Kaspersky ha confirmado algo que muchos usuarios españoles ya sospechaban sin saberlo: un archivo aparentemente inofensivo recibido por WhatsApp Web puede acabar entregando el control de tu ordenador a un desconocido. La firma de ciberseguridad, a través de su equipo de investigación GReAT, alertó el 22 de junio de una campaña activa que utiliza cuentas reales y comprometidas para distribuir malware disfrazado de facturas, extractos bancarios o avisos de deuda.
Lo que hace especialmente peligrosa esta campaña no es la sofisticación técnica del ataque, sino su componente psicológico. El mensaje no llega de un número desconocido: llega de un contacto real, con historial de conversaciones previas, lo que reduce drásticamente las sospechas del usuario medio.
Cómo actúa el malware detectado por Kaspersky
El mecanismo del ataque es tan simple como efectivo. Los ciberdelincuentes acceden primero a una cuenta de WhatsApp ajena y, desde ahí, envían archivos con nombres que imitan documentos empresariales habituales: «factura.pdf», «extracto_bancario.pdf» o «aviso_deuda.pdf». La trampa está en la extensión real del archivo, que termina en .vbs, un tipo de script ejecutable que Windows procesa sin preguntar demasiado.
Al abrirse, el archivo despliega una cadena de infección por fases: descarga componentes adicionales desde servidores externos y termina instalando herramientas de administración remota (RMM), en concreto un paquete de despliegue de ManageEngine Endpoint Central. Aunque es software legítimo usado por empresas de IT, en manos de los atacantes se convierte en la llave maestra del equipo infectado.
Por qué España está en el radar de esta amenaza
Este ataque de Kaspersky llega apenas meses después de que la propia compañía revelara que más de la mitad de las contraseñas filtradas en 2025 ya estaban comprometidas de antemano, un patrón que confirma cómo los ciberdelincuentes reutilizan credenciales y cuentas robadas para lanzar nuevas oleadas de ataques. La campaña actual, centrada en WhatsApp, se ha detectado en España, Malasia, Brasil, Singapur, Taiwán, Vietnam y México, con nombres de archivo adaptados a varios idiomas para ampliar el alcance en Europa.
El INCIBE se ha sumado al aviso este mismo 10 de julio, confirmando que la campaña sigue activa y recomendando extremar la precaución con cualquier adjunto inesperado, aunque parezca venir de alguien de confianza. La combinación de una empresa de ciberseguridad privada y un organismo público coincidiendo en la alerta es una señal de que el riesgo es real y no una exageración mediática.
Qué dice Kaspersky sobre el origen del ataque
Fareed Radzi, investigador del equipo GReAT, resume el principio que explota toda la campaña: los atacantes se aprovechan de la confianza inherente a las plataformas de mensajería, usando cuentas comprometidas para que los archivos maliciosos parezcan proceder de alguien conocido. Es un giro respecto a los ataques de phishing tradicionales, que suelen depender de remitentes desconocidos o dominios sospechosos.
Un detalle curioso que ha llamado la atención de los analistas es que los scripts contienen comentarios en chino, aunque Kaspersky aclara que esto no implica necesariamente una atribución a un actor estatal, ya que ese tipo de comentarios son habituales en herramientas de crimeware distribuidas en foros de habla china. La campaña, de momento, no se ha atribuido a ningún grupo concreto.
Señales de alerta y extensiones prohibidas
Identificar un archivo malicioso antes de abrirlo es la defensa más eficaz, y no requiere conocimientos técnicos avanzados. Basta con fijarse en un par de detalles que casi siempre delatan el engaño, por mucho que el nombre del archivo intente parecer legítimo.
Kaspersky recomienda desconfiar de cualquier adjunto no esperado y verificar por otro canal, como una llamada telefónica, que el contacto lo envió deliberadamente. Estas son las extensiones que nunca deberían llegar por WhatsApp:
- Archivos .vbs y .vbe (scripts de Visual Basic)
- Ejecutables .exe y .bat
- Scripts .cmd, .js y .ps1
Cómo protegerte si usas WhatsApp Web con frecuencia
Además de reconocer las extensiones peligrosas, existen medidas concretas que reducen el riesgo de caer en este tipo de trampas, especialmente si trabajas a diario desde el navegador con WhatsApp Web abierto en segundo plano.
Mantener el antivirus actualizado con protección heurística de comportamiento es clave, ya que este tipo de soluciones puede detectar patrones anómalos antes de que se complete la cadena de infección. También conviene activar la verificación en dos pasos en la cuenta de WhatsApp, revisar periódicamente los dispositivos vinculados desde la configuración y desconfiar de cualquier sesión que no reconozcas.
- Verifica siempre por llamada si un contacto te envía un archivo inesperado
- Activa la verificación en dos pasos en WhatsApp
- Revisa los dispositivos vinculados a tu cuenta con regularidad
- Mantén Windows y el navegador actualizados con los últimos parches
Lo que viene después de esta alerta
Los ataques que explotan la confianza entre contactos reales, en lugar de depender de remitentes desconocidos, marcan una tendencia que probablemente veremos crecer durante el resto de 2026. La buena noticia es que la respuesta coordinada entre empresas de ciberseguridad y organismos públicos como el INCIBE está acortando el tiempo entre la detección de una campaña y su difusión pública.
Con la adopción progresiva de sistemas sin contraseñas y una vigilancia más activa por parte de las plataformas de mensajería, el margen de maniobra de este tipo de ataques debería reducirse. Mientras tanto, el sentido común sigue siendo la herramienta más efectiva: desconfiar de lo inesperado, aunque venga de quien menos lo esperas, es la mejor defensa disponible hoy mismo.






