Un archivo que parece venir de un contacto conocido podría ser el resultado de una cuenta comprometida
En junio de 2026, investigadores de Kaspersky descubrieron una campaña cibernética que aprovecha la confianza depositada en WhatsApp para distribuir archivos VBScript disfrazados de facturas y documentos comerciales. Al ejecutarlos, las víctimas instalan sin saberlo ManageEngine, una herramienta legítima convertida en instrumento de control remoto total. La campaña alcanza múltiples países e idiomas, recordándonos que la familiaridad de una plataforma nunca es garantía de seguridad, y que la ingeniería social prospera precisamente donde menos se sospecha.
- Atacantes han comprometido cuentas reales de WhatsApp para enviar archivos maliciosos desde contactos de confianza, amplificando el engaño a escala masiva.
- Los archivos VBScript se camuflan como facturas y reconciliaciones bancarias, y llegan sin ningún texto explicativo, una ausencia que paradójicamente desactiva la alerta del receptor.
- Una vez ejecutado el archivo, ManageEngine Endpoint Central se instala en silencio, entregando al atacante control total y vigilancia continua del equipo comprometido.
- La campaña opera en varios idiomas y ha golpeado con mayor intensidad en Malasia, aunque España figura entre los países afectados, apuntando exclusivamente a usuarios individuales.
- Kaspersky advierte que la campaña sigue activa y recomienda verificar con el remitente antes de abrir cualquier adjunto inesperado, sin importar cuán conocido parezca el origen.
Una campaña cibernética descubierta en junio por investigadores de Kaspersky está tomando por asalto a usuarios de WhatsApp Web y la versión de escritorio. El método es inquietante en su sencillez: archivos VBScript disfrazados de facturas, reconciliaciones bancarias o notificaciones de deuda que, al ejecutarse, instalan silenciosamente ManageEngine Endpoint Central, un software legítimo de gestión remota convertido en herramienta de vigilancia y control total del equipo.
Lo que distingue esta operación es su alcance. Los atacantes habrían obtenido acceso no autorizado a cuentas reales de WhatsApp, lo que les permitió explotar listas de contactos para distribuir los archivos de forma masiva. Aunque el mecanismo exacto de compromiso de las cuentas no está del todo claro, la escala sugiere un acceso significativo a la plataforma. La campaña opera en múltiples idiomas y ha registrado mayor incidencia en Malasia, aunque España también figura entre los objetivos.
El corazón de la estrategia es la ingeniería social: los mensajes llegan sin texto, solo con el archivo adjunto. Esa ausencia de contexto, lejos de generar sospecha, puede hacer que el receptor asuma que se trata de un documento enviado con intención. Kaspersky advierte que cualquier adjunto inesperado —especialmente sin explicación— debe tratarse con máxima cautela, verificando directamente con el remitente y manteniendo actualizado el software de seguridad. Mientras la campaña siga activa, la vigilancia del usuario es la primera y más importante línea de defensa.
Una nueva ola de ataques cibernéticos está apuntando directamente a los usuarios de WhatsApp Web y la versión de escritorio, con un objetivo claro: tomar control total de sus computadores. Los investigadores de Kaspersky descubrieron en junio una campaña sofisticada que distribuye archivos maliciosos disfrazados de documentos comerciales legítimos —facturas, reconciliaciones bancarias, notificaciones de deuda— a través de la plataforma de mensajería.
El mecanismo es ingenioso en su simplicidad. Los atacantes envían archivos VBScript que parecen ser documentos financieros ordinarios. Cuando una víctima descarga y ejecuta uno de estos archivos, se instala silenciosamente un programa de monitorización y gestión remota llamado ManageEngine Endpoint Central. Este software, que es legítimo en contextos empresariales, se convierte en las manos de los atacantes en una herramienta para vigilar y controlar completamente el equipo comprometido.
Lo que hace particularmente preocupante esta campaña es cómo logra llegar a tantas personas. Los investigadores de Kaspersky creen que los atacantes obtuvieron acceso no autorizado a varias cuentas de WhatsApp, lo que les permitió acceder a las listas de contactos y distribuir los archivos maliciosos de manera masiva. Aunque el método exacto para comprometer esas cuentas aún no está claro, la escala de la operación sugiere un acceso significativo a la plataforma.
La campaña no discrimina por geografía. Los atacantes envían los archivos en múltiples idiomas, lo que les permite dirigirse a usuarios en diferentes países. España está entre los objetivos, aunque los investigadores han identificado una incidencia mucho mayor en Malasia. Lo que sí está claro es que los atacantes se enfocaron en consumidores individuales, no en empresas, eligiendo específicamente a usuarios de las versiones web y de escritorio de WhatsApp.
La ingeniería social es el corazón de esta estrategia. Los mensajes que contienen los archivos maliciosos típicamente no incluyen texto adicional —solo el archivo adjunto. Esta ausencia de contexto, paradójicamente, puede hacer que algunos usuarios bajen la guardia, asumiendo que se trata de un documento que alguien les envió deliberadamente. Kaspersky advierte que cualquier archivo adjunto inesperado, especialmente aquellos que llegan sin explicación textual, debe tratarse con extrema sospecha.
Para los usuarios de WhatsApp, la lección es clara: la familiaridad de la plataforma no garantiza seguridad. Un archivo que parece venir de un contacto conocido podría ser el resultado de una cuenta comprometida. Los investigadores recomiendan desconfiar de cualquier descarga inesperada, verificar directamente con el remitente antes de abrir archivos, y mantener actualizado el software de seguridad. La campaña continúa activa, y mientras los atacantes sigan refinando sus técnicas, la vigilancia de los usuarios seguirá siendo la defensa más importante.
Notable Quotes
Los usuarios de WhatsApp Web y para escritorio deben estar atentos ante archivos adjuntos que reciben de manera inesperada, principalmente porque llegan dentro de mensajes que no contienen nada de texto— Kaspersky
The Hearth Conversation Another angle on the story
¿Por qué eligieron específicamente WhatsApp Web en lugar de la aplicación móvil?
Probablemente porque los usuarios de escritorio tienden a ser menos cautelosos con los archivos que descargan. En el móvil, el sistema operativo controla más estrictamente qué se puede ejecutar. En la computadora, un archivo VBScript puede correr casi sin fricción.
¿Cómo consiguen acceso a tantas cuentas de WhatsApp simultáneamente?
Eso es lo que Kaspersky aún no ha podido determinar completamente. Podría ser phishing masivo, reutilización de contraseñas comprometidas en otras plataformas, o incluso una vulnerabilidad en WhatsApp que aún no se ha hecho pública.
Si instalan ManageEngine, ¿qué pueden ver exactamente los atacantes?
Todo. Tus archivos, tus cámaras, tus micrófonos, tus contraseñas guardadas. Es acceso administrativo completo. No es solo robo de datos, es vigilancia total.
¿Por qué Malasia tiene más incidencia que otros países?
Podría ser que los atacantes tengan conexiones locales allí, o que hayan comenzado la campaña en esa región. También es posible que los usuarios de Malasia sean más propensos a descargar archivos de contactos de confianza sin verificar.
¿Qué debería hacer alguien que ya descargó uno de estos archivos?
Desconectar inmediatamente de internet, cambiar todas las contraseñas desde otro dispositivo, y contactar a un profesional de seguridad. Si ManageEngine ya está instalado, el daño potencial es severo.