Una nueva modalidad de phishing ha encendido las alarmas entre profesionales y pequeñas empresas. Los delincuentes han encontrado una forma ingeniosa de crear una estafa gracias a documentos de Microsoft Word dañados para ejecutar sus engaños, y aunque pueda parecer un método rudimentario, su nivel de sofisticación está poniendo a prueba incluso los sistemas de seguridad más avanzados.
Esta estafa está causando gran preocupación, especialmente entre autónomos y pequeñas gestorías, quienes suelen ser más vulnerables por sus recursos limitados en ciberseguridad. Si gestionas documentos digitales de forma habitual, presta atención a lo que podrías estar enfrentándote.
¿Cómo operan estas estafas de phishing?
La trampa comienza con un correo electrónico aparentemente legítimo que, en la mayoría de los casos, simula ser enviado desde áreas como recursos humanos o administración de empresas. Los asuntos de estos correos suelen mencionar inquietudes financieras o laborales, como “Pagos pendientes” o “Bonificaciones anuales”. Su objetivo es captar la atención y urgencia del destinatario.
En el interior del correo, se adjunta un archivo de Word con contenido dañado. Al intentar abrirlo, el usuario se encuentra con un mensaje de que el contenido es ilegible. Aquí es cuando Microsoft Word ofrece recuperar el documento, una funcionalidad inocente que los hackers han sabido explotar.
Una vez que el archivo es “reparado”, el contenido revelado no es más que una supuesta indicación para escanear un código QR. Si el usuario lo hace, es redirigido a una página web falsa que imita el inicio de sesión de Microsoft. En ese momento, las credenciales del usuario están comprometidas. Este enfoque es una evolución del uso clásico de enlaces engañosos, aprovechando que los códigos QR aún no generan la misma desconfianza.
¿Qué hace esta estafa tan peligrosa?
El factor distintivo de esta estafa radica en su capacidad para burlar las medidas de seguridad informática. Los archivos corruptos son especialmente difíciles de identificar por los antivirus. Según analistas, no contienen malware propiamente dicho hasta que el usuario ejecuta la recuperación en Word. Este vacío técnico les permite sortear barreras de defensa avanzadas.
Para agravar la situación, pruebas realizadas en plataformas como VirusTotal muestran que la mayoría de los antivirus no detecta estos archivos como peligrosos. Esto los convierte en una herramienta peligrosa, incluso en entornos corporativos que cuentan con robustos sistemas de seguridad.
Al desplegar este método, los atacantes logran que sus correos eviten ser automáticamente categorizados como spam o peligrosos. Todo este esquema pone de relieve la enorme capacidad de adaptación de los ciberdelincuentes.
El perfil de las víctimas más frecuentes
Este tipo de ataque parece estar particularmente enfocado en autónomos, bufetes pequeños y empresas de asesoría. Estas organizaciones suelen manejar documentos sensibles relacionados con pagos y clientes, lo que las convierte en objetivos apetecibles. A diferencia de las grandes corporaciones, estas entidades no siempre tienen acceso a costosas soluciones de ciberseguridad ni personal especializado para supervisar sus sistemas.
Además, muchos de estos negocios gestionan trámites administrativos que implican un constante intercambio de archivos y correos electrónicos, aumentando aún más su exposición al riesgo a estas estafas por internet.
Claves para evitar caer en la trampa
Los expertos en ciberseguridad recomiendan medidas preventivas que pueden marcar la diferencia. Algunas de las más destacables son:
- Desconfía de correos inesperados: Antes de abrir cualquier archivo adjunto, verifica la legitimidad del remitente. Especialmente si el mensaje incluye asuntos urgentes o financieros.
- Evita escanear códigos QR desconocidos: Aunque parezcan seguros, los códigos QR pueden redirigirte a sitios maliciosos a través de lo que se conoce en el mundo de la ciberseguridad como Quishing.
- Capacitación en ciberseguridad: Tanto autónomos como empleados de pequeñas empresas deberían recibir formación básica que les permita identificar intentos de phishing.
Un pequeño alivio fiscal si eres víctima
En el desafortunado caso de caer en este tipo de estafa, existe al menos un respiro desde el punto de vista fiscal. La Dirección General de Tributos señala que es posible deducir las pérdidas económicas derivadas de estas estafas en la declaración del IRPF.
Para beneficiarte de esta deducción, es crucial contar con pruebas que respalden la pérdida, como denuncias en comisaría, movimientos bancarios que echen luz sobre el fraude y otra documentación que lo acredite. No obstante, este beneficio fiscal sólo aplica si las pérdidas no están relacionadas con consumos regulares o actividades lucrativas.
Estas tácticas fraudulentas nos recuerdan la importancia de permanecer alerta y adoptar medidas de precaución en el entorno digital. Cada vez más, los ciberdelincuentes perfeccionan sus estrategias y buscan aprovechar los descuidos más pequeños para causar grandes daños.
