{"id":201756,"date":"2026-06-23T12:04:50","date_gmt":"2026-06-23T12:04:50","guid":{"rendered":"http:\/\/cordobadirecto.com\/index.php\/2026\/06\/23\/asi-funciona-esta-nueva-estafa-que-te-roba-a-traves-de-whatsapp-no-caigas-en-la-trampa\/"},"modified":"2026-06-23T12:04:50","modified_gmt":"2026-06-23T12:04:50","slug":"asi-funciona-esta-nueva-estafa-que-te-roba-a-traves-de-whatsapp-no-caigas-en-la-trampa","status":"publish","type":"post","link":"http:\/\/cordobadirecto.com\/index.php\/2026\/06\/23\/asi-funciona-esta-nueva-estafa-que-te-roba-a-traves-de-whatsapp-no-caigas-en-la-trampa\/","title":{"rendered":"As\u00ed funciona esta nueva estafa que te roba a trav\u00e9s de WhatsApp: no caigas en la trampa"},"content":{"rendered":"<div>\n<img decoding=\"async\" loading=\"lazy\" width=\"1600\" height=\"900\" src=\"https:\/\/www.redeszone.net\/app\/uploads-redeszone.net\/2026\/06\/whatsapp-pantalla-telefono.jpg\"><\/p>\n<p>Los piratas inform\u00e1ticos utilizan los <a href=\"https:\/\/www.redeszone.net\/tutoriales\/seguridad\/tipos-phishing-movil-seguridad\/\">ataques de phishing<\/a> para robar contrase\u00f1as, datos personales o hacer que la v\u00edctima instale un malware. Pueden distribuirlos a trav\u00e9s de correos electr\u00f3nicos, SMS o WhatsApp, como es el caso del que vamos a hablar. Se trata de una campa\u00f1a maliciosa en la que utilizan <strong>documentos comerciales falsos<\/strong> para infectar un equipo.<\/p>\n<h2>Ataque de phishing en WhatsApp<\/h2>\n<p>Con estos mensajes de phishing los atacantes est\u00e1n enviando archivos VBScript, lo que podr\u00eda permitir que un atacante obtuviera acceso remoto al sistema. Est\u00e1n utilizando archivos que tienen nombres de documentos comerciales y financieros. Para ello utilizan cuentas comprometidas. La campa\u00f1a ha sido detectada por parte de <strong>Kaspersky<\/strong>, como puedes ver en su <a href=\"https:\/\/securelist.com\/whatsapp-vbs-rmm-campaign\/120290\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">publicaci\u00f3n con fecha de 22 de junio<\/a>.<\/p>\n<p>Si la v\u00edctima descarga y ejecuta esos archivos, el destinatario va a iniciar una cadena que deriva en la instalaci\u00f3n del <strong>ManageEngine Endpoint Central<\/strong> leg\u00edtimo. Esto lo utilizan los administradores de TI para administrar sistemas desde un panel centralizado.<\/p>\n<p>Hay varios puntos que hacen que esta <strong>campa\u00f1a maliciosa<\/strong> sea especialmente peligrosa y pueda tener \u00e9xito:<\/p>\n<ul>\n<li>Los mensajes llegan desde un contacto conocido.<\/li>\n<li>Env\u00edan un archivo que parece leg\u00edtimo.<\/li>\n<li>Se instala software leg\u00edtimo para controlar el equipo.<\/li>\n<\/ul>\n<p>Por tanto, estamos ante un problema que se aprovecha de la<strong> confianza interpersonal<\/strong>. Es m\u00e1s probable que abras un archivo que te ha enviado un familiar o un amigo, que si ese mismo documento llega de un n\u00famero desconocido. Adem\u00e1s, el malware ya no parece tan malware. Ya no es tan f\u00e1cil de detectar.<\/p>\n<p>El software <strong>se instala y ejecuta en segundo plano<\/strong>, por lo que no vas a ser consciente del problema inicialmente. Sin embargo, est\u00e1 conectado a servidores de administraci\u00f3n controlados por el atacante y le otorga as\u00ed acceso remoto.<\/p>\n<p>Este problema afecta a varios pa\u00edses, como informan desde Kaspersky, entre los que se encuentra Espa\u00f1a. Tambi\u00e9n otros muy variados como Reino Unido, Malasia, Australia, Taiw\u00e1n, Brasil o M\u00e9xico.<\/p>\n<div class=\"gaz-tablepress \">\n<div class=\"child-table\">\n<div class=\"tablepress-table-name tablepress-table-name-id-1559\"><b>Cadena de infecci\u00f3n de esta campa\u00f1a<\/b><\/div>\n<table id=\"tablepress-1559\" class=\"tablepress table-block block-collapse-amp tablepress-id-1559\">\n<thead>\n<tr class=\"row-1 odd\">\n<th class=\"column-1\">Fase<\/th>\n<th class=\"column-2\">Acci\u00f3n del atacante<\/th>\n<th class=\"column-3\">Evidencia \/ Indicador<\/th>\n<\/tr>\n<\/thead>\n<tbody class=\"row-hover\">\n<tr class=\"row-2 even\">\n<td class=\"column-1\">1. Recepci\u00f3n<\/td>\n<td class=\"column-2\">Mensaje de WhatsApp desde contacto comprometido con archivo .vbs disfrazado de documento comercial<\/td>\n<td class=\"column-3\">Archivo con doble extensi\u00f3n (.pdf.vbs) o nombre enga\u00f1oso<\/td>\n<\/tr>\n<tr class=\"row-3 odd\">\n<td class=\"column-1\">2. Ejecuci\u00f3n<\/td>\n<td class=\"column-2\">El usuario abre el archivo y se ejecuta VBScript ofuscado<\/td>\n<td class=\"column-3\">Proceso wscript.exe o cscript.exe con l\u00ednea de comandos inusual<\/td>\n<\/tr>\n<tr class=\"row-4 even\">\n<td class=\"column-1\">3. Descarga<\/td>\n<td class=\"column-2\">El script descarga silenciosamente el instalador MSI de ManageEngine Endpoint Central<\/td>\n<td class=\"column-3\">Conexi\u00f3n HTTPS saliente a servidor de ManageEngine<\/td>\n<\/tr>\n<tr class=\"row-5 odd\">\n<td class=\"column-1\">4. Instalaci\u00f3n<\/td>\n<td class=\"column-2\">Se instala el agente leg\u00edtimo con par\u00e1metros de servidor del atacante<\/td>\n<td class=\"column-3\">Nuevo servicio &#8216;ManageEngine Endpoint Central Agent&#8217; o similar<\/td>\n<\/tr>\n<tr class=\"row-6 even\">\n<td class=\"column-1\">5. Control remoto<\/td>\n<td class=\"column-2\">El atacante obtiene acceso remoto completo y persistente<\/td>\n<td class=\"column-3\">Comunicaciones peri\u00f3dicas en puertos 8383\/8027 a IP maliciosa<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n<h2>C\u00f3mo protegerte<\/h2>\n<p>Nunca debes abrir archivos sospechosos por WhatsApp y que tengan <strong>extensiones raras<\/strong>. Algunas de las m\u00e1s usadas son estas:<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los piratas inform\u00e1ticos utilizan los ataques de phishing para robar contrase\u00f1as, datos personales o hacer que la v\u00edctima instale un malware. Pueden distribuirlos a trav\u00e9s de correos electr\u00f3nicos, SMS o WhatsApp, como es el caso del que vamos a hablar. Se trata de una campa\u00f1a maliciosa en la que utilizan documentos comerciales falsos para infectar [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/201756"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=201756"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/201756\/revisions"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=201756"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=201756"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=201756"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}