• Phishing con archivos PDF: cómo los ciberdelincuentes aprovechan los documentos PDF en los ataques actuales por correo electrónico

Phishing con archivos PDF: cómo los ciberdelincuentes aprovechan los documentos PDF en los ataques actuales por correo electrónico

Blog

Descubre cómo funciona el phishing mediante archivos PDF, cómo los atacantes ocultan enlaces maliciosos y formularios de credenciales en los archivos PDF, y cómo protegerte de los ataques mediante archivos PDF recibidos por correo electrónico.

por Ahona Rudra

Última actualización:
Tiempo de lectura: 9 minutos
Phishing con archivos PDF: cómo los ciberdelincuentes aprovechan los documentos PDF en los ataques actuales por correo electrónico
Índice-

Puntos clave

  • El phishing mediante archivos PDF es una técnica de ataque por correo electrónico en rápido crecimiento en la que los ciberdelincuentes ocultan enlaces maliciosos, códigos QR o formularios de credenciales dentro de archivos PDF adjuntos que parecen legítimos.
  • Los atacantes se aprovechan de la confianza que la gente deposita en los archivos PDF, camuflando los documentos de phishing como facturas, contratos, formularios de recursos humanos o avisos de entrega para engañar a los usuarios y que interactúen con ellos.
  • Los elementos maliciosos presentes en los archivos PDF, como las URL incrustadas, los códigos QR, los botones y los scripts, pueden redirigir a las víctimas a sitios web diseñados para robar credenciales, lo que permite el secuestro de cuentas, el fraude financiero o el compromiso del correo electrónico corporativo.
  • Estos ataques son más difíciles de detectar porque muchas herramientas de seguridad se centran en los enlaces del cuerpo del correo electrónico, en lugar de analizar en profundidad los archivos adjuntos y las acciones que estos contienen.
  • La defensa contra el phishing mediante archivos PDF requiere un enfoque por capas, que incluya una autenticación sólida del correo electrónico (SPF, DKIM, DMARC), un entorno aislado avanzado para archivos adjuntos, protección de URL y formación continua en materia de seguridad para los empleados.

Los archivos PDF son el motor de las empresas modernas. Tienen un aspecto oficial, son fáciles de compartir y gozan de confianza generalizada para contratos, facturas, formularios de recursos humanos e informes financieros. Sin embargo, precisamente esta familiaridad los ha convertido en una de las armas más poderosas del arsenal de los ciberdelincuentes.

Esto ha dado lugar al rápido auge del phishing mediante archivos PDF, una técnica en la que se utilizan archivos PDF aparentemente inofensivos para eludir las defensas y engañar a las víctimas para que revelen sus credenciales. Esta guía completa explica cómo funciona el phishing mediante archivos PDF, por qué es tan eficaz, las últimas técnicas que utilizan los atacantes y las medidas concretas que debe adoptar su organización para protegerse contra él.

¿Qué es el phishing con archivos PDF?

El phishing mediante PDF es un tipo de ciberataque en el que se envía un archivo PDF malicioso como archivo adjunto de un correo electrónico. A diferencia del phishing tradicional, en el que el cuerpo del correo electrónico contiene un enlace fraudulento, el phishing mediante PDF integra el vector de ataque directamente en el documento. El objetivo sigue siendo el mismo: engañar al destinatario para que revele información confidencial, como credenciales de inicio de sesión, datos financieros o datos personales.
Estos ataques están diseñados para integrarse perfectamente en las operaciones empresariales cotidianas, y a menudo se disfrazan de:

  • Facturas vencidas o confirmaciones de pago
  • Pedidos urgentes
  • Acuerdos legales o contratos que requieren una firma
  • Documentos de recursos humanos, como resúmenes de prestaciones o actualizaciones de nóminas
  • Notificaciones de envío o avisos de entrega fallida

Dentro del PDF, los atacantes utilizan diversos métodos —enlaces incrustados, formularios rellenables o códigos QR— para redirigir a las víctimas a sitios web falsos, pero muy convincentes, destinados a robar sus credenciales.

Una vez que la víctima introduce sus datos, las consecuencias pueden ser graves:

  • Hackeo de cuentas de correo electrónico: los atacantes obtienen acceso a las comunicaciones internas
  • Fraude financiero: Pueden realizar transferencias bancarias fraudulentas o modificar los datos de la domiciliación bancaria.
  • Suplantación de identidad en el correo electrónico empresarial (BEC): La cuenta comprometida se utiliza para dirigirse a otros empleados, socios o clientes.
  • Robo de identidad: La información personal sustraída puede venderse o utilizarse para cometer otros delitos.
  • Movimiento lateral: La cuenta comprometida sirve de punto de apoyo para desplegar malware o ransomware más peligroso dentro de la red.

¿Por qué los atacantes prefieren los archivos PDF adjuntos?

El giro hacia el phishing mediante archivos PDF no es casual; se trata de una estrategia calculada que responde al refuerzo de la seguridad del correo electrónico y a la psicología humana.

1. Aprovechar la confianza y la profesionalidad inherentes

Los archivos PDF son el formato estándar para la documentación oficial. Cuando un empleado recibe un archivo PDF adjunto que parece proceder de un proveedor o compañero conocido, baja naturalmente la guardia. Los atacantes se aprovechan de esta confianza copiando meticulosamente los logotipos, las fuentes y el lenguaje corporativos para que sus documentos falsos sean indistinguibles de los auténticos.

2. Desplazar la superficie de ataque hacia el archivo adjunto

Muchas pasarelas de seguridad de correo electrónico son excelentes a la hora de analizar el texto y los enlaces del cuerpo de un correo electrónico. Sin embargo, analizar el contenido de un archivo adjunto es más complejo y requiere más recursos. Al colocar el enlace malicioso dentro de un PDF, los atacantes desplazan de hecho la superficie de ataque a un lugar que puede estar menos vigilado. El correo electrónico en sí mismo puede parecer inofensivo, ya que solo contiene una simple línea como: «Adjunto encontrará el documento solicitado».

3. Ocultar la carga útil a plena vista

Los archivos PDF ofrecen múltiples capas en las que se puede ocultar un enlace malicioso:

  • Texto con hipervínculo: Una frase aparentemente inofensiva como «Haga clic aquí para ver la factura» está vinculada a un sitio web malicioso.
  • Botones y elementos interactivos: Los botones integrados se pueden programar para que abran una URL al hacer clic en ellos.
  • Superposiciones gráficas: los atacantes pueden colocar un enlace invisible sobre la imagen de un botón, de modo que cualquier clic en esa zona active la redirección.
  • Códigos QR incrustados: esta técnica, conocida como «quishing», está experimentando un rápido crecimiento. Elude por completo el análisis de enlaces, ya que la URL está codificada en una imagen y nunca aparece en forma de texto.

4. Eludir las comprobaciones de reputación de las URL

Cuando un usuario hace clic en un enlace de un correo electrónico, este suele compararse en tiempo real con una lista de sitios maliciosos conocidos. Sin embargo, cuando un usuario escanea un código QR desde un PDF en su dispositivo móvil, es posible que esa comprobación en tiempo real no se lleve a cabo, o que se realice fuera del perímetro de seguridad de la empresa, lo que permite que el ataque tenga éxito.

Cómo funciona el phishing con archivos PDF

Comprender los mecanismos subyacentes ayuda a crear mejores defensas.

Análisis de un vector de ataque malicioso mediante PDF

La estructura de un PDF malicioso

Un PDF es, en esencia, un contenedor de texto, fuentes, imágenes y elementos interactivos. Los atacantes manipulan esta estructura de varias maneras:

  • La acción /OpenAction: se trata de un elemento clave de la especificación PDF que permite que un documento realice automáticamente una acción al abrirse, como abrir una página web. Aunque los lectores de PDF modernos suelen advertir a los usuarios antes de ejecutar esta acción, los atacantes pueden combinarla con técnicas de ingeniería social, por ejemplo: «Pulsa Aceptar para ver el documento seguro».
  • Acciones URI (Identificador Uniforme de Recursos): Este es el método más habitual. Se asigna una acción URI a una cadena de texto o a un objeto dentro del PDF. Cuando un usuario interactúa con ella, el lector de PDF abre el navegador predeterminado y accede al enlace incrustado.
  • JavaScript: Los archivos PDF pueden contener código JavaScript incrustado. Aunque a menudo se utiliza para formularios interactivos legítimos, los atacantes pueden aprovecharlo para manipular el documento, ocultar elementos o provocar redireccionamientos de formas que resultan más difíciles de detectar para las herramientas de análisis estático.

Las firmas digitales en archivos PDF: una confianza que puede ser objeto de abuso

Los archivos PDF suelen contener firmas digitales, que son marcadores criptográficos utilizados para verificar la identidad del firmante y confirmar que el documento no ha sido alterado. En los flujos de trabajo empresariales legítimos, los archivos PDF firmados digitalmente se utilizan para contratos, documentos de contratación pública, informes de cumplimiento normativo y aprobaciones financieras, ya que ofrecen una verificación a prueba de manipulaciones.

En ocasiones, los atacantes se aprovechan de la percepción de confianza que generan las firmas en los archivos PDF en sus campañas de phishing. Un PDF malicioso puede mostrar lo que parece ser un bloque de firma válido, un sello de la empresa o un banner que indique «documento verificado» para convencer a los destinatarios de que el archivo es auténtico. En realidad, esta firma visible puede ser simplemente una imagen o un gráfico, en lugar de una verdadera firma criptográfica. Dado que muchos usuarios asocian los documentos firmados con la legitimidad, este truco visual puede hacer que los archivos PDF de phishing resulten mucho más convincentes.
Por este motivo, las organizaciones deben formar a sus empleados para que verifiquen las firmas utilizando las herramientas de validación de firmas de su lector de PDF, en lugar de confiar únicamente en las imágenes de las firmas.

Técnicas y ejemplos habituales de phishing con archivos PDF

Los atacantes innovan constantemente, pero hay varias técnicas que siguen siendo habituales.

Técnicas y ejemplos de phishing con archivos PDF

1. La factura falsa con el botón «Ver documento»

Este es el clásico. El asunto del correo electrónico es urgente: «Factura vencida de [nombre del proveedor]». El PDF adjunto muestra un resumen de la factura con aspecto profesional, pero los detalles están borrosos o faltan. Un botón grande y destacado dice «VER FACTURA» o «DESCARGAR PDF». Al hacer clic en este botón, se accede a una página de phishing que imita a Microsoft 365, Google Drive o el portal del proveedor, diseñada para robar tus credenciales.

2. La pantalla de inicio de sesión «Documento protegido»

Esta técnica se aprovecha de la sensación de seguridad del usuario. El PDF muestra un mensaje del tipo: «Este documento está protegido con contraseña. Inicie sesión con su correo electrónico para verificar su identidad y ver el contenido». Debajo aparece un formulario de inicio de sesión integrado directamente en el PDF. Cuando el usuario introduce sus credenciales, los datos se envían a un servidor controlado por el atacante o, bien, el propio PDF puede estar diseñado para sustraer los datos al hacer clic en el botón «Enviar».

3. Suplantación de identidad mediante códigos QR («quishing»)

Se trata de una táctica de suplantación de identidad que está ganando terreno rápidamente. Un archivo PDF puede contener un aviso sobre una nueva política de la empresa o una actualización de la autenticación de dos factores (2FA), acompañado de un código QR que se pide a los empleados que escaneen con sus teléfonos. Al escanear el código, se accede a una página de inicio de sesión falsificada. Dado que el usuario utiliza su dispositivo personal, es posible que este carezca de los controles de seguridad corporativos, y la URL inicial queda oculta, lo que dificulta su identificación como maliciosa.

4. Ataques híbridos de VBA y PDF

En campañas más sofisticadas, un archivo PDF puede contener un enlace que no redirige directamente a una página de phishing. En su lugar, descarga un archivo, como un .docm (documento de Word con macros habilitadas). A continuación, ese documento ejecuta un script que descarga la página de phishing definitiva o la carga útil del malware. Este enfoque por etapas ayuda a eludir la detección inicial.

Por qué el phishing mediante archivos PDF es más difícil de detectar

El paso a los archivos PDF supone un importante punto ciego para muchas organizaciones.

  • Puntos ciegos en la detección: Muchos filtros de correo electrónico heredados están optimizados para el análisis basado en texto. Les cuesta analizar la estructura binaria de un PDF, extraer todos los enlaces incrustados y, a continuación, analizar el contenido de esas páginas enlazadas.
  • La ofuscación es fácil: los atacantes pueden ofuscar fácilmente las URL. Un enlace puede dividirse en partes y volver a ensamblarse mediante JavaScript, o la URL puede ocultarse tras una codificación no estándar dentro del PDF.
  • El problema de los PDF «inofensivos»: los materiales de marketing, los boletines informativos y los documentos empresariales legítimos suelen enviarse en formato PDF con enlaces incrustados. Las herramientas de seguridad deben distinguir entre un PDF inofensivo procedente de un remitente conocido y uno malicioso enviado por alguien que se hace pasar por él, una tarea que requiere un análisis contextual avanzado.
  • Evasión en varias etapas: es posible que la URL maliciosa no esté activa en el momento del análisis. Los atacantes pueden crear una página que muestre un mensaje inofensivo del tipo «En construcción» a los rastreadores de seguridad, pero que redirija a los usuarios reales a un sitio de phishing unos instantes después.

Señales de alerta: cómo detectar un PDF malicioso

Formar a los empleados para que se mantengan escépticos es la última línea de defensa. Se les debe enseñar a estar atentos a:

  • Remitentes inesperados: una factura de una empresa con la que no tienes relación comercial, o un documento de Recursos Humanos cuando no es la época de inscripción.
  • Saludos genéricos: Es posible que el PDF se abra con «Estimado cliente» o «Estimado usuario» en lugar de su nombre.
  • Urgencia y miedo: Frases como «Tu cuenta será suspendida» o «Se requiere un pago inmediato» son una táctica clásica de phishing.
  • Solicitudes de credenciales de inicio de sesión: Las empresas legítimas casi nunca te piden que introduzcas tu contraseña para ver un documento compartido.
  • Enlaces que no coinciden: En un ordenador, pasa el cursor por encima de cualquier enlace o botón del PDF sin hacer clic. La URL de destino real aparecerá en la barra de estado de tu lector de PDF. Si el texto dice «Ver factura», pero el enlace apunta a un dominio sospechoso o con errores ortográficos (por ejemplo, secure-login.company-update[.]com), se trata de un intento de phishing.
  • Mensajes inusuales: si el PDF te pide que actives funciones, ejecutes macros o le permitas conectarse a un servicio externo, desconfía totalmente.

Cómo pueden las organizaciones prevenir el phishing mediante archivos PDF

Para hacer frente a esta amenaza es necesaria una defensa proactiva y en múltiples niveles.

1. Refuerza tu perímetro con la autenticación de correo electrónico

Implemente protocolos de autenticación de correo electrónico para evitar la suplantación de dominios.

  • SPF (Sender Policy Framework): especifica qué servidores están autorizados a enviar correos electrónicos desde tu dominio.
  • DKIM (DomainKeys Identified Mail): añade una firma digital a tus correos electrónicos para verificar que no han sido manipulados.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): indica a los servidores receptores qué deben hacer si un correo electrónico que afirma proceder de tu dominio no supera las comprobaciones de SPF o DKIM (por ejemplo, ponerlo en cuarentena o rechazarlo). Esto dificulta considerablemente que los atacantes se hagan pasar por tus marcas de confianza.

2. Implementar el análisis y el entorno de pruebas avanzados para archivos adjuntos

Tu pasarela de seguridad de correo electrónico debe ir más allá del simple análisis de archivos. Busca soluciones que ofrezcan:

  • Análisis de PDF y extracción de enlaces: La herramienta debe abrir el PDF en un entorno virtual seguro («sandbox») para extraer y analizar todas las URL, botones y scripts incrustados.
  • Visión artificial: Las herramientas basadas en inteligencia artificial pueden utilizar la visión artificial para «leer» el texto de una imagen en formato PDF (como un código QR o un botón) y analizarlo en busca de intenciones maliciosas, tal y como lo haría una persona.
  • Análisis de comportamiento: El entorno de pruebas puede hacer clic en todos los enlaces para ver a dónde conducen, analizando la página de destino final en busca de indicios de robo de credenciales.

3. Implementar una protección sólida de las URL

Asegúrate de que tus herramientas de seguridad ofrezcan protección de enlaces en tiempo real que vaya más allá del clic inicial. Incluso si un usuario hace clic en un enlace de un PDF, la solución debe comparar la URL de destino con información actualizada sobre amenazas y bloquear el acceso si resulta ser maliciosa.

4. Formación continua en materia de seguridad para los empleados

La tecnología no es la panacea. Es fundamental impartir una formación periódica y atractiva.

  • Campañas de phishing simuladas: envía correos electrónicos falsos de phishing en formato PDF a tus empleados para poner a prueba su nivel de concienciación y ofrecerles comentarios inmediatos.
  • Módulos de formación específicos: Crea cursos de formación que traten específicamente sobre el «quishing», cómo pasar el cursor por encima de los enlaces en archivos PDF y cómo informar sobre archivos adjuntos sospechosos.
  • Mecanismos de notificación claros: Facilita al máximo a los empleados la notificación de correos electrónicos sospechosos con un solo clic (por ejemplo, un botón «Denunciar phishing» en Outlook).

5. Búsqueda proactiva de amenazas

Esté atento a los dominios recién registrados que sean similares al nombre de su empresa o al de sus principales proveedores. Los atacantes suelen crear estos dominios poco antes de lanzar una campaña. Además, vigile su marca en Internet para detectar páginas de inicio de sesión falsas diseñadas para robar las credenciales de sus empleados.

Palabras finales

El phishing mediante archivos PDF es una amenaza grave y creciente, ya que se aprovecha de la confianza que depositamos en un formato de archivo tan extendido. Al trasladar la carga maliciosa del cuerpo del correo electrónico al archivo adjunto, los atacantes han encontrado una forma fiable de eludir las defensas tradicionales y engañar incluso a los usuarios más cautelosos.

Para hacer frente a esta amenaza es necesaria una estrategia moderna de defensa en profundidad. Las organizaciones deben ir más allá del simple filtrado de correo electrónico e invertir en análisis avanzado de archivos adjuntos, detección proactiva de amenazas y una cultura de concienciación sobre la seguridad en la que cada empleado actúe como un sensor fundamental. En el cambiante juego del gato y el ratón que es la ciberseguridad, comprender cómo los atacantes utilizan como arma herramientas cotidianas como los archivos PDF es el primer paso, y el más importante, para construir una defensa resistente.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
El papel de la formación corporativa en línea en la simulación de phishingVerificado por Gmail frente a Verificado por Google«Gmail Verificado» frente a «Google Verificado»: ¿en qué se diferencian?