PDF maliciosos: auge, técnicas de engaño, señales y cómo protegerse

  • Los PDF se consolidan como vector de ataque: ESET los sitúa en el sexto puesto de detecciones y ENISA reporta fuerte crecimiento en campañas de phishing.
  • Los delincuentes usan señuelos (facturas, currículums, resultados médicos, avisos bancarios) y técnicas como scripts incrustados, enlaces invisibles y OpenAction.
  • Indicadores clave: archivos comprimidos (ZIP/RAR), extensiones dobles, remitentes dudosos, tamaños atípicos y peticiones para activar JavaScript o macros.
  • Protégete con análisis en VirusTotal, actualización de lectores, ver extensiones reales y, si ya hiciste clic, desconexión, escaneo antimalware y cambio de contraseñas. Parchea riesgos en Apache Tika.
Actualidad Gadget

4 minutos

Para millones de personas, el PDF es el formato comodín del día a día, pero esa misma popularidad lo ha convertido en una puerta de entrada para ataques que se disimulan como documentos corrientes y confiables.

Firmas de ciberseguridad como ESET alertan de que los ciberdelincuentes explotan la confianza del usuario para camuflar malware, robar datos o aprovechar fallos en los visores; por ello recomiendan verificar el origen y extremar precauciones.

Panorama y cifras: el auge del PDF como señuelo

Alerta por PDF maliciosos

Según los últimos informes de ESET, los PDFs ya figuran en el sexto lugar del Top 10 de amenazas, especialmente en campañas que circulan por correo electrónico y mensajería.

El gancho suele apelar a la urgencia o a la confianza: mensajes de deuda, trámites o entregas pendientes empujan a abrir el archivo adjunto, una táctica que alimentó campañas como la del troyano bancario Grandoreiro distribuidas mediante enlaces que acaban descargando un PDF trampa.

El formato facilita el engaño: un documento puede contener scripts incrustados, formularios, enlaces y archivos que, con un clic, inician descargas, abren conexiones remotas o ejecutan código sin levantar sospechas.

También se han observado mecanismos automáticos como OpenAction que disparan contenido incrustado (por ejemplo, un fichero de Office) y aprovechan fallos conocidos como CVE-2017-11882 en equipos desactualizados, con potencial ejecución de código.

Cómo se camuflan y qué pueden hacer

Técnicas para camuflar PDF maliciosos

Los atacantes recurren a documentos que parecen de confianza para que el usuario baje la guardia y abra el adjunto sin sospechar lo que hay detrás.

  • Facturas o deudas con nombres genéricos del estilo «Factura.pdf».
  • Currículums usados en campañas dirigidas a empresas y RR. HH.
  • Resultados médicos que apelan a la preocupación personal.
  • Comunicaciones bancarias u oficiales que imitan a instituciones.
  Nueva función Copilot para Microsoft Excel

Dentro del propio documento pueden ocultarse scripts y enlaces invisibles diseñados para redirigir a sitios fraudulentos, descargar software malicioso o lanzar procesos en segundo plano, a menudo sin señales visibles para el usuario medio.

Señales para detectar un PDF peligroso

Indicadores de PDF peligroso

Un vistazo rápido a ciertos detalles puede evitar un disgusto: conviene identificar indicios que delatan un PDF manipulado o sospechoso antes de abrirlo.

  • Adjuntos comprimidos en ZIP o RAR para evadir filtros.
  • Extensiones dobles o engañosas como «documento.pdf.exe».
  • Remitente o dominio que no encaja con la entidad real.
  • Envíos inesperados sin relación con el destinatario.
  • Tamaños atípicos o desproporcionados respecto al contenido prometido.
  • Textos con errores, diseños descuidados o peticiones inusuales.

Si, además, el visor pide habilitar JavaScript, macros o descargas externas para ver el contenido, lo prudente es cerrar el archivo y eliminarlo sin ejecutarlo.

Medidas prácticas y qué hacer si ya lo abriste

Cómo protegerse de PDF maliciosos

Para reducir riesgos, los especialistas recomiendan validar el archivo en servicios como VirusTotal antes de abrirlo, y aplicar controles básicos que elevan la seguridad del día a día.

  • Activa la vista de extensiones del sistema para ver el tipo real del fichero.
  • Revisa nombre y tamaño buscando anomalías o incoherencias.
  • Evita abrir adjuntos comprimidos sospechosos, aunque provengan de contactos habituales.
  • Mantén actualizados el lector de PDF, el sistema operativo y el navegador.
  • Usa antivirus y antimalware con protección en tiempo real.

Si ya hiciste clic y sospechas que era dañino, desconéctate de Internet para cortar comunicaciones con servidores de mando, ejecuta un escaneo completo con antimalware, revisa procesos y persistencias, y cambia contraseñas sensibles (correo, banca, redes); si procede, solicita ayuda profesional.

Alerta técnica: riesgos en análisis automático

Riesgos técnicos asociados a PDF

Investigadores han informado de una debilidad en entornos que procesan documentos de forma automática: una vulnerabilidad XXE en el módulo PDF de Apache Tika explotable mediante formularios XFA integrados en PDFs.

  • Versiones afectadas: de la 1.13 a la 3.2.1, con potencial de lectura de ficheros locales, reconocimiento de red y SSRF durante el análisis.
  • Superficie amplia: Tika se integra en parsers, aplicaciones y servidores; el impacto en empresas puede ser significativo si se ingestan PDFs no confiables.
  Mejores editores hexadecimales para Windows

La recomendación prioritaria es actualizar a la versión 3.2.2 (o superior) y endurecer el pipeline: validar cargas de PDFs, limitar salidas de red desde procesos de análisis y monitorizar eventos anómalos vinculados a procesamiento XML.

Más allá de parches puntuales, la combinación de buenas prácticas, herramientas actualizadas y verificación del origen reduce de forma drástica la superficie de ataque que explotan los PDF maliciosos, tanto en el buzón personal como en entornos corporativos.

cómo activar la opción Microsoft Print to PDF en las impresoras con Windows
Artículo relacionado:
Abre archivos PDF en Windows 11 sin instalar ningún programa