Cuídate de los archivos que recibes en WhatsApp porque podrían tomar el control de tu PC

Los usuarios de WhatsApp en todo el mundo deben estar alerta, porque se conoció una campaña de malware que utiliza documentos falsos enviados por contactos reales para tomar el control de computadores con Windows.

El ataque, que ya afecta a países como España, México, Brasil, India y Malasia, se basa en la ingeniería social y en la explotación de la confianza entre contactos, logrando que muchas víctimas abran archivos maliciosos que parecen inofensivos.

Cómo es el ataque de los documentos de WhatsApp

El engaño llega a través de un mensaje de WhatsApp enviado por un conocido, lo que aumenta la probabilidad de que la persona descargue y ejecute el documento. Los atacantes previamente han comprometido la cuenta del remitente y utilizan su lista de contactos para multiplicar el alcance del ataque.

El archivo en cuestión aparenta ser un documento de trabajo, factura o aviso financiero, pero en realidad es un script con extensión .vbs (VBScript), un tipo de archivo capaz de ejecutar instrucciones automáticamente en Windows.

Este método no es un problema aislado ni dirigido únicamente a empresas: se trata de una campaña de alcance global. Además, según un análisis de Kaspersky, la campaña sigue activa y en expansión.

Todo comienza cuando el usuario recibe un archivo adjunto desde el chat de un amigo real o un compañero de trabajo.

Al estar el contacto comprometido, el mensaje parece legítimo y no suele incluir ningún texto, solo el documento, lo que refuerza la sensación de urgencia o rutina laboral.

El archivo adjunto tiene nombres que simulan informes financieros, extractos, avisos de deuda o listas de pagos pendientes. Ejemplos frecuentes son “Financial Reports.vbs”, “Debt confirmation.vbs” o “Account Statement.vbs”. Además, los nombres están adaptados al idioma del país objetivo, lo que refuerza la credibilidad ante la víctima.

Una vez descargado y abierto el archivo .vbs en un PC con Windows, se activa el primer paso de la infección. El script genera una carpeta oculta en el sistema y descarga dos archivos adicionales desde la infraestructura de los atacantes.

Estos archivos secundarios modifican el Registro de Windows para desactivar el Control de Cuentas de Usuario (UAC), una capa de protección fundamental del sistema operativo.

El siguiente paso es la descarga y ejecución de un paquete comprimido que contiene un programa legítimo de administración remota (ManageEngine Endpoint Central).

Este software, normalmente utilizado por informáticos para gestionar equipos a distancia, queda configurado para conectar el ordenador de la víctima a los servidores controlados por los atacantes, quienes a partir de ese momento pueden acceder libremente al sistema.

Cómo prevenir la infección por documentos maliciosos en WhatsApp

La principal recomendación de los expertos es no abrir archivos con extensión .vbs recibidos a través de WhatsApp, aunque provengan de un contacto conocido. Ante cualquier duda, lo prudente es contactar por otro medio —como una llamada telefónica— para confirmar la autenticidad del envío.

También resulta fundamental desconfiar de documentos laborales que no utilicen extensiones habituales como .pdf o .docx, y analizar cualquier archivo descargado con un antivirus actualizado antes de ejecutarlo. En entornos de empresa, conviene reforzar las campañas de concienciación sobre ingeniería social y suplantación de identidad digital.

Si se utiliza WhatsApp en el ordenador, es preferible acceder únicamente mediante el navegador y evitar instalar la app de escritorio, ya que añade un nivel adicional de riesgo. Mantener el sistema operativo y los programas de seguridad actualizados es otra medida esencial para reducir la exposición ante este tipo de amenazas.

La campaña sigue activa y, aunque se han detectado rastros de infraestructura y comentarios en chino en los scripts, aún no se ha atribuido de forma definitiva a ningún grupo concreto.