En los últimos meses, se ha identificado una tendencia preocupante: grupos delictivos están aprovechando aplicaciones legítimas de acceso remoto —como Atera, Splashtop, AnyDesk, ScreenConnect o PDQ Connect— para instalar malware en los equipos de usuarios comunes. Estas herramientas, comúnmente empleadas para brindar soporte técnico o asistencia remota, les permiten tomar el control del sistema, robar datos personales y bancarios, e incluso instalar software malicioso sin que el usuario lo advierta.

Una vez comprometido, el equipo puede quedar expuesto a ataques de ransomware, un tipo de programa que cifra tus archivos y te impide acceder a ellos.

¿Cómo logran infectar los dispositivos?

Los atacantes suelen utilizar correos electrónicos de phishing que simulan ser facturas pendientes, notificaciones urgentes del SAT (Secretaría de administración Tributaria) u otras instituciones confiables. Estos correos incluyen archivos adjuntos o enlaces que descargan las herramientas mencionadas. También se han detectado páginas web falsas que imitan actualizaciones de aplicaciones populares como WhatsApp, y se sospecha que podrían estar utilizando malvertising (publicidad maliciosa pagada en buscadores) para distribuir los archivos de instalación.

¿Qué puedes hacer para protegerte?

Recomendaciones para el público en general

• Desconfía de correos sospechosos: Verifica siempre el remitente, evita hacer clic en enlaces o descargar archivos de correos inesperados. Si no lo esperabas, es mejor ignorarlo y marcarlo como spam.
• Evita instalaciones de fuentes no confiables: Nunca instales software desde sitios desconocidos o no oficiales. No utilices programas piratas, “cracks” o parches ilegítimos.
• Mantén tu equipo actualizado: Asegúrate de tener siempre actualizado tu sistema operativo, antivirus y todas tus aplicaciones.

Recomendaciones para empresas

Este tipo de ataques combina técnicas de ingeniería social con el uso indebido de herramientas legítimas, lo que los hace especialmente difíciles de detectar. Por ello, en el entorno corporativo es fundamental:

• Verificar la identidad del personal de soporte remoto, especialmente si se trata de proveedores externos.
• Establecer políticas claras sobre el uso e instalación de herramientas de administración remota en los equipos corporativos.
• Capacitar a los usuarios para identificar señales de riesgo, como accesos no solicitados, comportamientos anómalos del sistema o correos inusuales.

Referencias

SCILabs. (2025, mayo 14). Actores de amenaza usando herramientas de administración remota para distribuir malware. SCILabs Blog. https://blog.scilabs.mx/actores-de-amenaza-usando-herramientas-de-administracion-remota-para-distribuir-malware/

Red Canary. (2024). RMM tools are an attractive option for adversaries because they’re built for remote access. https://redcanary.com/threat-detection-report/trends/rmm-tools/

Cybersecurity and Infrastructure Security Agency (CISA). (2023, enero 25). Remote monitoring and management software abused by malicious actors. https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-025a

Cofense. (2023, julio 6). New weapon of choice: How threat actors hijack legitimate remote access tools. https://cofense.com/blog/new-weapon-of-choice-how-threat-actors-hijack-legitimate-remote-access-tools/

Kaspersky. (s. f.). What is social engineering? Kaspersky Resource Center. https://latam.kaspersky.com/resource-center/definitions/what-is-social-engineering