PDF e imágenes: así pueden robar tus datos con malware

Última actualización: 3 de octubre de 2025
Autor: Isaac
  • PDF e imágenes se usan en campañas de phishing con señuelos como facturas falsas y enlaces maliciosos.
  • Herramientas como MatrixPDF y técnicas de esteganografía facilitan el robo de datos y el control remoto.
  • Ataques recientes incluyen SVG que simula ser un PDF y troyanos como XWorm y Ratty.
  • Protección: desactivar JavaScript en el visor, escanear en VirusTotal, revisar metadatos y extremar la precaución con adjuntos.

Riesgos de PDF e imágenes con malware

En el día a día damos por sentado que los documentos y las fotos son inocuos, pero cada vez más campañas de phishing están explotando estos formatos para colarnos código malicioso. Lejos de los viejos trucos, hoy los atacantes logran que PDF e imágenes se conviertan en cebos que parecen legítimos, engañan al usuario y esquivan parte de las defensas.

Firmas de ciberseguridad han alertado de métodos que combinan señuelos ofimáticos, enlaces externos y cargas ocultas para robar credenciales o tomar el control del equipo. En los últimos meses se han documentado aumentos notables en campañas con PDF camuflados, esteganografía en fotografías y herramientas comerciales diseñadas para fabricar documentos trampa, lo que evidencia que las técnicas evolucionan a toda velocidad.

Qué está pasando con los PDF y las fotos

Archivos PDF e imágenes usados en ataques

Los atacantes envían correos con aparentes facturas falsas o documentos corporativos. Una técnica en auge incrusta un archivo SVG que se hace pasar por PDF (incluso imitándolo con iconos de Adobe Acrobat) para que, al abrirlo, el usuario sea redirigido a una descarga que deja el malware en el equipo.

También proliferan PDFs “limpios” a simple vista que incluyen enlaces interactivos y acciones JavaScript. Estos muestran contenido borroso y botones tipo “Ver documento seguro” para forzar el clic. Varias investigaciones señalan que, al no incorporar binarios dentro del archivo, estos señuelos pueden burlar filtros de correo y análisis automatizados hasta que el usuario pincha.

Técnicas vistas en campañas recientes

Técnicas de ataque con documentos e imágenes

Se ha confirmado el uso de esteganografía para esconder código en los píxeles de una foto. Mediante este método, una imagen aparentemente normal entrega de forma discreta la carga de troyanos como XWorm, que abren la puerta a robo de credenciales, grabación desde la webcam o desactivación de defensas del sistema.

Otra campaña, analizada en Latinoamérica, parte de un PDF disfrazado de “Factura.pdf” que redirige a un HTML malicioso. A partir de ahí, se encadena una sucesión de descargas (VBS, ZIP y CMD) hasta ejecutar un JAR con el troyano Ratty. La trampa incluye ofuscación, redirecciones y hasta un filtrado por idioma: si detecta español, activa la infección; si detecta inglés, muestra un PDF inofensivo.

Los laboratorios también han observado un repunte de campañas que utilizan SVG camuflados como PDF. En paralelo, se comercializan utilidades como MatrixPDF en foros clandestinos y canales de mensajería: permiten cargar un PDF señuelo y añadir contenido borroso, sellos falsos de “Documento seguro”, botones y JavaScript para redirigir a URLs peligrosas. Su modelo de pago por suscripción facilita que más actores adopten estos kits.

El impacto no es menor: troyanos de acceso remoto otorgan control total sobre el equipo comprometido, posibilitando capturas de pantalla, keylogging, exfiltración de archivos, grabación de audio y vídeo, y persistencia en el sistema. En manos equivocadas, un simple clic en un PDF o una foto es suficiente para ceder tus datos sin darte cuenta.

Señales de alerta al abrir PDFs o imágenes

Si te topas con un archivo dudoso, hay pistas que deberían ponerte en guardia, especialmente cuando el remitente o el contexto no encajan. Identificar estos indicios a tiempo corta el ataque antes de que empiece.

  • Sellos o logos de “Documento seguro” de baja calidad, desalineados o superpuestos de forma rara.
  • Texto borroso o ilegible con botones tipo “Ver contenido” o “Desbloquear”. Un PDF legítimo protegido pide la clave en una ventana nativa del lector.
  • Botones que, al pasar el ratón, muestran acortadores (bit.ly, t.ly) o dominios que no corresponden con la empresa.
  • Metadatos de imagen sospechosos: con ExifTool puedes detectar incoherencias o ediciones extrañas.
  • Archivos que “parecen PDF” pero en realidad son SVG u otros formatos embebidos.

Cómo protegerte

La mejor defensa combina precaución, buenas prácticas y una verificación mínima antes de abrir adjuntos. Con unos ajustes y hábitos sencillos, es posible reducir drásticamente el riesgo.

  • Desactiva JavaScript en Adobe Acrobat Reader: Edición > Preferencias > JavaScript y desmarca “Activar JavaScript de Acrobat”.
  • Escanea PDF e imágenes sospechosos en VirusTotal antes de abrirlos.
  • En Outlook u otros clientes, deshabilita la previsualización automática de adjuntos (Centro de confianza > Administración de datos adjuntos).
  • Revisa metadatos de imágenes con ExifTool cuando algo no cuadre.
  • No abras ni descargues adjuntos de origen desconocido o inesperado, aunque parezcan urgentes o “seguros”.
  • Mantén sistema y apps siempre actualizados para cerrar vulnerabilidades.
  • Pasa el ratón sobre los botones/enlaces del PDF y verifica el dominio real antes de hacer clic.
  • Cuando dudes, abre estos archivos en un entorno aislado o pide validación al remitente por un canal alternativo.

El panorama deja una idea clara: los atacantes han profesionalizado sus cebos y, ahora, documentos y fotos corrientes pueden ser el inicio de una intrusión. Con atención a los detalles, verificación previa y pequeñas medidas técnicas, es posible cortar las vías de entrada más comunes y evitar que un PDF o una imagen acabe robándote los datos.

Artículo relacionado:
Cómo saber si el iPhone tiene un virus