Una falsa actualización de Windows 11 se ha convertido en un recurso de los ciberdelincuentes para acceder a datos personales, credenciales y hasta información bancaria de usuarios, incluso evadiendo los antivirus que estén instalados en el computador.
Cómo ataca la falsa actualización y roba datos
El engaño comienza en un sitio web fraudulento que imita la estética y el diseño del portal oficial de soporte técnico de Microsoft. Allí, los atacantes ofrecen una supuesta actualización acumulativa para la versión 24H2 de Windows 11, acompañada de detalles técnicos como parches de seguridad para el kernel, mejoras en el menú Inicio y optimizaciones del sistema.
Estas descripciones buscan convencer a los usuarios de que se trata de una actualización legítima y necesaria para el correcto funcionamiento del equipo.
Sin embargo, tras pulsar el botón azul de descarga, lo que realmente se obtiene es un archivo ejecutable infectado. Este archivo, denominado WindowsUpdate 1.0.0.msi y con un tamaño de 83 MB, está manipulado para que en sus propiedades figure ‘Microsoft’ como autor y para mostrar comentarios que aparentan legitimidad.
Incluso fue compilado con herramientas habituales en el entorno de desarrollo de Windows, como WiX Toolset, y presenta un número de artículo de la Base de conocimientos (KB) aparentemente válido.
Al ejecutar el archivo descargado, el malware inicia una cadena de acciones que pone en riesgo toda la información almacenada. Lo primero que realiza es recopilar la dirección IP pública y la geolocalización del dispositivo afectado, permitiendo a los atacantes rastrear la ubicación de la víctima y adaptar su ataque según el contexto.
Una característica destacada de este ataque es su capacidad para extraer credenciales de inicio de sesión e información de medios de pago almacenados en navegadores web y aplicaciones. Incluso modifica el código de aplicaciones basadas en Electron, como Discord, para interceptar tokens de autenticación y datos de pago cada vez que el usuario abre la aplicación.
Cómo el malware supera a los antivirus
Uno de los aspectos que más preocupan a los expertos es que ninguno de los 69 motores antivirus analizados detectó la amenaza en el momento de la investigación. Esto no se debe a un fallo en las herramientas de protección, sino a la arquitectura sofisticada del propio malware.
El ejecutable principal se presenta como un archivo limpio y legítimo. La lógica maliciosa, en cambio, se esconde en el código JavaScript empaquetado dentro de la aplicación Electron, un espacio que los antivirus tradicionales rara vez analizan con suficiente profundidad.
Además, la carga útil en Python se ejecuta bajo nombres de proceso engañosos y descarga componentes adicionales en tiempo de ejecución desde fuentes aparentemente normales.
Este enfoque permite que cada elemento del ataque parezca inofensivo por separado. Solo un análisis en cadena, que considere desde el lanzador VBS hasta la manipulación de procesos y la exfiltración de datos, permite identificar la naturaleza maliciosa de la operación.
Para evadir la detección y garantizar su persistencia, el malware modifica el registro de Windows, creando una entrada llamada SecurityHealth que apunta a su propio ejecutable bajo la apariencia de un servicio legítimo. También crea un acceso directo falso con el nombre de Spotify.lnk en la carpeta de inicio del usuario, reforzando el camuflaje ante posibles revisiones.
Cómo evitar este tipo de ataques en Windows 11
Para protegerse de ataques que simulan actualizaciones de Windows 11, la clave es la prevención. Nunca descargues parches desde enlaces recibidos por correo, mensajes o redes sociales, sobre todo si la página no pertenece al dominio microsoft.com.
Microsoft solo distribuye actualizaciones mediante Windows Update o su catálogo oficial; cualquier otra fuente es sospechosa. Si crees haber instalado un archivo malicioso, revisa y elimina entradas desconocidas en el registro y accesos directos extraños en la carpeta de inicio.
Cambia todas las contraseñas guardadas y activa la autenticación en dos pasos, priorizando correos y cuentas bancarias. Recuerda que la ausencia de alertas en antivirus no implica seguridad: la vigilancia y la desconfianza ante enlaces externos son esenciales.
Últimas Noticias
Android 17: lo que debes saber de la siguiente generación del sistema operativo
El lanzamiento estable de Android 17 está previsto para un despliegue inicial en los teléfonos Pixel a partir de junio o julio
De asistentes a empleados autónomos: la tecnología que ya hace el trabajo pesado por ti
El despliegue en la nube y los modelos de pago flexibles hacen posible que negocios de cualquier tamaño adopten soluciones avanzadas de inteligencia artificial
Ya no solo se viaja por descanso: crecen las vacaciones por skincare y bienestar
Cada vez más viajeros reservan vacaciones motivados por tratamientos de piel y experiencias de bienestar, impulsando un mercado turístico innovador que integra tecnología y salud
Uber anuncia que llega a todos los departamentos de Colombia usando también servicio de taxi
La plataforma ofrecerá servicio económico y también de motos
Microsoft planea un futuro donde Copilot se encargue de correos y tareas por ti
La diferencia clave respecto a modelos como OpenClaw radica en el enfoque en la seguridad
