Una nueva estafa circula por WhatsApp y apunta especialmente a usuarios que abren la plataforma desde una computadora con Windows.
El engaño llega como un supuesto documento de trabajo, una factura, un resumen bancario o un aviso de deuda, aunque en realidad es un archivo preparado para instalar acceso remoto en la PC de la víctima.
El ataque se activa cuando la persona descarga y ejecuta el archivo desde WhatsApp Web o desde la aplicación de escritorio. La clave está en la extensión .vbs, un tipo de script que Windows puede correr y que los ciberdelincuentes usan para iniciar la infección sin que el usuario entienda qué está pasando.
La campaña fue reportada por Kaspersky y se detectó en varios países. Según la compañía de ciberseguridad, los atacantes habrían comprometido -hackeado- cuentas de WhatsApp para enviar los archivos maliciosos a contactos reales. Esa táctica vuelve más creíble el mensaje, ya que la víctima lo recibe desde una persona conocida.
Los archivos tienen nombres relacionados con pagos, informes financieros, extractos bancarios y comunicaciones comerciales. También aparecen adaptados a distintos idiomas, lo que permitió que la campaña se extendiera en diferentes regiones.
La infección no ocurre por recibir el mensaje en el celular ni por leer el chat. El riesgo aparece cuando el archivo se abre en una computadora con Windows. A partir de ese momento, el script descarga nuevos componentes, ejecuta instrucciones en segundo plano e instala una herramienta de administración remota configurada para quedar bajo control de los atacantes.
Cómo funciona la estafa con archivos .vbs en WhatsApp
Los archivos .vbs son scripts de Visual Basic. En usos legítimos, pueden servir para automatizar tareas dentro de Windows. En este caso, los delincuentes los disfrazan como documentos administrativos para que la víctima los abra sin sospechar.
Después de la ejecución, el archivo inicia una cadena de acciones dentro del sistema. Primero prepara el entorno, luego descarga otros componentes desde servidores externos y finalmente instala una versión configurada de ManageEngine Endpoint Central, una plataforma usada por empresas para administrar computadoras de forma remota.
La herramienta no es maliciosa por naturaleza. El problema aparece cuando queda instalada sin consentimiento y conectada a servidores controlados por los atacantes. Con ese acceso, pueden manejar el equipo a distancia, revisar archivos, ejecutar comandos y sostener el control de la computadora infectada.
El engaño también aprovecha una diferencia entre las formas de usar WhatsApp en PC. En WhatsApp Web, el archivo debe descargarse y abrirse desde el navegador o la carpeta de descargas. En WhatsApp Desktop, el archivo puede ejecutarse con menos pasos desde la propia aplicación, lo que aumenta el riesgo para usuarios distraídos.
