Viejas técnicas, nuevos trucos: la reinvención del phishing y el LOTL

Los cibercriminales no necesitan inventar nada nuevo para causar estragos. A veces basta con reciclar viejas tácticas y darles un giro para que vuelvan a ser efectivas. Así lo refleja el último Informe de Amenazas de HP, que pone el foco en cómo herramientas tan conocidas como el phishing o el living-off-the-land (LOTL) se están sofisticando para escapar de los radares de seguridad más modernos.

Los expertos advierten que esta evolución está haciendo cada vez más difícil distinguir entre lo que es una actividad legítima en un equipo y lo que en realidad esconde un ataque. Dicho de otra forma: lo que parece un archivo inofensivo puede convertirse en la puerta trasera de un ciberdelincuente.

El truco de siempre, con un disfraz nuevo

Uno de los casos más llamativos que recoge el informe es el de unas supuestas facturas de Adobe Reader. Tras una apariencia impecable, con su barra de carga incluida, se escondía un reverse shell camuflado en una diminuta imagen SVG. Al abrirlo, el usuario entregaba sin saberlo el control remoto de su dispositivo. Otro ejemplo es el uso de archivos CHM (el viejo formato de ayuda de Microsoft) para ocultar malware entre píxeles de imágenes, que más tarde ejecutaba el conocido troyano XWorm mientras borraba sus huellas.

“Los atacantes no están reinventando la rueda, pero sí están refinando sus técnicas”, advierte Alex Holland, investigador principal en HP Security Lab. “Vemos cada vez más herramientas LOTL encadenadas y tipos de archivo poco obvios, como imágenes, para evitar la detección. No se necesita un troyano completo cuando un simple script puede lograr el mismo efecto”.

Herramientas tan conocidas como el phishing o el living-off-the-land (LOTL) se están sofisticando para escapar de los radares de seguridad más modernos

El regreso de viejos conocidos: phishing y LOTL

El estudio también confirma el retorno de Lumma Stealer, un malware especializado en robar información que parecía haber quedado en segundo plano tras recientes redadas policiales. Sin embargo, en cuestión de semanas sus operadores registraron nuevos dominios y retomaron la actividad, ahora distribuyendo archivos comprimidos en formato IMG para colarse en los sistemas.

Esta insistencia muestra hasta qué punto los ciberdelincuentes saben adaptarse. Y no es casual que los ficheros comprimidos sean la vía preferida de entrada: según el informe, cuatro de cada diez amenazas llegan en este formato. Destaca además el repunte de los archivos .rar, responsables de más de una cuarta parte de los ataques detectados.

La delgada línea entre lo normal y lo sospechoso

El gran problema, coinciden los expertos, es que muchas de estas técnicas aprovechan herramientas que forman parte del día a día en cualquier oficina: PowerShell, archivos comprimidos, scripts. Esa ambigüedad hace que los equipos de seguridad tengan que caminar sobre una cuerda floja.

“El dilema es claro: restringir demasiado y entorpecer al usuario o dejar la puerta abierta y arriesgarse a que un atacante se infiltre”, resume Ian Pratt, jefe global de seguridad para sistemas personales en HP. “Incluso los mejores sistemas de detección fallan a veces; por eso, el enfoque de defensa en profundidad con contención e aislamiento es esencial”.

Aislar para entender

El informe también subraya la importancia de la contención como estrategia de protección. HP Wolf Security ha permitido analizar estas campañas al aislar amenazas en entornos seguros y controlados. Gracias a ello, se sabe que durante el segundo trimestre de 2025 los clientes de HP interactuaron con más de 55.000 millones de archivos, páginas web y descargas sin sufrir brechas relevantes.

Ese volumen de datos confirma que las amenazas no paran de crecer, pero también demuestra que las soluciones basadas en aislamiento permiten estudiar a los atacantes en acción y adelantarse a sus movimientos.

Una carrera que no termina

El mensaje de fondo del informe es claro: el cibercrimen es una carrera de resistencia. Los delincuentes no se limitan a lanzar un ataque y desaparecer, sino que prueban, fallan, corrigen y vuelven a intentarlo con nuevas variantes. En ese terreno, las viejas técnicas recicladas resultan tan efectivas como peligrosas.

Para las organizaciones, el reto es adaptarse a ese ritmo. No basta con confiar en filtros de detección o en medidas tradicionales: el enfoque pasa por sumar capas de protección, aislar lo sospechoso y asumir que los atacantes seguirán buscando ángulos inesperados para entrar. Como concluye el propio informe, el ingenio de los ciberdelincuentes no está en inventar lo imposible, sino en perfeccionar lo que ya funciona.