Publicado: junio 27, 2026, 7:24 am
WhatsApp es una de las puertas de entrada favoritas de los ciberdelincuentes para, entre muchos tipos de estafas, infectar ordenadores con Windows. En este caso, se ha detectado una nueva campaña maliciosa en varios países, entre los que se encuentra España, y afecta a quienes utilizan WhatsApp Web o la aplicación de escritorio. El objetivo que persiguen los delincuentes informáticos es conseguir acceso remoto al equipo de la víctima para poder controlarlo a distancia.
Desde la compañía de ciberseguridad Kaspersky alertan de esta reciente campaña en la que los actores maliciosos se aprovechan de la confianza que generan los mensajes enviados por contactos conocidos. Los investigadores creen que los delincuentes lograron acceder previamente a varias cuentas de la app y que desde ellas comenzaron a enviar archivos maliciosos a personas que figuraban en la lista de contactos.
Por el momento, se desconoce cómo tuvieron acceso, pero esta técnica aumenta mucho las posibilidades de que cualquier persona baje la guardia y se fíe de abrir los archivos recibidos. En concreto, la campaña se basa en mensajes que incluyen una serie de supuestos documentos relacionados con facturas, informes financieros, extractos bancarios o avisos de deuda. Además, los nombres de los documentos están adaptados a distintos idiomas, lo que ha permitido su extensión por varios países.
La clave es el archivo con extensión .vbs
De primeras pueden parecer archivos normales, pero en ellos se esconde un programa malicioso y esa es la clave del ataque. Es decir, los archivos enviados no son documentos convencionales, sino archivos con extensión .vbs. Se trata de scripts que Windows puede ejecutar de forma automática cuando el usuario los abre. Por ello, aunque el archivo llegue a través de WhatsApp, la infección solo se produce cuando se descarga y se ejecuta en un ordenador con Windows.
La compañía cuenta que, una vez que el archivo es abierto, inicia una serie de acciones en segundo plano: primero descarga más componentes de servidores controlados por los atacantes y después instala una herramienta legítima conocida como ManageEngine Endpoint Central, que utilizan las empresas para gestionar ordenadores de forma remota. Lo que hacen los ciberdelincuentes es configurarla para conectarla a sus propios sistemas y obtener acceso remoto al ordenador de la víctima y manejarlo a su antojo.
Para evitar ser víctima, la mejor recomendación es desconfiar de cualquier archivo inesperado recibido por WhatsApp, sobre todo si viene con la extensión .vbs, aunque proceda de un contacto conocido.
