Te llamamos
Contacta con nosotros
96 674 12 16
Whatsapp
Soporte
Área privada
Facebook-f Instagram

Cuidado con las VPN falsas: una campaña activa roba credenciales mediante instaladores manipulados

Microsoft descubre una campaña activa de robo de credenciales VPN

El pasado 12 de marzo, el equipo de seguridad de Microsoft publicó un informe detallando una amenaza activa contra usuarios corporativos: el grupo Storm-2561, de motivación económica, lleva desde enero de 2026 distribuyendo instaladores falsos de los clientes VPN más utilizados en empresas de todo el mundo. La técnica empleada —conocida como envenenamiento SEO o SEO poisoning— consiste en posicionar webs maliciosas en los primeros resultados de Google para que la víctima descargue el instalador falso creyendo que accede a la página oficial del fabricante.

Lo más preocupante es la sofisticación del engaño: los instaladores fraudulentos están firmados digitalmente con un certificado legítimo, lo que los hace pasar por legítimos ante los sistemas de seguridad convencionales. Microsoft ha conseguido revocar dicho certificado y eliminar los repositorios de GitHub donde se alojaban los archivos, pero el riesgo persiste mientras existan copias circulando por la red.

¿Qué marcas de VPN están siendo suplantadas?

Storm-2561 ha creado páginas falsas que imitan con precisión los sitios de descarga de al menos nueve soluciones VPN empresariales de primer nivel:

  • Pulse Secure / Ivanti Pulse Connect Secure
  • Fortinet FortiClient
  • SonicWall NetExtender
  • Sophos Connect
  • Palo Alto Networks GlobalProtect
  • WatchGuard Mobile VPN
  • Check Point VPN
  • Cisco Secure Client (antes AnyConnect)
  • Ivanti (cliente general)

Si tu empresa utiliza alguno de estos productos y alguien ha descargado el cliente desde un buscador en lugar de desde la web oficial del fabricante, es necesario investigar si el equipo pudo haber sido comprometido.

¿Cómo funciona el ataque paso a paso?

El proceso de infección es muy elaborado y está diseñado para no levantar sospechas en ningún momento:

  • El usuario busca en Google algo como «descargar Cisco AnyConnect» o «Fortinet FortiClient instalador».
  • Entre los primeros resultados aparece una web maliciosa controlada por Storm-2561, indistinguible visualmente del sitio oficial.
  • Al pulsar «Descargar», se obtiene un archivo ZIP que contiene un instalador MSI firmado digitalmente.
  • Durante la instalación, el malware realiza una técnica de carga lateral de DLL (DLL side-loading) para ejecutar código malicioso sin ser detectado.
  • Se muestra al usuario una pantalla de inicio de sesión falsa, idéntica a la del VPN real, donde introduce sus credenciales corporativas.
  • Las credenciales se envían al instante a los servidores de los atacantes.
  • Para evitar sospechas, el malware muestra un mensaje de error y redirige al usuario a la descarga oficial del cliente legítimo.
  • Finalmente, el malware se instala como persistencia mediante la clave de registro RunOnce de Windows, por lo que se ejecuta de nuevo en cada arranque del sistema.

¿Por qué es tan difícil de detectar?

Tres factores hacen que esta amenaza sea especialmente peligrosa para usuarios particulares y equipos de TI por igual. En primer lugar, los instaladores utilizan certificados de firma de código legítimos, lo que les permite superar los controles de confianza de Windows y las soluciones antivirus básicas. En segundo lugar, la interfaz de usuario falsa es visualmente idéntica a la real, sin errores tipográficos ni diferencias perceptibles. En tercer lugar, el ataque no explota ninguna vulnerabilidad de software: se basa enteramente en la confianza del usuario, lo que lo convierte en un vector difícil de bloquear únicamente con parches.

Cómo protegerte tú y tu empresa

Ante esta amenaza, los pasos para reducir el riesgo son claros y aplicables tanto a usuarios domésticos como a entornos corporativos:

  • Descarga siempre desde la web oficial del fabricante. Guarda en favoritos las páginas de descarga de los productos que usas habitualmente y nunca uses un buscador para encontrarlas.
  • Activa la autenticación en dos pasos (MFA) en el acceso VPN. Aunque te roben la contraseña, sin el segundo factor no podrán entrar.
  • Verifica el nombre del editor antes de ejecutar cualquier instalador. Comprueba que coincide exactamente con el del fabricante oficial.
  • Usa una solución de seguridad con detección de comportamiento (EDR) que identifique técnicas como DLL side-loading y modificaciones sospechosas del registro de Windows.
  • En entornos empresariales, implementa listas de aplicaciones permitidas (application allowlisting) para que solo puedan ejecutarse los instaladores distribuidos internamente por el departamento de TI.
  • Monitoriza accesos VPN anómalos: horas inusuales, ubicaciones extrañas o múltiples sesiones simultáneas pueden indicar que las credenciales han sido comprometidas.

Desde Infoexpo recomendamos revisar de inmediato si algún empleado de tu organización ha descargado recientemente un cliente VPN desde un buscador. En caso de duda, cambia las contraseñas afectadas y contacta con vuestro equipo de soporte. La rapidez de respuesta marca la diferencia en este tipo de incidentes.

Facebook-f Instagram
Servicios
Textos Legales
Ayuda & soporte
Descubre Tu Tienda de Informática en Orihuela

¿Necesitas renovar tus equipos informáticos? ¿Buscas periféricos de calidad? En Infoexpo somos tu tienda de informática de confianza. Visítanos en nuestra tienda física en Orihuela o en nuestra tienda online y encuentra todo lo que necesitas para tu hogar o empresa. ¡Te esperamos!

Visitar la tienda Online
Copyright © 2026 Infoexpo | Todos los Derechos Reservados
Asistente
Conectando...
Hola, ¿en qué puedo ayudarte?
Llámame