El más reciente Informe de inteligencia sobre amenazas cibernéticas de HP destaca los sitios web de viajes falsos con banners maliciosos para el consentimiento de cookies, que se utilizan para tomar el control de los dispositivos de quienes reservan vacaciones.
El más reciente Informe de inteligencia sobre amenazas cibernéticas de HP destaca los sitios web de viajes falsos con banners maliciosos para el consentimiento de cookies, que se utilizan para tomar el control de los dispositivos de quienes reservan vacaciones.
Seguridad

“Cuidado con las cookies”: HP advierte sobre sitios falsos de viajes que instalan malware antes de las vacaciones

Una investigación de HP Wolf Security descubre sitios web de reserva de viajes falsos, con ventanas emergentes de cookies maliciosas dirigidas a los turistas antes de las vacaciones de verano.

Photo of Redacción de ITSitio Redacción de ITSitio Send an email junio 24, 2025
3 minutos de lectura

HP Inc. publicó su más reciente Informe de inteligencia sobre amenazas cibernéticas, que muestra cómo los atacantes siguen aprovechándose del “cansancio por clics” de los usuarios, en especial durante los momentos de navegación rápida y urgente, como la reserva de ofertas de viajes.

Con base en el análisis de los ciberataques en el mundo real, el informe ayuda a que las organizaciones se mantengan al día con las últimas técnicas utilizadas por los ciberdelincuentes para evadir la detección y vulnerar la seguridad de las PCs en el cambiante panorama de la ciberdelincuencia.

El informe detalla una investigación sobre dominios sospechosos, relacionada con una campaña previa basada en CAPTCHA, que descubrió sitios web falsos dedicados a la reserva de viajes. Los sitios falsificados presentan una imagen de marca que imita a una conocida plataforma de reservas de viaje, pero con el contenido difuminado, así como un banner de cookies engañoso, diseñado para inducir a los usuarios a hacer clic en “Aceptar”, con lo cual desencadenan la descarga de un archivo JavaScript malicioso.

Publicaciones relacionadas

El troyano XWorm y sus capacidades de control remoto

Al abrir el archivo, se instala XWorm, un troyano de acceso remoto (RAT), que brinda a los atacantes el control total del dispositivo, incluido el acceso a los archivos, las cámaras web y los micrófonos, así como la capacidad de implementar más malware o deshabilitar herramientas de seguridad.

La campaña se detectó por primera vez en el primer trimestre de 2025 y coincide con el periodo más alto de reservas para las vacaciones de verano, una época en la que los usuarios son especialmente vulnerables a los señuelos relacionados con los viajes. Sin embargo, esta campaña permanece activa, y se siguen registrando y utilizando nuevos dominios para ofrecer el mismo señuelo relacionado con las reservas.

El informe muestra que los agentes de amenazas utilizan archivos de la Biblioteca de Windows para disfrazar el software malicioso como archivos PDF dentro de carpetas locales que tienen un aspecto familiar, tales como: “Documentos”.
El informe muestra que los agentes de amenazas utilizan archivos de la Biblioteca de Windows para disfrazar el software malicioso como archivos PDF dentro de carpetas locales que tienen un aspecto familiar, tales como: “Documentos”.

Patrick Schläpfer, investigador principal de amenazas cibernéticas en el laboratorio de seguridad de HP, explica:  «Desde la introducción de las normativas de privacidad como el RGPD, las solicitudes para aceptar cookies se han normalizado tanto que la mayoría de los usuarios han adquirido el hábito de hacer clic primero y pensar después. Al imitar la apariencia de un sitio web de reservas en un momento en el que los turistas se apresuran a planificar sus viajes, los atacantes no necesitan técnicas avanzadas: basta con una solicitud oportuna y el instinto del usuario para hacer clic”.

Archivos disfrazados y nuevos métodos de distribución de malware

Con base en los datos de millones de dispositivos de punto final que ejecutan HP Wolf Security, los investigadores de amenazas cibernéticas de HP también descubrieron:

  • Archivos impostores ocultos a simple vista: los atacantes utilizaron archivos de la Biblioteca de Windows para introducir malware en carpetas locales de aspecto familiar, como “Documentos” o “Descargas”. A las víctimas se les presentaba una ventana emergente del Explorador de Windows que exhibía una carpeta WebDAv remota, con un acceso directo similar a un PDF, que ejecutaba el malware al hacer clic.
  • Trampa de PowerPoint que imita la apertura de una carpeta: un archivo de PowerPoint malicioso, abierto en modo de pantalla completa, simula la apertura de una carpeta estándar. Al hacer clic en la tecla escape, se activa la descarga de un archivo comprimido que contiene un VBScript y un ejecutable, con lo cual se extrae una carga útil alojada en GitHub para infectar el dispositivo.
  • Instaladores MSI en auge: los instaladores MSI se encuentran ahora entre los principales tipos de archivos utilizados para distribuir malware, impulsados principalmente por campañas de ChromeLoader. Con frecuencia distribuidos a través de sitios web de software falsificados y publicidad maliciosa, estos instaladores utilizan certificados de firma de código válidos y emitidos recientemente para parecer confiables y eludir así las advertencias de seguridad de Windows.

Al aislar las amenazas que logran evadir las herramientas de detección en las PCs —y permitir que el malware se ejecute de forma segura dentro de contenedores seguros— HP Wolf Security obtiene información detallada sobre las técnicas más recientes utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 50,000 millones de archivos adjuntos de correo electrónico y páginas web, y han descargado archivos sin que se hayan reportado infracciones.

El Dr. Ian Pratt, jefe de seguridad de Sistemas Personales de HP Inc., comentó “Los usuarios se están volviendo cada vez más insensibles a las ventanas emergentes y las solicitudes de permiso, lo que facilita el ingreso de los atacantes. Por lo general, no son técnicas sofisticadas, sino momentos de rutina que sirven para atrapar a los usuarios. Entre más expuestos estén los usuarios a estas interacciones, mayor será el riesgo. Aislar los momentos de alto riesgo, como hacer clic en un contenido no confiable, ayuda a las empresas a reducir su superficie de ataque sin tener que predecir todos los ataques”.

Visita el Blog de Investigación de amenazas cibernéticas de HP para ver el informe.

Leer mas

Autor

Etiquetas
Photo of Redacción de ITSitio Redacción de ITSitio Send an email junio 24, 2025
3 minutos de lectura
[mdx-adserve-bstreet region="MED"]
Photo of Redacción de ITSitio

Redacción de ITSitio

Publicaciones relacionadas

El avance de Quantum-as-a-Service pone en jaque la seguridad basada en RSA y ECC: comienzan las primeras implementaciones reales de TLS híbrido.

Quantum-as-a-Service: ¿Cuán cerca está la amenaza real?

El phishing sigue siendo una de las principales amenazas digitales para las PyMEs en América Latina, afectando a casi la mitad de estas empresas durante el último año, según datos de Kaspersky.

Amenaza vintage asedia a América Latina: el phishing afecta a 43% de las PyMEs de la región

En el evento la compañía reafirmó su apuesta de traer innovación con foco en seguridad y reconoció el rol protagónico de sus aliados para llevar dicha innovación a todos los rincones de la región.

Motorola Solutions reunió a socios de negocio para impulsar tecnología para la seguridad en empresas de LATAM

Patricio Escobar, Sales Manager SOLA de Commvault.

Commvault: ciberresiliencia integral para protegerse de ciberataques

[mdx-adserve-bstreet region="BOTTOM"]
Botón volver arriba