Una nueva modalidad de ciberestafa utiliza archivos de Word corruptos como "caballo de Troya" para robar datos personales y financieros, poniendo en riesgo a profesionales, autónomos y empresas. Este método engañoso logra eludir incluso a los antivirus más comunes.
El ataque comienza con un correo electrónico que parece provenir de departamentos de recursos humanos o administración de una empresa. Estos mensajes suelen incluir asuntos relacionados con pagos, nóminas o beneficios laborales, como "Pagos pendientes" o "Bonos anuales para empleados".
El correo adjunta un archivo Word con extensión .docx, que aparentemente es legítimo, pero está diseñado para engañar al usuario. Cuando intentas abrir el archivo, Word muestra un error indicando que su contenido no puede leerse y ofrece recuperarlo.
La trampa del código QR
Si el usuario elige recuperar el archivo, este muestra un mensaje que incluye un código QR. Al escanearlo, el usuario es redirigido a una página web fraudulenta que simula ser el inicio de sesión de Microsoft.
El objetivo de los cibercriminales es obtener las credenciales de acceso del usuario. Con ellas, pueden acceder a la cuenta de Microsoft, incluyendo correos electrónicos, almacenamiento en la nube y potencialmente información bancaria u otros datos sensibles.
Según expertos en posicionamiento web y reputación digital, lo preocupante de este tipo de ataque, que no es novedoso, es que los archivos corruptos no son detectados por muchos antivirus, lo que aumenta el riesgo de que los usuarios confíen en el contenido, poniendo en riesgo sus cuentas personales o laborales.
Consejos para protegerte de este tipo de estafa
1. Sé cauteloso con los correos electrónicos
● Verifica cuidadosamente el remitente y analiza si la redacción tiene errores o algo sospechoso.
● Desconfía de correos de remitentes desconocidos o con mensajes urgentes que te presionan a actuar rápidamente.
2. No escanees códigos QR no verificados
● Aunque un código QR en un documento de Word parezca legítimo, nunca lo escanees sin confirmar su autenticidad.
● Si tienes dudas, contacta directamente con la empresa o remitente utilizando información oficial, no la incluida en el correo.
3. Invierte en formación en ciberseguridad
● Las empresas e independientes deben capacitar a sus empleados en cómo identificar intentos de phishing y estafas similares.
● La sensibilización es clave para reducir el impacto de estos ataques.
4. Refuerza la seguridad de tu cuenta de Microsoft
● Activa la verificación en dos pasos en tu cuenta. Esto añade una capa adicional de protección, haciendo más difícil que los atacantes accedan incluso si obtienen tus credenciales.
5. Actualiza y protege tus sistemas
● Mantén actualizados tus programas y sistemas operativos.
● Considera soluciones de seguridad avanzadas que ofrezcan protección contra amenazas más sofisticadas.