← Volver al blog
Phishing factura pdf malware

Facturas PDF con malware: el regreso del troyano bancario

El correo llegó un martes por la mañana, remitente facturacion@transportes-logistica-es.com, asunto: "Factura pendiente de pago – ref. 2024/11847". El adjunto se llamaba FACTURA_NOV_2024.pdf. Todo tenía pinta de rutina. El contable lo abrió. Tres segundos después, sin ningún aviso visible, un troyano bancario llevaba instalado en el equipo el tiempo suficiente para registrar las credenciales del banco online de la empresa antes de que nadie se diera cuenta.

Una factura PDF con malware es un archivo diseñado para parecer un documento legítimo de cobro o pago que, al abrirse, ejecuta código malicioso capaz de instalar un troyano, robar contraseñas bancarias o tomar el control del equipo. No necesitas instalar nada manualmente ni hacer clic en ningún enlace: basta con abrir el PDF en un lector vulnerable.

¿Cómo funciona por dentro el timo de la factura PDF?

El ataque tiene una mecánica sencilla que explica por qué funciona tan bien. El delincuente compra o alquila un kit de distribución de troyanos bancarios —familias como Grandoreiro, Mekotio o QakBot llevan años circulando por Europa y Latinoamérica— y lo empaqueta dentro de un PDF aparentemente inofensivo.

El PDF puede actuar de dos formas. La primera: lleva incrustado un script de JavaScript que se ejecuta automáticamente cuando el lector de PDF tiene habilitada esa función. La segunda, más habitual hoy, es que el PDF es solo el anzuelo: contiene un botón o un enlace con el texto "Ver factura completa" o "Descargar documento seguro" que descarga el verdadero ejecutable malicioso desde un servidor externo.

El dominio de ese servidor suele tener días de vida. El archivo que descarga puede ser un .exe, un .zip con un .js dentro, o un .iso —formato que Windows monta de forma automática—. Una vez ejecutado, el troyano se instala en segundo plano, se añade al arranque del sistema y espera a que abras la banca online para capturar lo que escribes o inyectar una pantalla falsa encima de la real.

Ejemplo de mensaje real del timo (reconstrucción ficticia):

De: facturacion@gestion-proveedores-es.net
Para: contabilidad@tuempresa.com
Asunto: URGENTE – Factura vencida 48h ref. F-2024-09921

"Estimado cliente, adjuntamos la factura correspondiente al servicio contratado en octubre. El importe total es de 1.847,00 €. El pago debería haberse realizado el pasado día 5. Para evitar cargos por demora, revise el documento adjunto y procese el pago antes de las 48 horas. Ante cualquier duda contacte con nuestro departamento de administración. Atentamente, Dpto. Facturación."

Adjunto: FACTURA_OCTUBRE_F09921.pdf — 214 KB

Fíjate en el patrón: urgencia artificial, importe concreto para dar verosimilitud, lenguaje corporativo genérico y un adjunto que nadie ha pedido. El remitente usa un dominio que imita una gestoría o empresa de servicios, no el de ninguna empresa conocida que puedas verificar.

¿Qué señales delatan una factura PDF con malware?

El dominio del remitente no cuadra

Toda empresa real tiene un dominio propio y consistente. Si recibes una factura de "Suministros García S.L." y el correo viene de admin@gestion-docs-online247.com, el dominio ya no corresponde a ninguna empresa real. Ese desajuste es la señal más fiable. Comprueba el dominio completo, no solo el nombre visible que el cliente de correo muestra.

No esperabas ese archivo

Las facturas legítimas llegan después de una compra, un servicio o una solicitud. Si recibes un PDF de factura que no tiene contexto previo —ningún pedido, ninguna conversación, ningún proveedor conocido—, el archivo no tiene razón de estar en tu bandeja de entrada. La sorpresa es el mecanismo principal de este timo.

El PDF pide que hagas clic para "ver el documento completo"

Un PDF que contiene una factura es la factura. No necesita que pulses un botón para cargar el contenido real desde otro sitio. Si al abrir el archivo ves poco más que un logo borroso y un enlace con el texto "Acceder al documento" o "Descargar factura PDF", el archivo en sí es solo el gancho. El malware está al otro lado del enlace.

El nombre del archivo incluye caracteres raros o extensiones dobles

Nombres como FACTURA_2024.pdf.exe, Factura(1)[URGENTE].pdf o archivos .zip que al descomprimir contienen un .js son señales claras de manipulación. Windows oculta las extensiones conocidas por defecto: activa la opción de mostrarlas siempre en las opciones del explorador de archivos.

El PDF activa una alerta de tu lector

Adobe Acrobat y la mayoría de lectores modernos preguntan antes de ejecutar JavaScript o de abrir una URL externa. Si al abrir un PDF aparece un cuadro de diálogo que pregunta si "confías en este documento" o si quieres "permitir conexión a un sitio externo", la respuesta es no. Ese aviso existe precisamente para esto.

El importe es específico pero el concepto es vago

Los timos más elaborados incluyen cifras concretas —1.847 €, 312,50 €— para dar sensación de documento real. Sin embargo, el concepto del servicio suele ser genérico: "servicios de gestión", "mantenimiento contratado", "suministro mensual". Una factura real siempre detalla qué se ha comprado o contratado.

¿Qué hacer ahora mismo si recibes una de estas facturas?

Primero: no abras el adjunto. Si ya lo has hecho y no has pulsado ningún enlace ni has visto ninguna ventana extraña, ciérralo y pasa al paso siguiente. Si has pulsado un enlace o has ejecutado algún archivo secundario, desconecta el equipo de la red inmediatamente —cable o wifi— antes de hacer nada más.

Segundo: sube el archivo a VirusTotal (virustotal.com) sin abrirlo. Arrastra el PDF directamente desde el explorador de archivos a la web. Si varios motores lo marcan como malicioso, tienes la confirmación. Si sale limpio, no es garantía absoluta —los archivos nuevos pueden eludir los análisis durante horas— pero reduce el riesgo.

Tercero: si el equipo ya está comprometido, cambia las contraseñas de la banca online desde otro dispositivo —un móvil que no haya tenido contacto con el archivo— antes de tocar nada más en el equipo infectado. Después, lleva el equipo a un técnico o reinstala el sistema. No intentes "limpiar" el troyano con el mismo equipo infectado: los troyanos bancarios están diseñados para sobrevivir a la mayoría de antivirus instalados.

Cuarto: denuncia el correo. Puedes reportarlo al INCIBE a través de su línea de ayuda en ciberseguridad (017) o al formulario de la OSI (Oficina de Seguridad del Internauta). Si hay pérdida económica, presenta denuncia ante la Policía Nacional o la Guardia Civil.

Preguntas frecuentes

¿Un PDF puede instalar un virus solo con abrirlo?

Sí, si el lector de PDF tiene JavaScript habilitado y no está actualizado. Los lectores modernos con todos los parches aplicados limitan este riesgo, pero no lo eliminan. La práctica más segura es abrir PDFs desconocidos en un lector con JavaScript desactivado o en una vista previa sin ejecución de scripts.

¿Cómo sé si mi ordenador ya tiene un troyano bancario?

Los síntomas más comunes son el equipo lento sin causa aparente, procesos desconocidos en el administrador de tareas, y páginas bancarias que muestran campos de formulario adicionales o mensajes de verificación inusuales. Un análisis con una herramienta de arranque externo —live USB con antivirus— es más fiable que un análisis desde el propio sistema infectado.

¿Las empresas están más expuestas que los particulares?

Sí. Los departamentos de contabilidad y administración reciben facturas de múltiples proveedores cada día, lo que normaliza la apertura de adjuntos desconocidos. Los delincuentes lo saben y dirigen estas campañas preferentemente a correos corporativos obtenidos de registros mercantiles y páginas de contacto.

¿Sirve de algo reenviar el correo sospechoso a mi departamento de informática?

Depende de cómo lo hagas. Reenviar el correo completo puede propagar el adjunto malicioso. Lo correcto es avisar verbalmente o por otro canal, compartir solo el asunto y el remitente, y dejar que el técnico acceda al original sin descargarlo en un equipo de producción.

Diez reglas para no abrir una factura con malware

  1. Desactiva JavaScript en tu lector de PDF. En Adobe Acrobat: Edición → Preferencias → JavaScript → desmarca la casilla. En lectores alternativos como Sumatra PDF, el JavaScript está desactivado por defecto.
  2. Muestra siempre las extensiones de archivo en el explorador. En Windows: Vista → Opciones → Ver → desmarca "Ocultar las extensiones de archivo para tipos de archivo conocidos".
  3. Verifica el dominio completo del remitente, no el nombre visible. Un clic en el nombre del remitente en la mayoría de clientes de correo muestra la dirección real.
  4. Si no esperabas la factura, no la abras. Llama al supuesto proveedor por teléfono —número que tú tengas guardado, no el del correo— y confirma si te han enviado algo.
  5. Sube el archivo a VirusTotal antes de abrirlo. Treinta segundos de análisis pueden evitar semanas de daños.
  6. No pulses ningún enlace dentro de un PDF que no hayas solicitado. Una factura no necesita que vayas a ningún sitio externo para mostrar su contenido.
  7. Mantén el lector de PDF actualizado. La mayoría de vulnerabilidades de ejecución de código se parchean en cuestión de días: si no actualizas, esos días te dejan expuesto.
  8. Usa una cuenta de usuario sin privilegios de administrador para el trabajo diario. Si el troyano se ejecuta con permisos limitados, su capacidad de instalarse en el sistema se reduce drásticamente.
  9. Activa la autenticación en dos pasos en tu banca online. Un troyano puede capturar tu contraseña, pero si el segundo factor llega a tu móvil, tiene una barrera más que superar.
  10. Forma al equipo de administración y contabilidad con casos reales, no con presentaciones genéricas. Mostrar cómo se ve un correo falso en pantalla es más eficaz que cualquier manual.

Veredicto: SCAM. La factura PDF con malware no es nueva, pero sigue funcionando porque ataca un hábito legítimo —abrir facturas— en el contexto laboral donde menos se cuestiona lo que llega por correo. La única defensa real no es un antivirus: es la pausa de tres segundos antes de hacer doble clic.

Entrena tu instinto.

La app es gratis. El juego físico, bajo pedido. En ambos, 54 casos reales para entrenar el ojo.

Ver el manual