que los ciberdelincuentes se hacen pasar por empresas de confianza o servicios conocidos.
PUBLICIDAD
Este correo incluye el archivo adjunto de tipo PDF, que presenta opciones para “Abrir” o “Descargar”. Tras seleccionar una de ellas, el usuario es dirigido a una dirección de Dropbox desde donde se comienza a descargar de forma automática un archivo HTML.

En algunos casos, el ataque verifica el idioma configurado en el navegador y solo prosigue si detecta español o cualquier otro distinto al inglés, filtrando así a quiénes va dirigida especialmente la campaña.
PUBLICIDAD
El archivo HTML descargado contiene scripts camuflados mediante técnicas de ofuscación, que dificultan su detección. Al abrir este archivo, se activa un flujo de acciones: muestra un falso botón de verificación que, al ser pulsado, deriva a una nueva dirección para la descarga de un archivo de script VBS desde Mediafire. Este script también viene ofuscado y ejecuta instrucciones adicionales orientadas a descargar un archivo comprimido tipo ZIP alojado en otro enlace malicioso.
Dentro del ZIP descargado, el usuario encuentra un archivo ejecutable (CMD), cuyo propósito es lanzar el programa malicioso definitivo: un archivo JAR, identificado como Ratty, presentado bajo el disfraz de imagen PNG para evitar sospechas. Una vez que Ratty se ejecuta, se conecta automáticamente con un servidor de comando y control, lo que da acceso total y persistente al dispositivo infectado para los atacantes.
PUBLICIDAD
Lo que buscan los atacantes con estos ataques
El objetivo de los ciberdelincuentes es claro: obtener información personal, credenciales de acceso, claves bancarias, documentos privados y recursos que luego pueden servir para el robo de identidades, fraudes financieros o ser vendidos en foros ilícitos.

Además de las consecuencias directas para el usuario infectado, estos ataques abren la puerta al secuestro de cuentas, el espionaje y el acceso a datos de empresas en el caso de equipos laborales.
PUBLICIDAD
Este tipo de campañas aprovechan debilidades técnicas, pero sobre todo buscan explotar el desconocimiento del usuario común, que rara vez duda de la legitimidad de un PDF ni se detiene a analizar el origen del archivo recibidio por correo.
Cómo reconocer un PDF malicioso
Detectar un archivo PDF malicioso puede no ser sencillo, pero existen varias señales que ayudan a prevenir un ataque:
- Archivos comprimidos: los PDFs maliciosos suelen presentarse comprimidos en formatos ZIP o RAR para evadir los filtros de los sistemas de correo y los antivirus.
- Nombres genéricos o engañosos: usan títulos comunes como “Factura.pdf” o nombres que incluyen extensiones adicionales ocultas, por ejemplo, “documento.pdf.exe”.
- Remitentes desconocidos: si el correo proviene de un origen dudoso, desconocido o con un dominio extraño, probablemente se trate de una amenaza.
- Falta de lógica: si no se esperaba recibir un archivo de ese tipo ni del remitente, puede ser señal de alerta.
- Vínculos y acciones forzadas: el PDF invita a hacer clic en enlaces con urgencia —por ejemplo, para pagar una supuesta factura— o a completar pasos no habituales.
Algunas campañas identificadas recientemente, como la que utilizó el troyano bancario Grandoreiro, emplearon tácticas similares: un correo de phishing con apariencia de provenir de una agencia gubernamental que invitaba a descargar un PDF. El archivo, al ser abierto, desencadenaba una secuencia orientada a robar datos bancarios de las víctimas.
PUBLICIDAD
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Cansado de los mosquitos, creó un sistema láser con IA y consiguió erradicarlos de su casa
La tecnología busca ofrecer una alternativa a repelentes e insecticidas mediante un sistema capaz de operar incluso en la oscuridad

Tomb Raider, Mafia III y más: los 15 juegos de Amazon Prime Gaming m[as buscados
Los suscriptores de Amazon Prime podrán reclamar títulos de acción, estrategia y rol que se irán habilitando durante todo el mes

Steam ofrece gratis un título inspirado en Metroid y Ninja Gaiden: así lo puedes añadir a tu PC
La promoción permite sumar el juego a la biblioteca sin pagar y conservarlo de forma permanente, impulsada por el anuncio de Gravity Circuit 2

El reto de la IA en América Latina: Por qué el 90% de los proyectos no superan la prueba de concepto
Dave Levy, vicepresidente del Sector Público Mundial de AWS, advierte que implementar proyectos de IA en gobiernos y empresas a gran escala no es lo mismo que usar un chatbot como asistente básico

Cinco dispositivos que no debes comprar fácil en Amazon y Temu: muchos no funcionan
En plataformas como AliExpress se ofrecen artículos génericos que luego no funcionan como debe ser



