El reciente informe de perspectivas de amenazas de HP Wolf Security, la unidad especializada en investigación y soluciones de ciberseguridad de HP, tiene un poco de todo, desde algunas tendencias de siempre como el uso del email como un canal de engaño y distribución de malware, hasta el uso de criptomonedas como un anzuelo para atrapar nuevas víctimas.
Para ser más exactos el reciente Threat Insights Report detalla el comportamiento de las campañas globales de malware identificadas durante el primer trimestre de 2026. El análisis de los datos del periodo cubierto indica que el correo electrónico está involucrado en el 57 % de los eventos de ciberseguridad detectados. Le siguen las descargas directas a través del uso de navegadores web acumulando el 24 % del total registrado. El 19 % restante se divide de forma atomizada entre otros canales de entrada como dispositivos externos y transferencias de red.
Por cierto, los registros confirman que el 11 % de las amenazas detectadas en buzones de correo electrónico habían superado con éxito una o más capas de filtrado perimetral corporativo antes de ser contenidas en el dispositivo final. Respecto a la tipología de archivos utilizados para la entrega de código malicioso, los formatos ejecutables directos lideraron las detecciones con un 39 % del volumen analizado. Los archivos comprimidos e imágenes de disco registraron un comportamiento técnico similar, sumando el 38 % de las incidencias del trimestre.
Índice de temas
Abuso de infraestructura y suplantación de utilidades
Los investigadores documentaron una tendencia de uso de herramientas legítimasde administración remota para mantener persistencia dentro de las redes afectadas. En particular, se identificaron múltiples campañas estructuradas que utilizaron instaladores oficiales de LogMeIn y ScreenConnect con configuraciones preestablecidas hacia servidores de control externos. Estas acciones se ejecutaron mediante el envío de correos electrónicos relacionados con la finalización del año fiscal.
Debido a que estas herramientas cuentan con firmas digitales válidas y su tráfico de red coincide con los protocolos normales de soporte técnico, los sistemas automatizados de detección no generaron alertas preventivas. La adquisición del acceso se realiza sin la necesidad de desplegar exploits de vulnerabilidades de día cero. Los atacantes asumen el control operativo del dispositivo afectado aprovechando la confianza asignada a dichos programas dentro de las políticas de la organización.
En el ámbito regional, el informe documenta campañas específicas dirigidas a usuarios de habla hispana localizadas en Centroamérica para la distribución del troyano de acceso remoto Loda RAT. Este malware utiliza como vector de entrada archivos de hojas de cálculo modificados que simulan estados de cuentas bancarias institucionales. Los documentos solicitan de forma explícita la ejecución de macros de comandos para visualizar la información oculta de las celdas.
El análisis de ingeniería inversa aplicado a estas muestras reveló la presencia de código ofuscado mediante técnicas de relleno, donde el 80 % del archivo corresponde a scripts redundantes sin función operativa. Esta estructura tiene como único propósito alterar la firma del archivo y dificultar el análisis estático de los motores antivirus. Una vez instalado, modifica los registros del sistema operativo para renombrarse bajo la denominación del antivirus nativo intentando mimetizarse con los procesos de seguridad.
Simulación de archivos multimedia y flujos de ejecución manual
Las campañas ClickFix, una técnica de ingeniería social que engaña a los usuarios para que ejecuten acciones aparentemente legítimas en sus propios equipos, han incorporado modificaciones diseñadas para evadir los controles de seguridad mediante el uso de extensiones de archivos de audio. Estos ataques emplean ventanas emergentes que simulan una verificación de seguridad destinada a confirmar que el usuario es humano.
A través de instrucciones paso a paso, las interfaces inducen a la víctima a presionar determinadas combinaciones de teclas en el sistema operativo, lo que puede desencadenar la descarga o ejecución de código malicioso.. Dicha acción resulta en la descarga de archivos con formato de aplicación HTML que utilizan extensiones modificadas correspondientes a archivos de audio digital. El código alojado inicia la ejecución del troyano Amatera Stealer en la memoria del sistema.
El objetivo principal de esta variante se centra en la extracción automatizada de credenciales almacenadas en navegadores web, registros de cookies de sesión activa y bases de datos locales de aplicaciones de billeteras de activos virtuales. Los datos recolectados se empaquetan en archivos temporales cifrados y se transmiten hacia servidores externos controlados por los operadores del ataque.
Desarrollo asistido y explotación del sector de activos virtuales
El reporte identifica un incremento en la detección de herramientas de software malicioso distribuidas en repositorios públicos de desarrollo bajo el concepto de aplicaciones para la recuperación de billeteras de criptomonedas. Estos programas se promocionan de forma directa como utilidades legítimas destinadas a localizar claves privadas perdidas en sistemas de almacenamiento locales o en servidores remotos.
La revisión del código fuente de estas muestras indica patrones de diseño consistentes con el uso de herramientas de generación automatizada de código mediante modelos de lenguaje. La actividad destructiva real de este software contempla la captura persistente de pantallas del usuario, la lectura de archivos de configuración de software de comunicación y la recolección de contraseñas del sistema. La exfiltración de los datos comprometidos se procesa de forma directa mediante el uso de webhooks dirigidos hacia canales de mensajería.
Por otra parte, los analistas de HP Wolf Security identificaron un incremento del 10 % en el uso de documentos en formato PDF como vectores de redirección hacia páginas de descarga de malware. En paralelo, se documentaron campañas asignadas al grupo identificado como Global Group. Estos archivos aprovechan la configuración predeterminada de ocultación de extensiones en el entorno operativo de escritorio para ejecutar comandos PowerShell que inician el proceso de cifrado de datos.
