Investigadores en ciberseguridad han detectado una nueva campaña de engaño digital que aprovecha los mensajes privados de redes sociales para propagar programas maliciosos. El objetivo de los atacantes es instalar un tipo de software conocido como troyano de acceso remoto, o RAT por sus siglas en inglés (Remote Access Trojan), que permite tomar el control de los equipos de las víctimas a distancia.

De acuerdo con la investigación, la amenaza combina el uso de archivos aparentemente legítimos con una técnica llamada “DLL sideloading”. En términos simples, esta técnica consiste en aprovechar programas auténticos para ejecutar, de manera encubierta, archivos dañinos que se hacen pasar por componentes del sistema.

El ataque comienza con un mensaje en LinkedIn dirigido a personas con perfiles profesionales valiosos. Los ciberdelincuentes inician una conversación para generar confianza y luego invitan a la víctima a descargar un archivo comprimido que parece inofensivo. Ese archivo, al ejecutarse, extrae cuatro elementos: un lector de PDF legítimo, un archivo DLL malicioso que se ejecuta junto con ese lector, un intérprete de Python (un lenguaje de programación de uso general) y un archivo RAR usado como señuelo.

La amenaza se activa cuando la persona abre el lector de PDF. En ese momento, el archivo malicioso se pone en marcha sin que el usuario lo note, aprovechando la confianza que el sistema tiene en el programa legítimo. Este método se usa cada vez más porque dificulta que las herramientas de seguridad reconozcan la actividad dañina, ya que todo parece proceder de una aplicación normal.

En el caso analizado por esta investigación, el archivo oculto utiliza el intérprete de Python para ejecutar código directamente en la memoria del equipo, una maniobra que evita dejar rastros visibles en el disco duro. Además, el malware crea una clave en el registro de Windows para que este proceso se repita automáticamente cada vez que la computadora se enciende. A partir de ese momento, el programa intenta conectarse con un servidor externo para mantener acceso remoto y extraer información de interés, como datos corporativos o personales.

Los investigadores observaron al menos tres campañas recientes que utilizaron esta misma técnica. Estas campañas propagaban distintos tipos de malware, entre ellos variantes denominadas LOTUSLITE y PDFSIDER, además de otros troyanos enfocados en robar información.

Esta amenaza no se limita a un sector o país específico, sino que parece tener un alcance global y oportunista, una de las razones del éxito de este tipo de ataques es que las plataformas sociales no cuentan con los mismos controles de seguridad ni la misma supervisión que el correo electrónico, lo que facilita que los intentos de engaño pasen inadvertidos.

Esta estrategia brinda a los atacantes la posibilidad de escalar privilegios dentro de las redes corporativas, moverse por distintos sistemas y continuar robando datos sin ser descubiertos. El empleo de herramientas legítimas y de código abierto dificulta aún más su detección, ya que muchas organizaciones confían en esos programas para actividades cotidianas.

Los intentos de explotar LinkedIn no son nuevos. Según se recuerda en la nota, en años recientes grupos de origen norcoreano utilizaron mensajes en esa red para hacerse pasar por reclutadores y convencer a profesionales de ejecutar archivos dañinos como parte de supuestas pruebas de empleo. En 2025, otra campaña de fraude empleó correos y notificaciones falsas de LinkedIn para inducir a los usuarios a descargar software de control remoto que otorgaba acceso completo a sus equipos.

Las redes sociales utilizadas con fines laborales representan una brecha en la protección informática de muchas compañías. Mientras que el correo electrónico suele contar con filtros y sistemas de alerta, las comunicaciones privadas en plataformas sociales carecen de esa visibilidad y están menos vigiladas. Por ello, recomiendan a las organizaciones considerar estos canales como un punto de entrada que requiere medidas de seguridad adicionales.

En resumen, este caso nos recuerda que los intentos de engaño digital ya no se limitan a los correos sospechosos. También pueden llegar por mensajes en redes profesionales que aparentan ser legítimos. La precaución, la verificación de enlaces y archivos antes de abrirlos y una cultura de seguridad en las empresas son hoy más necesarias que nunca para evitar caer en este tipo de trampas digitales.

Referencias

• The Hacker News. (2026, enero 20). Hackers Use LinkedIn Messages to Spread RAT Malware Through DLL Sideloading. The Hacker News. https://thehackernews.com/2026/01/hackers-use-linkedin-messages-to-spread.html