Alerta por malware que simula ser actualización de Windows 11: así opera la nueva amenaza

Una nueva campaña de ciberataques está poniendo en riesgo a usuarios de Windows 11 mediante un malware que se hace pasar por una actualización oficial del sistema operativo.

Investigadores de Malwarebytes detectaron un sitio web fraudulento que imita con gran precisión el portal de soporte de Microsoft y ofrece una falsa actualización para la versión 24H2 de Windows 11. En realidad, el archivo instala un programa malicioso diseñado para robar contraseñas, datos bancarios y credenciales de acceso.

El engaño comienza en una página con apariencia oficial y una dirección similar a la de Microsoft. Allí se promociona una supuesta actualización acumulativa de Windows 11 24H2, acompañada de un número de artículo técnico y una descripción convincente sobre mejoras de rendimiento, parches de seguridad y optimizaciones del menú Inicio. Un gran botón azul invita a descargar el archivo, identificado como “WindowsUpdate 1.0.0.msi”.

El instalador pesa 83 MB y fue creado con WiX Toolset, una herramienta legítima utilizada para empaquetar programas en Windows. Incluso sus propiedades fueron alteradas para aparentar autenticidad: el archivo figura como desarrollado por Microsoft y contiene descripciones similares a las de un instalador oficial. Esto hace que muchos usuarios no sospechen del engaño.

Sin embargo, una vez ejecutado, el malware comienza a recolectar información del equipo infectado. Primero obtiene la dirección IP pública y la ubicación aproximada del dispositivo. Luego instala varios componentes ocultos que permiten acceder a datos guardados en el navegador, contraseñas, cookies de sesión, métodos de pago e incluso información de cuentas de Discord.

Los investigadores explican que el programa malicioso utiliza paquetes de Python y código oculto dentro de archivos JavaScript. Allí se encuentran las funciones encargadas de cifrar la información robada y enviarla a un servidor controlado por los atacantes. Además, el malware puede modificar aplicaciones instaladas en el equipo, como Discord, para interceptar tokens de acceso, cambios de contraseña y datos de autenticación en dos pasos.

Uno de los aspectos más preocupantes es que la amenaza logró pasar desapercibida para las herramientas de seguridad. Según Malwarebytes, ninguno de los 69 motores antivirus analizados detectó el archivo como peligroso. Esto se debe a que el ejecutable aparenta ser legítimo y el comportamiento malicioso está escondido dentro de código JavaScript altamente ofuscado, una capa que muchos antivirus no revisan en profundidad.

Para mantenerse activo incluso después de reiniciar el equipo, el malware emplea dos mecanismos de persistencia. Por un lado, modifica el registro de Windows y crea una entrada llamada “SecurityHealth”, nombre que imita al sistema de notificaciones de seguridad de Windows. Por otro, agrega un acceso directo denominado “Spotify.lnk” en la carpeta de inicio automático, de modo que el programa malicioso vuelva a ejecutarse cada vez que se enciende la computadora.

Aunque la campaña fue detectada inicialmente en Francia y el sitio fraudulento está escrito en francés, los expertos advierten que el riesgo es global y podría expandirse rápidamente a otros países. Los atacantes suelen aprovechar filtraciones de datos previas para crear páginas cada vez más convincentes y dirigidas a públicos específicos.

La principal recomendación es no descargar nunca actualizaciones de Windows desde enlaces recibidos por correo electrónico, redes sociales o páginas externas. Microsoft distribuye sus actualizaciones únicamente a través de la herramienta integrada Windows Update o, de forma manual, desde el catálogo oficial de Microsoft.

Para comprobar si el equipo está actualizado de forma segura, se debe ingresar al menú de configuración de Windows, abrir “Windows Update” y pulsar “Buscar actualizaciones”. También es importante revisar que la dirección web termine en “microsoft.com”. Si el enlace utiliza variantes similares o palabras añadidas, es muy probable que se trate de una trampa.