← Alertas
Malware Alto Activa

Campaña activa en WhatsApp usa documentos falsos para instalar control remoto en equipos de trabajo — México entre los afectados

Una campaña activa distribuye archivos disfrazados de documentos financieros a través de WhatsApp. Al abrirlos, instalan silenciosamente una herramienta legítima de administración remota que da al atacante control total y persistente del equipo. México aparece entre los países con víctimas confirmadas. Cualquier archivo recibido esta semana por WhatsApp que no sea PDF, Excel o Word debe tratarse con cautela.

2026-06-23 · The Hacker News

Qué ocurrió

Kaspersky documentó en junio de 2026 una campaña activa en WhatsApp que distribuye archivos con nombres como “Reporte Financiero.vbs” o “Estado de Cuenta.vbs”. Al abrirlos, el archivo ejecuta un proceso oculto que descarga e instala ManageEngine Endpoint Central — una herramienta legítima de administración remota — dando al atacante control completo y persistente del equipo. La campaña ha afectado múltiples países incluyendo México, Malasia, Brasil, India y España. La operación permanece sin atribución, aunque se detectaron similitudes de infraestructura con grupos vinculados a China.

Quién está expuesto

Empleados que reciben y abren documentos de trabajo por WhatsApp — canal habitual en empresas mexicanas para compartir reportes, contratos y archivos administrativos. La campaña apunta especialmente a perfiles de finanzas, contabilidad y operaciones.

A considerar

No abrir archivos con extensiones .vbs, .vbe, .bat, .cmd, .ps1 o .js recibidos por WhatsApp, aunque provengan de contactos conocidos — el equipo de ese contacto puede estar comprometido. Los documentos legítimos de trabajo llegan en formato PDF, XLSX o DOCX, nunca como scripts ejecutables. Cualquier archivo de este tipo recibido esta semana debe verificarse directamente con el remitente por otro canal antes de abrirse.

Impacto potencial

Una herramienta legítima de administración remota instalada sin autorización pasa desapercibida para muchos controles de seguridad porque el software en sí no es malicioso. El atacante puede operar el equipo en segundo plano, acceder a sistemas internos a los que el empleado tiene acceso y extraer información durante semanas sin ser detectado.

Leer fuente original →