Los ciberdelincuentes están incorporando técnicas visuales cada vez más sofisticadas para sortear los sistemas de seguridad y engañar a los usuarios. Según el último Informe sobre Amenazas de Seguridad publicado por HP, las campañas de malware más recientes combinan animaciones persuasivas, herramientas comerciales y plataformas de confianza para aumentar su efectividad y reducir la tasa de detección.
El estudio, basado en datos recopilados entre julio y septiembre de 2025 a través de millones de dispositivos protegidos por HP Wolf Security, identifica una tendencia creciente en el uso de animaciones falsas y malware de suscripción. Estas técnicas no solo buscan convencer al usuario de la legitimidad del contenido, sino también eludir las defensas automatizadas mediante mecanismos como la carga lateral de DLL o el uso de ejecutables legítimos modificados.
Una de las campañas analizadas imitaba comunicaciones oficiales de la Fiscalía General de la Nación de Colombia. El correo electrónico redirigía a un sitio web falso, con una animación que simulaba una contraseña de un solo uso. Al abrir el archivo descargado, se ejecutaba una DLL oculta que instalaba PureRAT, una herramienta de acceso remoto que otorga control total del dispositivo al atacante. Solo el 4 % de estas muestras fue detectado por antivirus, según el informe.
Otra táctica identificada consistía en una supuesta actualización de Adobe Reader. Un PDF falsificado llevaba al usuario a una web que mostraba una barra de progreso animada, simulando una descarga legítima. En realidad, se trataba de un ejecutable ScreenConnect modificado que, al conectarse a servidores maliciosos, permitía el secuestro del sistema.
En paralelo, HP detectó el uso de Discord como plataforma de alojamiento para malware. Aprovechando la reputación de la aplicación, los atacantes desactivaban la protección de integridad de memoria de Windows 11 antes de desplegar Phantom Stealer, un infostealer por suscripción que roba credenciales, cookies y datos financieros. Este tipo de malware, según el análisis, se actualiza con frecuencia para evitar su detección.
“Los atacantes utilizan animaciones sofisticadas, como barras de carga falsas o solicitudes de contraseña, para dar credibilidad y urgencia a sus sitios maliciosos”, explicó Patrick Schläpfer, investigador principal del Laboratorio de Seguridad de HP. “Al mismo tiempo, recurren a malware de suscripción con funcionalidades completas y actualizaciones constantes, lo que les permite adelantarse a las soluciones basadas en detección”.
El informe también destaca el auge de los ataques centrados en el secuestro de cookies de sesión. En lugar de robar contraseñas o vulnerar la autenticación multifactor, los atacantes capturan cookies que validan sesiones ya iniciadas, accediendo directamente a sistemas sensibles. Según HP, el 57 % de las principales familias de malware detectadas en el tercer trimestre de 2025 eran infostealers con capacidad para sustraer cookies.
Los datos revelan que el 11 % de las amenazas detectadas por HP Sure Click en correos electrónicos logró evadir al menos un escáner de pasarela. Además, los archivos comprimidos representaron el 45 % de los métodos de entrega, con un aumento notable en el uso de formatos como .tar y .z. También se observó un incremento del 3 % en el uso de archivos PDF maliciosos respecto al trimestre anterior.
El Dr. Ian Pratt, director global de seguridad para sistemas personales de HP, subrayó la dificultad de anticipar cada ataque: “Dado que los atacantes abusan de plataformas legítimas, imitan marcas reconocidas y emplean trucos visuales como animaciones, incluso las tecnologías de detección más avanzadas pueden pasar por alto algunas amenazas”.
La estrategia de HP se basa en el aislamiento de amenazas dentro de contenedores seguros, lo que permite observar el comportamiento del malware sin comprometer el sistema. Esta técnica ha permitido a los clientes de HP abrir más de 55.000 millones de archivos adjuntos, páginas web y descargas sin registrar infracciones, según datos internos.
El informe completo, junto con un análisis más detallado en el blog Threat Research de HP, ofrece una visión técnica y operativa de las tácticas emergentes. Aunque las herramientas empleadas por los atacantes están al alcance de cualquier actor con recursos limitados, su combinación con técnicas visuales y plataformas legítimas plantea un desafío creciente para los equipos de seguridad.
La sofisticación no reside únicamente en el código, sino en la narrativa visual que acompaña al engaño. Y esa narrativa, cada vez más pulida, se convierte en un vector de ataque por sí misma.
