Tecnología
Este es el troyano que afecta a pequeñas y medianas empresas: se esconde dentro de supuestos archivos financieros
Redacción El Tiempo
06 de septiembre 2025 , 04:44 p. m.
06 de septiembre 2025 , 04:44 p. m.
Este es el troyano que afecta a pequeñas y medianas empresas: se esconde dentro de supuestos archivos financieros
Una vez instalado, los atacantes emplean herramientas diseñadas para robar contraseñas almacenadas en navegadores.
Redacción El Tiempo
Investigadores de Kaspersky identificaron un nuevo troyano de acceso remoto (RAT, por sus siglas en inglés) que se ha convertido en una amenaza relevante para pequeñas y medianas empresas (PyMEs) en distintos países. El malware, denominado GodRAT, fue detectado a mediados de 2024 y se distribuyó principalmente a través de archivos de protector de pantalla maliciosos, presentados como documentos financieros y enviados por Skype hasta marzo de 2025, cuando sus operadores comenzaron a emplear otros canales para expandir la campaña.
Según el análisis de los expertos, PyMEs en Emiratos Árabes Unidos, Hong Kong, Jordania y Líbano estuvieron entre los principales objetivos. El método de distribución consistió en ocultar el malware dentro de archivos de imagen que parecían mostrar datos financieros. Una vez que la víctima los abría, el sistema se conectaba a un servidor remoto para descargar GodRAT e iniciar el proceso de recopilación de información.
El malware era enviado por Skype.
iStock/Skype/ Teams
¿Cómo actúa el malware?
GodRAT está diseñado para obtener datos básicos del dispositivo comprometido, como el sistema operativo, el nombre del equipo, la cuenta de usuario, el software instalado y si existen programas de seguridad activos. Además, es compatible con plugins adicionales, lo que amplía sus capacidades.
Uno de los complementos más utilizados por los atacantes es FileManager, que les permite explorar los archivos y directorios del sistema infectado. A ello se suma el uso de herramientas especializadas en extraer contraseñas guardadas en navegadores como Google Chrome y Microsoft Edge, lo que multiplica el riesgo de filtración de datos confidenciales.
(Conozca: Así funcionan las cocinas invisibles que reemplazan la estufa tradicional: se controlan desde el celular).
Para garantizar la persistencia en los sistemas comprometidos, los operadores de la campaña también recurren a AsyncRAT, un implante secundario que funciona como respaldo en caso de que GodRAT sea eliminado o detectado.
Un heredero de viejas amenazas
De acuerdo con Lisandro Ubiedo, analista Senior de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky para América Latina, GodRAT podría ser una evolución de AwesomePuppet, otro RAT reportado en 2023 y vinculado al grupo de amenazas avanzadas persistentes (APT, por sus siglas en inglés)) conocido como Winnti.
Las aplicaciones maliciosas son cada vez más difíciles de identificar
iStock
“Sus métodos de distribución, parámetros distintivos en la línea de comandos, similitudes de código con Gh0st RAT y artefactos compartidos -como una firma digital distintiva- sugieren un origen común. A pesar de tener casi dos décadas de antigüedad, las bases de código de implantes heredados como Gh0st RAT siguen siendo utilizadas activamente por actores de amenaza, quienes frecuentemente las personalizan y reconstruyen para atacar a una amplia variedad de víctimas”, explicó Ubiedo.
Este hallazgo demuestra cómo herramientas conocidas desde hace casi dos décadas aún representan un riesgo real para organizaciones de distintos tamaños, especialmente cuando los atacantes actualizan sus funcionalidades y mejoran sus técnicas de ocultamiento.
(Lea aquí: Call of Duty: Mobile lanza la Temporada 8 “Twilight Heist” con nuevas armas, eventos y recompensas).
Recomendaciones de seguridad
Frente a este panorama, los especialistas de Kaspersky compartieron una serie de medidas para reducir el riesgo de infección y proteger tanto a usuarios individuales como a empresas:
Actualizar regularmente el sistema operativo, el navegador, el antivirus y otros programas. Muchas campañas maliciosas aprovechan vulnerabilidades en versiones desactualizadas del software.
Activar la opción “Mostrar extensiones de archivo” en Windows, lo que permite identificar con mayor facilidad archivos sospechosos. Los troyanos suelen esconderse bajo extensiones como “.exe”, “.vbs” y “.scr”. En algunos casos, los atacantes combinan varias extensiones para disfrazar un archivo peligroso (ejemplo: documento.pdf.scr).
Para protegerse de malware, las empresas deberían utilizar soluciones de seguridad avanzadas.
iStock
Tener precaución con archivos adjuntos recibidos por correo o aplicaciones de mensajería, especialmente si se presentan como documentos financieros o imágenes que requieren abrirse en programas externos.
En el caso de las organizaciones, utilizar soluciones de seguridad avanzadas.
(Conozca: Apple considera la IA Gemini de Google para potenciar la próxima versión de Siri: ambas empresas mantienen conversaciones sobre planes futuros).
Un reto constante para las PyMEs
Las PyMEs suelen ser uno de los sectores más afectados por este tipo de ataques debido a que, en muchos casos, carecen de áreas de ciberseguridad robustas o de políticas de actualización estrictas. Este escenario las convierte en un blanco atractivo para los ciberdelincuentes, que buscan acceder a información sensible o mantener control remoto de sus sistemas para actividades delictivas posteriores.
El descubrimiento de GodRAT pone en evidencia que las amenazas digitales siguen evolucionando y que, aunque se basen en códigos antiguos, pueden renovarse para seguir siendo efectivas. En este contexto, la conciencia sobre los riesgos y la inversión en protección tecnológica se vuelven indispensables para evitar que campañas como esta tengan éxito.