- PDF maliciosos se usan para obtener acceso remoto a móviles y ordenadores mediante enlaces, formularios, códigos QR y metadatos ocultos.
- Crece el uso de "callback phishing" con falsas llamadas de soporte para instalar herramientas como AnyDesk o Quick Assist.
- Campañas móviles a gran escala suplantan servicios de mensajería y esconden enlaces en capas invisibles; actividad detectada en decenas de países.
- Protégete verificando remitentes, evitando QR sospechosos, usando análisis en sandbox, antivirus actualizado y autenticación en dos pasos.
La comunidad de seguridad ha encendido las alarmas: archivos PDF manipulados pueden abrir la puerta a control remoto del dispositivo cuando el usuario hace clic en enlaces o activa contenido embebido que parece legítimo. Este formato, tan cotidiano en el trabajo y en casa, se está explotando para desplegar malware con gran discreción.
Informes recientes detallan campañas que combinan ingeniería social y funciones del propio PDF para convencer a las víctimas y eludir filtros. El objetivo es el mismo en todos los casos: tomar el control de móviles y ordenadores, robar credenciales, capturar pantalla o activar cámara y micrófono sin permiso.
Cómo opera la estafa con PDF
Los atacantes envían correos, SMS o mensajes en redes suplantando empresas, servicios públicos o entidades bancarias. El PDF adjunto o descargado desde un enlace incluye trampas: formularios incrustados que llevan a páginas de inicio de sesión falsas, vínculos camuflados en metadatos, botones que disparan descargas o incluso códigos QR que conducen a sitios de phishing.
Algunas operaciones detectadas por fuentes especializadas describen la táctica «callback phishing» (TOAD): tras el envío del PDF, la víctima es inducida a llamar a un supuesto soporte técnico. En esa llamada, el operador convence al usuario para instalar software de acceso remoto como AnyDesk o Quick Assist, cediendo así el control total del equipo al estafador.
Para esquivar controles, los delincuentes aprovechan infraestructura legítima cuando pueden: envíos a través de configuraciones corporativas de correo (p. ej., Microsoft 365) o archivos hospedados en la nube mediante Google Drive, Dropbox o MediaFire, lo que añade un barniz de credibilidad al engaño.
Los PDF pueden incorporar elementos difíciles de inspeccionar a simple vista: enlaces ocultos bajo capas invisibles, comentarios con scripts y redirecciones encadenadas, de modo que el usuario crea que interactúa con un documento normal mientras otorga permisos o descarga el malware.
Campañas y tácticas detectadas
Investigaciones periodísticas y técnicas han observado un repunte de adjuntos PDF usados como señuelo en correos de phishing dirigidos a empresas. Entre los patrones más repetidos destacan la suplantación de marcas conocidas, avisos de firmas electrónicas o facturas y supuestas notificaciones urgentes de cuentas bloqueadas.
- Formularios dentro del PDF que remiten a portales falsos para recolectar credenciales.
- URLs encubiertas en metadatos o botones interactivos del documento.
- PDF distribuidos desde dominios o envíos con apariencia corporativa para burlar filtros.
- Refuerzo vía llamadas (vishing) para guiar a la víctima a instalar herramientas de control remoto.
En paralelo, analistas han detectado cadenas de infección con múltiples etapas: desde el PDF se impulsa la descarga de un archivo HTML que, a su vez, obtiene y ejecuta scripts (por ejemplo, VBS en sistemas Windows) para instalar el troyano de acceso remoto (RAT) encargado del control del dispositivo.
Impacto en móviles: alcance global
Firmas de seguridad móvil han documentado campañas que suplantan servicios postales con PDFs de supuestas entregas fallidas. En estas operaciones se han observado decenas de PDFs maliciosos y centenares de páginas de phishing activas, con actividad extendida en numerosos países.
- Enlaces escondidos bajo capas no visibles al abrir el PDF en el teléfono.
- Mayor exposición en móviles por la limitada capacidad de inspección previa del archivo.
- Redirecciones rápidas que instalan apps fraudulentas o llevan a formularios de robo de datos.
Los expertos subrayan que el móvil es una diana atractiva: menos pasos de verificación, revisión apresurada y confianza en notificaciones de envíos o facturas, lo que aumenta la tasa de clics y, por tanto, la efectividad del ataque.
Por qué el PDF es el canal preferido
Observatorios del ecosistema digital estiman que una parte sustancial del malware por correo circula hoy a través de PDFs. El formato se percibe como confiable y es compatible con flujos de trabajo corporativos, lo que reduce la sospecha frente a un adjunto.
- Apariencia legítima ante usuarios y sistemas, con iconos y previsualizaciones familiares.
- Limitaciones de algunos motores antivirus para inspeccionar contenido interno y objetos embebidos.
- Posibilidad de incluir código fragmentado o cifrado que solo se activa al abrir o pulsar un elemento.
Este vector no solo roba credenciales: se usa para entregar troyanos bancarios y spyware, pivotar dentro de redes empresariales y facilitar la exfiltración de información sensible con bajo ruido.
El caso Ratty en Latinoamérica
Investigaciones de una conocida empresa de ciberseguridad describen campañas en la región que parten de PDFs con temática de facturación. El documento induce a pulsar un enlace que descarga un HTML; este obtiene un script VBS que, finalmente, instala el RAT Ratty.
Una vez activo, el malware permite capturar pantalla, grabar audio, tomar imágenes desde la cámara, registrar pulsaciones, iniciar sesión automáticamente y hasta bloquear el ratón o la pantalla para impedir la interacción del usuario.
El operador puede extraer archivos y credenciales; en algunos casos se observa extorsión o venta de datos en foros clandestinos. Aunque se detectó especial incidencia en ciertos países, la mecánica es replicable y su difusión puede acelerarse con facilidad.
Señales de alerta y cómo protegerte
Conviene asumir que cualquier PDF inesperado es sospechoso: desconfía de urgencias, amenazas de bloqueo o mensajes que fuerzan una acción inmediata. Comprueba el contexto y si realmente esperabas ese documento.
- No abras PDFs de remitentes desconocidos o no esperados; verifica la dirección completa, no solo el nombre visible.
- Evita escanear códigos QR en documentos que no has solicitado.
- Mantén actualizado el lector de PDF, el navegador, el sistema operativo y el antivirus.
- Analiza adjuntos en entornos controlados (sandbox) o usa servicios como VirusTotal antes de abrir.
- Desactiva la ejecución automática de contenido activo en el visor de PDF cuando sea posible.
- Forma a empleados y usuarios para detectar señales de ingeniería social y llamadas de falso soporte.
- Jamás instales ni concedas permisos de acceso remoto sin validar por un canal oficial.
- Activa la autenticación en dos pasos; esta capa adicional reduce de forma notable los accesos no autorizados.
Qué hacer si sospechas de infección
Si crees que has interactuado con un PDF malicioso, corta la conexión cuanto antes: desconecta el equipo de Internet y evita sincronizaciones que puedan extender el problema a la nube.
- Ejecuta un análisis profundo con tu solución de seguridad y herramientas de desinfección fiables.
- Revisa y desinstala software de control remoto que no reconozcas (AnyDesk, Quick Assist u otros).
- Rota contraseñas, revoca sesiones y tokens en correo, servicios en la nube y apps críticas.
- Comprueba movimientos financieros; en su caso, alerta al banco y activa medidas de protección adicionales.
- En entornos corporativos, notifica al equipo de TI para contención y análisis forense; conserva evidencias.
A medida que estas campañas evolucionan, la combinación de cautela del usuario, higiene digital y controles técnicos (análisis de adjuntos, segmentación, políticas de mínimo privilegio) es lo que marca la diferencia para frustrar intentos de toma de control de dispositivos.