La trampa invisible: Ciberataques con PDF por mail
Los ciberataques con PDF por mail burlan filtros, imitan marcas y logran entrar donde nadie los espera
En la rutina laboral, los archivos PDF suelen pasar desapercibidos. Pero detrás de esa aparente normalidad se esconde una de las tácticas más efectivas del cibercrimen actual. Hoy, los ciberataques con PDF por mail representan una amenaza concreta y creciente. Su uso como vehículo para phishing y malware apunta directamente a explotar la confianza del usuario y las brechas en los filtros automatizados.
¿Por qué se usan los PDF?
Los PDF se envían en adjunto, por lo que pueden evadir los controles de los sistemas de detección automatizados. Si bien este formato cuenta con diversas especificaciones, los delincuentes en un principio se fijaban en las vulnerabilidades para explotarlas en su beneficio.
Con el paso del tiempo tanto los navegadores como los software de lectura y edición de PDF han venido actualizando sus métodos de detección y han reducido las vulnerabilidades presentes en el formato.
Sin embargo, los PDF se utilizan en una de las prácticas que mejor funcionan para obtener datos de los usuarios: el phishing.
Los atacantes pueden enviar un PDF como si fuera un documento oficial (de una empresa o institución gubernamental) e incluir links a páginas fraudulentas para obtener información o descargar malware en el equipo del usuario.
Pero para llegar a este punto, se requiere de algo de ingeniería social. Los atacantes ya saben previamente si el usuario está suscrito a algún servicio de streaming, es cliente de un banco específico o está interesado en hacer alguna compra particular, y luego suplantan esa identidad (la del servicio de streaming, del banco o de la tienda online).
Los delincuentes pueden por ejemplo, actuar a nombre del banco. Envían una falsa comunicación diciéndole al usuario que gracias a su perfil como cliente ha recibido una tasa de crédito preferencial y que debe hacer click en cierto enlace para validar su información.
Una vez el usuario se encuentra en ese enlace, se despliega el ataque. En muchas ocasiones la génesis de los ciberataques está en el correo electrónico oculta detrás de un aparentemente inofensivo archivo de PDF.
Aunque esta técnica es poco sofisticada, su simplicidad dificulta la detección por parte de los sistemas automatizados. El objetivo del atacante es conseguir que la víctima haga click en el enlace.
¿Cómo pasan los PDF desapercibidos?
Lo que hace que estas campañas sean difíciles de detectar es que los atacantes controlan todos los aspectos del mensaje e incluso pueden editarlo para suplantar a varias organizaciones.
Estos ataques implican interacción humana (la víctima debe hacer click en el enlace), lo que suele ser una ventaja para los atacantes. Los sistemas de detección automatizados tienen dificultades con tareas que exigen la toma de decisiones humanas.
Para evitar ser detectados, los actores de amenazas utilizan diversas técnicas. Conocerlas es fundamental para saber cómo funcionan estos ataques y cómo evitarlos:
Redireccionamiento: Los atacantes utilizan servicios de redireccionamiento como Bing, LinkedIn o las AMP de Google, para enmascarar el verdadero destino del enlace malicioso. Estos servicios (Bing, LinkedIn, etc.) por lo general están incluidos en la lista blanca de los proveedores de seguridad, lo que dificulta la detección de la amenaza por parte de los sistemas.
Códigos QR: Otra técnica consiste en agregar códigos QR en archivos PDF para que el usuario los escanee con su teléfono. Así los atacantes evitan por completo los escáneres de URL tradicionales.
Estafas telefónicas: En algunos casos, los atacantes se basan en la ingeniería social para incitar a las víctimas a llamar a un número de teléfono que aparece en el documento.
Machine learning: A medida que los sistemas de seguridad dependen cada vez más del machine learning (ML) para detectar amenazas, los atacantes encuentran formas de evadir estos modelos.
Una técnica común es agregar el texto como una imagen. En lugar de enviar el contenido de texto en el PDF, los delincuentes pueden usar un editor de imágenes, escribir allí el texto y pegar esa imagen sobre el PDF.
Los sistemas de seguridad no encuentran texto, lo que los lleva a depender del reconocimiento óptico de caracteres (OCR) que es propenso a errores.
¿Cómo mantenerse a salvo de los ataques basados en PDF?
– Chequeá siempre al remitente: Verificá que la dirección de correo coincida con la entidad que dice representar. Desconfiá si hay errores ortográficos o URLs sospechosas.
– Desconfiá de los adjuntos inesperados: Si no estabas esperando un PDF —especialmente si incluye enlaces, códigos QR o números de contacto— tratalo como sospechoso.
– Revisá la extensión real del archivo: A veces, un supuesto PDF puede ser un ejecutable disfrazado (.exe, .bin, etc.). No lo abras.
– Pasá el cursor por los enlaces antes de hacer clic: Asegurate de que la URL sea legítima. Desconfiá de links acortados o redireccionamientos.
– Usá lectores de PDF actualizados y seguros: Mantené tu software al día y evitá visores obsoletos. Desactivá JavaScript si no es necesario.
– Actualizá siempre tu sistema y herramientas de seguridad: Los parches reducen la exposición a vulnerabilidades conocidas.
– Confiá en tu instinto: Si algo no cierra —formato raro, urgencia excesiva o errores groseros— mejor no interactuar y verificar por otro canal.
Endpoint Central, todo lo que necesita para evitar esta clase de ataques
Endpoint Central es la solución de gestión unificada de endpoints (UEM) de ManageEngine. No solo cuenta con funciones de gestión masiva de dispositivos, sino que incluye potentes características de seguridad.
Parcheo: Con Endpoint Central puede automatizar el parcheo de todos los dispositivos, garantizando que todos los equipos cuentan con las últimas versiones de lectores de PDF, navegadores, antivirus, etc.
Gestión de vulnerabilidades: Identifique los posibles ataques de Zero Day y mitigue las vulnerabilidades con gestión de configuraciones de seguridad, fortalecimiento del servidor web y monitoreo constante de todos los endpoints.
Control de aplicaciones: Defina una lista blanca y negra de aplicaciones controlando qué clase de software es permitido y cuál no. Además puede bloquear todos los ejecutables (incluso si alguien descarga un .exe disfrazado de PDF, no podrá ejecutarse).
Podés leer el artículo completo en el siguiente enlace:
El 68% de los ciberataques se inician con archivos PDF en el correo electrónico