{"id":239,"date":"2026-03-19T16:45:19","date_gmt":"2026-03-19T16:45:19","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/19\/cuidado-con-los-archivos-svg-atrapados-con-malware\/"},"modified":"2026-03-19T16:45:19","modified_gmt":"2026-03-19T16:45:19","slug":"cuidado-con-los-archivos-svg-atrapados-con-malware","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/19\/cuidado-con-los-archivos-svg-atrapados-con-malware\/","title":{"rendered":"Cuidado con los archivos SVG atrapados con malware"},"content":{"rendered":"
\n

Lo que ves no siempre es lo que obtienes, ya que los ciberdelincuentes utilizan cada vez m\u00e1s los archivos SVG como vectores de distribuci\u00f3n de malware sigiloso.<\/p>\n

\n
\"Camilo<\/picture><\/div>\n<\/div>\n

\n 22 de septiembre de 2025<\/span>
\n \u2022 <\/span>
\n , <\/span>
\n 4 min. leer<\/span>\n <\/p>\n

\n \"Cuidado<\/picture> <\/div>\n<\/div>\n
\n

Una reciente campa\u00f1a de malware que circula en Am\u00e9rica Latina ofrece un claro ejemplo de c\u00f3mo los ciberdelincuentes est\u00e1n evolucionando y perfeccionando sus estrategias.<\/p>\n

Pero primero, esto es lo que no<\/em> tan nuevo: los ataques se basan en ingenier\u00eda social, y las v\u00edctimas reciben correos electr\u00f3nicos disfrazados para que parezcan provenir de instituciones confiables. Los mensajes tienen un aura de urgencia, advirtiendo a sus destinatarios sobre demandas o entreg\u00e1ndoles citaciones judiciales. Esta, por supuesto, es una t\u00e1ctica probada que tiene como objetivo asustar a los destinatarios para que hagan clic en enlaces o abran archivos adjuntos sin pensarlo dos veces.<\/p>\n

El objetivo final de la campa\u00f1a de varias etapas es instalar AsyncRAT, un troyano de acceso remoto (RAT) que, como tambi\u00e9n lo describen los investigadores de ESET, permite a los atacantes monitorear y controlar de forma remota los dispositivos comprometidos. Descubierto por primera vez en 2019 y disponible en m\u00faltiples variantes, este RAT puede registrar pulsaciones de teclas, realizar capturas de pantalla, secuestrar c\u00e1maras y micr\u00f3fonos y robar credenciales de inicio de sesi\u00f3n almacenadas en navegadores web.<\/p>\n

Hasta ahora, tan familiar. Sin embargo, una cosa que distingue a esta campa\u00f1a de la mayor\u00eda de campa\u00f1as similares es el uso de archivos SVG (gr\u00e1ficos vectoriales escalables) de gran tama\u00f1o que contienen \u00abel paquete completo\u00bb. Esto elimina la necesidad de conexiones externas a un servidor C&C remoto como forma de enviar comandos a dispositivos comprometidos o descargar cargas \u00fatiles maliciosas adicionales. Los atacantes tambi\u00e9n parecen depender, al menos en parte, de herramientas de inteligencia artificial (IA) que les ayudan a generar archivos personalizados para cada objetivo.<\/p>\n

SVG como vector de entrega<\/h2>\n

Los ataques que involucran im\u00e1genes con trampas explosivas en general, como archivos JPG o PNG, no son nada nuevo, ni tampoco es la primera vez que los archivos SVG se utilizan espec\u00edficamente como arma para entregar ratas<\/a> y otros programas maliciosos. La t\u00e9cnica, denominada \u201ccontrabando de SVG\u201d, fue recientemente agregado a la base de datos MITRE ATT&CK<\/a> despu\u00e9s de ser detectado en un n\u00famero cada vez mayor de ataques<\/a>.<\/p>\n

Pero \u00bfqu\u00e9 hace que SVG sea tan atractivo para los atacantes? Los SVG son archivos de im\u00e1genes vectoriales vers\u00e1tiles y livianos que est\u00e1n escritos en lenguaje de marcado extensible (XML) y son \u00fatiles para almacenar texto, formas y gr\u00e1ficos escalables, de ah\u00ed su uso en dise\u00f1o gr\u00e1fico y web. La capacidad de los se\u00f1uelos SVG para contener scripts, enlaces incrustados y elementos interactivos los hace propicios para el abuso, al tiempo que aumenta las probabilidades de evadir la detecci\u00f3n por parte de algunas herramientas de seguridad tradicionales.<\/p>\n

Esta campa\u00f1a en particular, dirigida principalmente a Colombia, comienza con un mensaje de correo electr\u00f3nico aparentemente leg\u00edtimo que incluye un archivo adjunto SVG. Al hacer clic en el archivo, que normalmente tiene un tama\u00f1o de m\u00e1s de 10 MB, no se abre un simple gr\u00e1fico, cuadro o ilustraci\u00f3n; en cambio, su navegador web (donde se cargan los archivos SVG de forma predeterminada) muestra un portal que se hace pasar por el sistema judicial de Colombia. Incluso eres testigo de un \u00abflujo de trabajo\u00bb, completo con p\u00e1ginas de verificaci\u00f3n falsas y una barra de progreso.<\/p>\n

\"XML.Dropper-colombia-malware6\"
Figura 1. El mensaje para descargar un documento judicial supuestamente importante<\/em><\/figcaption><\/figure>\n

Los productos ESET detectan uno de estos archivos SVG (SHA1: 0AA1D24F40EEC02B26A12FBE2250CAB1C9F7B958) como JS\/TrojanDropper.Agent.PSJ<\/a>. Al hacer clic, se desarrolla un proceso y, momentos despu\u00e9s, su navegador web descarga un archivo ZIP protegido con contrase\u00f1a (Figura 2).<\/p>\n

\"XML.Dropper-colombia-malware5\"
Figura 2. \u201cPreparaci\u00f3n\u201d y \u201cverificaci\u00f3n\u201d de documentos<\/em><\/figcaption><\/figure>\n

La contrase\u00f1a para abrir el archivo ZIP se muestra convenientemente justo debajo del mensaje \u00abDescarga completada\u00bb (Figura 3), tal vez para reforzar la ilusi\u00f3n de autenticidad. Contiene un ejecutable que, una vez ejecutado, lleva el ataque un paso m\u00e1s all\u00e1 para, en \u00faltima instancia, comprometer el dispositivo con AsyncRAT.<\/p>\n

\"XML.Dropper-colombia-malware4\"
Figura 3. <\/em>Descarga completada<\/em><\/figcaption><\/figure>\n

La campa\u00f1a aprovecha una t\u00e9cnica conocida como Descarga de DLL<\/a>donde se le indica a una aplicaci\u00f3n leg\u00edtima que cargue una carga \u00fatil maliciosa, permitiendo as\u00ed que esta \u00faltima se mezcle con el comportamiento normal del sistema, todo con la esperanza de evadir la detecci\u00f3n.<\/p>\n

Nuestra telemetr\u00eda de detecci\u00f3n (Figura 4) muestra que estas campa\u00f1as aumentaron a mitad de semana durante todo el mes de agosto, siendo Colombia la m\u00e1s afectada. Este patr\u00f3n sugiere que los atacantes est\u00e1n ejecutando esta operaci\u00f3n de manera sistem\u00e1tica.<\/p>\n

\"XML.Dropper-colombia-malware3\"
Figura 4. Tendencia de detecci\u00f3n<\/em><\/figcaption><\/figure>\n

Detr\u00e1s del gotero<\/h2>\n

Las campa\u00f1as t\u00edpicas de phishing y malware env\u00edan el mismo archivo adjunto a innumerables bandejas de entrada. Aqu\u00ed, cada v\u00edctima recibe un expediente diferente. Si bien todos toman prestado el mismo manual, cada archivo est\u00e1 lleno de datos aleatorios, lo que hace que cada muestra sea \u00fanica. Esta aleatoriedad, que probablemente implica el uso de un kit que genera los archivos a pedido, tambi\u00e9n est\u00e1 dise\u00f1ada para complicar las cosas para los defensores y productos de seguridad.<\/p>\n

\"XML.Dropper-colombia-malware2\"
Figura 5. Archivo XML de muestra utilizado en la campa\u00f1a<\/em><\/figcaption><\/figure>\n

Como se mencion\u00f3, la carga \u00fatil no se obtiene desde el exterior; en cambio, se incrusta dentro del propio XML y se ensambla \u00absobre la marcha\u00bb. Una mirada al XML tambi\u00e9n revela rarezas, como texto repetitivo, campos en blanco, nombres de clases repetitivos e incluso algunos \u00abhashes de verificaci\u00f3n\u00bb que resultan ser cadenas MD5 no v\u00e1lidas, lo que sugiere que podr\u00edan ser resultados generados por LLM.<\/p>\n

\"XML.Dropper-colombia-malware1\"
Figura 6. Plantilla con elementos t\u00edpicos de los resultados generados por un LLM<\/em><\/figcaption><\/figure>\n
\"XML.Dropper-colombia-malware7\"
Figura 7. Otra plantilla con elementos t\u00edpicos de los resultados generados por un LLM<\/em><\/figcaption><\/figure>\n

Lecciones aprendidas<\/h2>\n

Al empaquetarlo todo en archivos SVG independientes y de apariencia inocua y posiblemente aprovechar plantillas generadas por IA, los atacantes buscan ampliar sus operaciones y elevar el nivel del enga\u00f1o.<\/p>\n

La lecci\u00f3n aqu\u00ed es sencilla: la vigilancia es clave. Evite hacer clic en enlaces y archivos adjuntos no solicitados, especialmente cuando los mensajes utilizan un lenguaje urgente. Adem\u00e1s, trate los archivos SVG con la mayor sospecha; de hecho, ninguna agencia gubernamental real le enviar\u00e1 un archivo SVG como archivo adjunto de correo electr\u00f3nico. Reconocer estas se\u00f1ales de advertencia b\u00e1sicas podr\u00eda significar la diferencia entre esquivar la trampa y entregar a los atacantes las llaves de su dispositivo.<\/p>\n

Por supuesto, combine esta vigilancia con pr\u00e1cticas b\u00e1sicas de ciberseguridad, como el uso de contrase\u00f1as seguras y \u00fanicas junto con la autenticaci\u00f3n de dos factores (2FA) siempre que est\u00e9 disponible. El software de seguridad en todos sus dispositivos tambi\u00e9n es una l\u00ednea de defensa no negociable contra todo tipo de ciberamenazas.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Lo que ves no siempre es lo que obtienes, ya que los ciberdelincuentes utilizan cada vez m\u00e1s los<\/p>\n","protected":false},"author":1,"featured_media":240,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-239","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/239","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=239"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/239\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/240"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=239"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=239"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=239"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}