Volver al blog
Casos de estudio Phishing12 de junio de 20265 min de lecturaOzan İsmail Çolhak

¿Por qué castillos de millones de dólares se derrumban con un solo enlace? (Parte 2)

Cómo el Grupo Lazarus utilizó un solo PDF para atacar bancos globales — y por qué las herramientas de seguridad tradicionales no pudieron detenerlo.

PhishingCaso de estudioGrupo LazarusPhishing con PDFPhiSharkSeguridad con IA

Hace unos días, hablamos de cómo Google y Facebook fueron estafados por 120 millones de dólares a través de enlaces de facturas falsas que evadieron los filtros de correo corporativo, y cómo la IA agéntica de PhiShark podría haberlo prevenido.

Pero en el frente cibernético, los atacantes no siempre lanzan un ataque directo enviando un enlace obvio. A veces, esconden ese enlace envenenado dentro de un archivo que todos abrimos decenas de veces al día en la vida corporativa, un archivo que parece completamente inofensivo y confiable: un PDF.

Esta vez, analizamos a uno de los grupos de amenaza más peligrosos del mundo y cómo instituciones financieras globales fueron atacadas mediante documentos de phishing cuidadosamente preparados.

attachments.pdf: El manual de Lazarus contra los bancos globales

Uno de los grupos de ciberamenaza más notorios de la historia moderna es Lazarus, un grupo vinculado a Corea del Norte conocido por algunas de las operaciones cibernéticas más destructivas y financieramente motivadas jamás observadas. El mismo ecosistema de atacantes ha sido asociado con incidentes importantes que van desde el ataque a Sony Pictures hasta robos bancarios a gran escala dirigidos a sistemas financieros internacionales.

Cuando Lazarus y los actores de amenaza norcoreanos relacionados atacaron bancos globales, no comenzaron irrumpiendo directamente en una red financiera blindada. Una vez más, empezaron por el eslabón más débil: el ser humano.

Los empleados bancarios y el personal del sector financiero fueron atacados con mensajes de spear-phishing altamente convincentes. Estas campañas utilizaron documentos de apariencia profesional disfrazados de ofertas de empleo, escalas salariales, materiales de reclutamiento o comunicaciones financieras internas. A primera vista, estos archivos parecían ordinarios. No parecían un arma cibernética. Parecían algo que un empleado ocupado podría abrir fácilmente durante una jornada laboral normal.

Eso es exactamente lo que los hacía peligrosos.

Desde una perspectiva de ciberseguridad, ¿qué ocurrió aquí? ¿Por qué no se detuvo?

Los firewalls, los filtros de correo corporativo y las herramientas de seguridad tradicionales escanearon el mensaje entrante y el archivo adjunto. En la mayoría de los casos, estos sistemas buscaban patrones de phishing conocidos, comportamiento sospechoso de archivos, scripts peligrosos o infraestructura de ataque previamente identificada.

Pero el verdadero peligro no era visible en la primera capa.

El PDF parecía un documento normal. Contenía texto, marca corporativa, una breve instrucción y un enlace que parecía formar parte de un proceso de verificación legítimo. El empleado vio un mensaje similar a:

"Este documento está protegido. Para ver el contenido completo, por favor verifique con su cuenta corporativa."

En ese momento, el archivo en sí ya no era el arma final. Se convirtió en el mecanismo de entrega.

El ataque real comenzó cuando el empleado hizo clic en el enlace incrustado.

Ese enlace redirigió a la víctima a una página de inicio de sesión falsa diseñada para imitar un sistema corporativo o bancario de confianza. Una vez que el empleado ingresó sus credenciales, los atacantes utilizaron ese acceso para adentrarse en la red, buscar sistemas financieros sensibles y eventualmente alcanzar la infraestructura utilizada para transferencias monetarias internacionales.

Así es como un documento de apariencia inofensiva se convirtió en el comienzo de un desastre financiero.

El resultado de estas operaciones bancarias fue enorme. Los actores vinculados a Corea del Norte fueron acusados de intentar robar más de 1.200 millones de dólares a bancos de todo el mundo comprometiendo redes bancarias y enviando mensajes SWIFT fraudulentos. Solo en el robo al Banco de Bangladesh, los atacantes intentaron mover cerca de 1.000 millones de dólares y robaron exitosamente 81 millones de dólares antes de que se detuviera la operación completa.

Desde fuera, estos bancos parecían fortalezas.

Contaban con controles de acceso estrictos, procedimientos internos, sistemas de monitoreo financiero e infraestructura bancaria global a su alrededor.

Pero la primera grieta no apareció dentro de la red SWIFT.

Comenzó con un solo empleado abriendo un archivo que parecía attachments.pdf.

¿Qué habría cambiado si PhiShark hubiera estado allí?

Los productos tradicionales son estáticos. Inspeccionan un archivo mientras entra a través del servidor de correo, lo escanean una vez, lo etiquetan como "limpio" y lo dejan ahí. Lo que sucede después de que se abre el archivo suele estar fuera de su campo de visión.

Aquí es exactamente donde la lógica de protección de PhiShark ilumina el punto ciego.

En el momento en que un usuario sube este PDF sospechoso directamente desde la sección "Escanear archivo" de nuestra Extensión de Navegador, PhiShark no escanearía el archivo solo superficialmente. Extraería la URL oculta dentro del documento, la pasaría por nuestros módulos de análisis con IA agéntica y detectaría en segundos que el destino final era una trampa de phishing.

Incluso si el PDF en sí parecía limpio, PhiShark entendería la verdadera intención detrás de él.

Porque en el phishing moderno, la parte maliciosa no siempre es el archivo en sí.

A veces, el archivo es solo la puerta.

De esa manera, la trampa de phishing cuidadosamente preparada por los atacantes sería neutralizada desde el principio, antes de que el empleado ingresara sus credenciales, antes de que los atacantes alcanzaran los sistemas internos y antes de que se enviara una sola instrucción de transferencia fraudulenta.

Un desastre bancario de millones de dólares podría detenerse dentro de un solo PDF.

El frente cibernético ahora es multidimensional. Está pasando de los enlaces tradicionales a los PDF, y ahora del mundo físico al mundo digital. En la próxima y última parte de nuestra serie, hablaremos sobre los ataques de "Phishing QR" o "Quishing" que dejan a las herramientas de seguridad tradicionales completamente ciegas, y la arquitectura del ecosistema de PhiShark.

Manténgase seguro. Lea el artículo original en nuestro blog y pruebe PhiShark o instale la Extensión de Protección contra Phishing en el Navegador de PhiShark.

Ah, y la parte final llega pronto — los códigos QR están a punto de ponerse interesantes. Estén atentos. :D

Saludos, Ozan.