Una nueva campaña de software malicioso que se hace pasar por una actualización de Windows 11 está poniendo en el punto de mira a usuarios de Europa, incluidos los de España. Los atacantes han montado una página casi idéntica al soporte oficial de Microsoft para convencer a las víctimas de que descarguen una supuesta actualización acumulativa de la versión 24H2 del sistema operativo.
Detrás de esa actualización falsa se esconde un malware especializado en robar contraseñas, datos bancarios y credenciales de acceso a todo tipo de servicios, desde navegadores hasta aplicaciones como Discord. El engaño está tan bien construido que, según los analistas, muchos antivirus apenas detectan la amenaza, lo que hace que el riesgo para los usuarios se dispare.
Una web casi idéntica al soporte de Microsoft
La investigación de la firma de ciberseguridad Malwarebytes ha destapado un portal fraudulento que imita con gran precisión la apariencia del sitio de soporte de Microsoft. El dominio usa técnicas de typosquatting: pequeñas variaciones en el nombre que lo hacen parecer legítimo a simple vista, pero que en realidad conducen a un servidor controlado por los atacantes.
En esta página se anuncia una «actualización acumulativa» para Windows 11 24H2, con referencias al típico formato de artículos de la base de conocimientos de Microsoft (KB) y un texto que promete mejoras de rendimiento, corrección de fallos de seguridad y optimizaciones del sistema, incluyendo el menú Inicio.
El gancho principal es un gran botón de descarga en color azul que ofrece un archivo identificado como “WindowsUpdate 1.0.0.msi” o variantes muy similares. A ojos de un usuario medio parece una actualización rutinaria: el tamaño ronda los 83 MB, el instalador se presenta como un paquete MSI habitual y los detalles del archivo apuntan teóricamente a Microsoft como desarrollador.
Para rematar el engaño, los ciberdelincuentes han creado el instalador utilizando WiX Toolset, una herramienta legítima para empaquetar software en Windows. Los metadatos del fichero han sido modificados para que el nombre del producto, el editor y la descripción encajen con lo que cualquiera esperaría de un instalador auténtico de Windows Update.
El sitio fraudulento fue detectado inicialmente en Francia y está escrito en francés, pero los expertos avisan de que este tipo de campañas se expanden fácilmente a otros países europeos, ya sea manteniendo el idioma o lanzando variantes localizadas, lo que coloca a los usuarios españoles en una situación potencial de riesgo.
Qué hace el malware al instalarse en Windows 11
Una vez que el usuario ejecuta el archivo MSI, el instalador despliega en segundo plano una aplicación basada en Electron alojada en la carpeta AppData del sistema. A partir de ahí se van añadiendo componentes adicionales sin que la víctima vea nada extraño en pantalla, más allá, en algunos casos, de una ventana que aparenta ser una actualización estándar.
El código malicioso incorpora herramientas y paquetes de Python, como pycryptodome y psutil, que se utilizan para recopilar y procesar la información extraída del equipo. Mediante estos módulos, el malware se comporta como un verdadero infostealer, dedicado de forma casi exclusiva al robo de datos sensibles.
Entre los objetivos prioritarios se encuentran contraseñas almacenadas en navegadores, datos de pago, cookies de sesión y credenciales de inicio de sesión de distintas plataformas. El malware también puede modificar aplicaciones instaladas, como Discord, para interceptar tokens de acceso y monitorear cambios de contraseña o datos relacionados con la autenticación en dos pasos.
Antes de comenzar el robo masivo de información, el programa malicioso verifica la dirección IP pública y la ubicación aproximada del dispositivo. Este paso permite a los atacantes filtrar a las víctimas en función de su país o región, descartando aquellos equipos que no encajen con el objetivo de la campaña y centrándose en territorios concretos, como puede ocurrir con diferentes países de la Unión Europea.
Una vez recopilados los datos, la información robada se cifra y se envía a una infraestructura de comando y control controlada por los atacantes. Según el análisis de Malwarebytes, se utilizan servicios en la nube como Render y Cloudflare Workers, así como plataformas para compartir archivos como GoFile, lo que complica todavía más el rastreo y bloqueo de la actividad fraudulenta.
Persistencia en el sistema y dificultad para detectarlo
Para que la infección no se pierda tras reiniciar el ordenador, el malware implementa técnicas de persistencia muy discretas. Por un lado, modifica el registro de Windows creando una entrada llamada “SecurityHealth”, un nombre que recuerda al sistema integrado de notificaciones de seguridad de Microsoft y que ayuda a camuflar su presencia.
Por otro lado, el programa malicioso genera accesos directos falsos en la carpeta de inicio automático, como un archivo “Spotify.lnk” que parece llevar al conocido reproductor de música, pero que en realidad lanza el código del infostealer cada vez que se inicia sesión en el sistema. De este modo, el malware se reactiva sin levantar sospechas aparentes.
Uno de los puntos que más inquieta a los expertos es la capacidad del ataque para pasar inadvertido ante muchas soluciones antivirus. Malwarebytes indica que, en sus pruebas, ninguno de los 69 motores analizados marcó inicialmente el archivo como malicioso, precisamente porque el ejecutable tiene aspecto legítimo y se apoya en componentes ampliamente utilizados como Electron y Python.
La lógica del ataque se esconde en código JavaScript fuertemente ofuscado y componentes legítimos de Electron. Esta combinación hace que ciertas herramientas de seguridad no analicen en profundidad el contenido interno, centrándose solo en el instalador MSI y en su comportamiento más superficial, lo cual es insuficiente para detectar la amenaza.
Desde la compañía de ciberseguridad destacan que este tipo de campañas marcan un salto en la evolución de los robos de datos: un señuelo muy creíble adaptado al mercado local, un instalador MSI construido con herramientas legítimas, una envoltura en Electron y una carga útil en Python que se descarga en tiempo de ejecución conforman una cadena de ataque difícil de frenar con filtrados básicos.
Riesgo global y posible impacto en Europa y España
Aunque la campaña salió a la luz con un sitio en francés dirigido inicialmente a usuarios de ese país, los especialistas advierten de que los atacantes pueden ampliar el radio de acción con rapidez. Basta con replicar el mismo esquema en otros idiomas o reutilizar la infraestructura con dominios similares orientados a diferentes regiones.
En el contexto europeo, este tipo de fraude encaja con la tendencia de los últimos años, donde se ha visto un aumento significativo de ataques de phishing y malware dirigidos a usuarios de Windows, tanto particulares como empleados de empresas. España no es una excepción, y los ciberdelincuentes suelen aprovechar cualquier novedad relacionada con Windows 11 para diseñar campañas que parezcan comunicaciones oficiales.
Los atacantes pueden aprovechar, por ejemplo, filtraciones previas de datos o correos electrónicos comprometidos para enviar enlaces que apunten a estas páginas falsas de actualización, haciéndolos pasar por avisos urgentes de seguridad o mensajes de soporte técnico. En ese escenario, un usuario que no revise con atención la dirección web puede pensar que se trata de una actualización legítima del sistema.
El hecho de que el malware seleccione a las víctimas en función de su geolocalización e IP sugiere que estamos ante una campaña diseñada para adaptarse al mercado local. Es decir, aunque el contenido de la página esté en francés en la muestra analizada, nada impide que se desplieguen variantes en otros idiomas de la UE, incluyendo el español, manteniendo la misma estructura técnica del ataque.
Por todas estas razones, los especialistas en seguridad recomiendan que usuarios y organizaciones europeas extremen la precaución con cualquier actualización de Windows que no provenga directamente de los canales habituales de Microsoft, especialmente en entornos empresariales donde una infección de este tipo puede abrir la puerta al robo masivo de credenciales corporativas.
Cómo evitar caer en la trampa de las falsas actualizaciones
Para reducir al máximo las probabilidades de infección, los expertos insisten en una regla básica: no descargar jamás actualizaciones de Windows 11 desde correos, redes sociales o enlaces de páginas externas. Microsoft distribuye sus parches de seguridad a través de Windows Update, integrado en el propio sistema, o mediante su catálogo oficial accesible siempre desde dominios de la compañía.
La forma más segura de comprobar si el equipo está al día es abrir Configuración > Windows Update y pulsar en “Buscar actualizaciones”. Si hay parches disponibles, el sistema los mostrará allí sin necesidad de acceder a webs de terceros ni de descargar archivos MSI manualmente desde enlaces dudosos.
En caso de acceder a una página que dice ser soporte de Microsoft, conviene fijarse con calma en la barra de direcciones del navegador: la URL debe terminar en “microsoft.com” y no incluir variaciones sospechosas. Cualquier dominio que añada palabras extra o introduzca errores sutiles en el nombre (como guiones, letras cambiadas o sufijos inusuales) es un claro aviso de que se puede estar ante un intento de suplantación.
El propio soporte oficial de Microsoft recuerda además que la compañía no llama por teléfono ni envía correos para pedir datos personales o financieros, y que los mensajes de error que incluyen un número para llamar suelen ser parte de un timo. Si aparece una ventana emergente insistiendo en que llames a un servicio técnico o descargues una supuesta actualización urgente, lo más prudente es cerrarla y no seguir las instrucciones.
Para quienes ya hayan hecho clic o instalado algo sospechoso, se recomienda ejecutar un análisis completo con una solución de seguridad de confianza, cambiar las contraseñas de los servicios más sensibles (correo, banca, redes sociales) y, si es posible, activar la autenticación en dos pasos. En entornos profesionales, puede ser necesario revisar los equipos afectados y las credenciales corporativas con la ayuda del departamento de TI.
La campaña descubierta demuestra hasta qué punto los ciberdelincuentes son capaces de explotar la confianza en las actualizaciones de Windows 11 para colar programas de robo de datos extremadamente sofisticados. Una simple visita a una web que parece oficial puede bastar para comprometer contraseñas, métodos de pago y cuentas personales, de modo que acostumbrarse a actualizar solo desde Windows Update y revisar bien cada dirección web se ha convertido en un hábito esencial para cualquiera que use un PC con el sistema de Microsoft.
