Un nuevo informe de HP advierte sobre la creciente sofisticación de tácticas clásicas como el living-off-the-land (LOTL) y el phishing, que están siendo refinadas por los ciberdelincuentes para evadir los sistemas de detección actuales. Estas técnicas, que aprovechan herramientas legítimas del propio sistema operativo para ejecutar acciones maliciosas, ahora se combinan con múltiples binarios poco comunes, lo que hace aún más difícil identificar comportamientos sospechosos.
El HP Threat Insights Report, basado en millones de endpoints protegidos por HP Wolf Security, analiza campañas activas entre abril y junio de 2025. Entre ellas destaca un ataque que simulaba una factura de Adobe Reader, ocultando un reverse shell dentro de una imagen SVG, con una descarga restringida a regiones de habla alemana para dificultar su análisis. Otro caso involucró el uso de archivos de ayuda de Microsoft (CHM), que escondían código malicioso en los píxeles de imágenes para luego desplegar el malware XWorm mediante una compleja cadena LOTL.
El informe también documenta el regreso de Lumma Stealer, una de las amenazas más activas del trimestre, distribuida a través de archivos comprimidos en formato IMG. Pese a una reciente operación policial contra el grupo responsable, la actividad continuó con nuevos dominios y una infraestructura reforzada para mantener sus campañas activas.
“Los atacantes no están reinventando la rueda, pero sí están perfeccionando sus métodos”, advierte Alex Holland, investigador principal de HP Security Lab. Según explica, el uso encadenado de herramientas del sistema y archivos poco convencionales, como imágenes, permite a los ciberdelincuentes sortear incluso las soluciones de seguridad más avanzadas. “No hace falta un troyano complejo si un simple script bien disfrazado puede lograr el mismo objetivo”.
El informe también subraya lo difícil que resulta diferenciar entre comportamientos legítimos y maliciosos. Durante el segundo trimestre del año, el 13 % de las amenazas por correo electrónico identificadas por HP lograron eludir al menos un escáner de puerta de enlace. Los archivos comprimidos fueron el vector de ataque más común (40 %), con los archivos .rar en cabeza (26 %), lo que refleja un uso estratégico de formatos populares para pasar desapercibidos.
Frente a este panorama, HP insiste en la necesidad de adoptar una defensa en profundidad. Su solución, HP Wolf Security, permite ejecutar posibles amenazas en contenedores aislados, lo que ha permitido analizar más de 55.000 millones de archivos sin que se hayan registrado brechas. “Incluso los mejores sistemas de detección fallan a veces”, recuerda Ian Pratt, jefe global de Seguridad para Sistemas Personales en HP. “Por eso es clave anticiparse a los ataques, no solo reaccionar a ellos”.
