- Cibercriminales manipulan PDF con enlaces, capas invisibles y formularios falsos para lograr acceso remoto.
- Se combinan tácticas como vishing y el timo de call-back para forzar la instalación de herramientas de control.
- Campañas recientes suplantan Microsoft, DocuSign y servicios postales, con alcance global y foco en móviles.
- Medidas clave: desconfianza activa, análisis previo, software actualizado, 2FA y evitar permisos de acceso remoto.
Una nueva oleada de fraudes explota archivos PDF manipulados para ejecutar acciones remotas y colarse en móviles y ordenadores. Los atacantes se apoyan en la apariencia confiable de este formato para que las víctimas abran documentos que parecen legítimos pero que, en realidad, esconden trampas técnicas y de ingeniería social.
Diversas investigaciones de referencia en seguridad, entre ellas las difundidas por medios especializados y firmas de análisis, describen un patrón repetido: PDF con enlaces camuflados, códigos QR, formularios incrustados o metadatos trucados que conducen a webs de phishing, descargan malware o solicitan credenciales bajo falsas excusas de verificación.
Cómo funciona el engaño
El éxito de estas campañas se apoya en la confianza del usuario. Al recibir un supuesto documento corporativo, una factura o una notificación de servicio, la víctima lo abre sin sospechar que dentro se ocultan mecanismos para redirigir, recolectar datos o activar scripts cuando se hace clic o se interactúa con el contenido.
- Enlaces disfrazados que redirigen a páginas de inicio de sesión clonadas.
- Formularios incrustados en el PDF que apuntan a portales falsos.
- Metadatos con direcciones URL encubiertas y difíciles de detectar a simple vista.
- Capas invisibles con vínculos activos que sortean revisiones superficiales.
- Códigos QR que llevan a descargas o sitios con malware.
Además del contenido visible, algunos documentos integran elementos no obvios (comentarios, objetos o JavaScript) que los atacantes aprovechan para pedir credenciales, iniciar descargas o lanzar conexiones a servidores controlados por ellos.
Tácticas que abren la puerta al control remoto
Una técnica cada vez más empleada es el timo de “call-back” (TOAD): el PDF empuja a la víctima a llamar a un supuesto soporte técnico. En esa conversación, el operador convence de instalar herramientas como AnyDesk o Quick Assist, lo que les concede control total del dispositivo.
En otros escenarios, un clic dentro del documento dispara cadenas de infección en varios pasos (por ejemplo, descarga de HTML y después de scripts) hasta desembocar en un RAT (troyano de acceso remoto) plenamente funcional capaz de espiar y manejar el equipo a distancia.
Campañas recientes y marcas suplantadas
En los últimos meses se ha observado un aumento de campañas de phishing con PDF como señuelo, con suplantaciones de marcas reconocidas para dar credibilidad al mensaje. Se han documentado casos en los que los correos se envían a través de Microsoft 365 (Direct Send), lo que complica el filtrado antispam y eleva la tasa de apertura en entornos corporativos.
También se han detectado operaciones dirigidas a móviles en las que los delincuentes se hacen pasar por servicios postales con falsas notificaciones de entrega. Estas campañas han llegado a decenas de países, con decenas de PDF maliciosos y cientos de páginas de phishing activas, explotando la menor capacidad de los usuarios móviles para inspeccionar documentos antes de abrirlos.
El troyano Ratty y su cadena de infección
Investigaciones en Latinoamérica han descrito un caso especialmente ilustrativo: un correo de phishing adjunta “Factura.pdf” que invita a pulsar en un enlace; a partir de ahí se descarga un HTML que, a su vez, baja un script VBS y finalmente el troyano de acceso remoto Ratty. Para distribuirlo, los actores maliciosos emplean servicios de almacenamiento en la nube como Google Drive, Dropbox o MediaFire.
Una vez dentro, Ratty puede grabar audio, capturar pantalla y webcam, tomar imágenes, exfiltrar documentos e incluso iniciar sesión automáticamente o congelar ratón y pantalla para impedir la intervención del usuario. Tras la intrusión, no es raro que los atacantes intenten extorsión o revendan el acceso en mercados clandestinos.
Por qué los PDF son tan atractivos para el malware
El formato PDF goza de buena reputación entre usuarios y sistemas corporativos, y esa confianza juega a favor del atacante. A ello se suma que no todos los motores de seguridad analizan en profundidad su interior. Por eso, los ciberdelincuentes aprovechan la posibilidad de incrustar contenido cifrado o fragmentado que se activa al abrir el documento. Informes recientes estiman que los PDF maliciosos ya suponen una porción relevante (por encima del 20%) del malware distribuido por correo.
Qué pueden hacer los atacantes si caes en la trampa
El objetivo último es el control del dispositivo y el robo de información. Con acceso remoto, un intruso puede leer archivos, registrar pulsaciones, activar cámara y micrófono, espiar aplicaciones sensibles (banca, correo, mensajería) y moverse lateralmente en redes de empresa.
- Acceso a documentos y fotos personales o corporativos.
- Grabación de pantalla y monitorización de actividad.
- Control de periféricos (cámara, micrófono) y apps críticas.
- Robo de credenciales y datos de pago.
Recomendaciones para minimizar el riesgo
Adopta una postura de desconfianza razonable ante cualquier PDF inesperado, aunque parezca de confianza. Verifica el remitente completo, analiza el contexto y evita escanear QR sin necesidad. Mantén lector PDF y antivirus actualizados, y considera soluciones con sandbox para revisar adjuntos dudosos.
- No abras ni descargues PDFs no solicitados o fuera de contexto.
- Comprueba la dirección completa del remitente y los dominios de destino.
- Utiliza la vista previa segura del PDF y servicios como VirusTotal antes de abrir.
- Evita otorgar permisos o instalar software de control remoto por teléfono.
- Desconfía de mensajes con urgencias o amenazas inverosímiles.
En móviles, instala seguridad especializada para Android capaz de detectar enlaces de phishing y comportamientos anómalos dentro de documentos. Revisa periódicamente los permisos de apps (cámara, micrófono, archivos), evita redes Wi‑Fi públicas para trámites sensibles y activa la autenticación en dos pasos en tus cuentas. Si sospechas de intrusión, cambia contraseñas y revoca accesos cuanto antes.
El panorama apunta a una tendencia clara: los PDF seguirán siendo un vector privilegiado para el fraude por su credibilidad y versatilidad. La mejor defensa combina higiene digital, verificación minuciosa y formación; con ellas, la mayoría de estos intentos se pueden detectar a tiempo y desactivar antes de que comprometan tus dispositivos.
