Si recibes un mensaje de WhatsApp de un contacto conocido con un adjunto que parece una factura, un extracto bancario o un aviso de deuda, no lo abras sin antes verificar. Kaspersky ha descubierto en junio de 2026 una campaña activa y en expansión que usa cuentas de WhatsApp previamente comprometidas para distribuir archivos maliciosos a los contactos de los propietarios originales. El equipo de investigación GReAT (Global Research & Analysis Team) de Kaspersky, formado por más de 35 expertos en todo el mundo, publicó el aviso esta semana. La campaña afecta principalmente a usuarios de WhatsApp Desktop y WhatsApp Web en Windows, y ya ha dejado víctimas en Malasia, Brasil, Singapur, Taiwán, Vietnam, España y México, entre otros países.El elemento más peligroso no es técnico sino psicológico: los mensajes llegan desde contactos reales. No desde una cuenta falsa o desconocida. Desde la persona con quien intercambias facturas de trabajo o actualizaciones del grupo familiar. Ese nivel de confianza es exactamente lo que hace que el porcentaje de apertura de estos adjuntos sea mucho mayor que en una campaña de phishing convencional.Cómo funciona el ataque paso a pasoEl vector inicial es la compromisión de una cuenta de WhatsApp. Los atacantes obtienen acceso a cuentas existentes y las usan como base de lanzamiento sin que los propietarios lo noten inmediatamente. Desde esa cuenta comprometida, envían a los contactos archivos adjuntos con extensiones .vbs (VBScript) que se hacen pasar por documentos comerciales habituales. Los nombres típicos incluyen variaciones como «Financial Reports.vbs», «Debt confirmation.vbs» o «Account Statement.vbs». Están traducidos al idioma del país objetivo: hay versiones en inglés, portugués, francés, alemán y malayo.El comportamiento al abrirlo difiere según la plataforma. En WhatsApp Web (navegador), el archivo se descarga primero y el usuario tiene que ejecutarlo manualmente. Eso da una pequeña ventana para detectar la amenaza y confirmar con el contacto si realmente envió algo. En WhatsApp Desktop en Windows, el doble clic sobre el adjunto puede ejecutar el archivo directamente, lo que facilita la infección.Una vez ejecutado, el VBScript inicia una cadena de infección en varias etapas. Primero crea un directorio de trabajo en **C:\Users\Public\Documents**. Luego descarga scripts adicionales desde infraestructura externa controlada por los atacantes. Finalmente, esos scripts descargan y ejecutan una herramienta de gestión y monitorización remota (RMM), que da a los atacantes acceso completo al sistema a través de capacidades de administración legítimas. Es el mismo tipo de acceso que un técnico de IT tendría sobre tu ordenador, solo que con intenciones muy distintas.Los archivos VBScript contienen además comentarios extensos y metadatos diseñados para imitar componentes legítimos de Windows Update, lo que les permite pasar algunos análisis superficiales de antivirus.Cómo se distribuyó y por qué es difícil de rastrearLa campaña usa archivos en múltiples idiomas, lo que señala un alcance geográfico deliberadamente amplio. Malasia registra el mayor número de víctimas identificadas, pero la presencia en Europa —con nombres de archivo en inglés, francés y alemán— indica que el objetivo no es regional sino global.Un detalle relevante que señala el análisis de Kaspersky: los scripts contienen comentarios en chino. Eso no implica necesariamente atribución a ningún actor estatal chino —los comentarios en chino son comunes en herramientas de crimeware distribuidas en foros de habla china—, pero tampoco se puede descartar. La campaña no ha sido atribuida definitivamente a ningún grupo concreto.El uso de cuentas comprometidas en lugar de cuentas nuevas o falsas es la decisión táctica más inteligente de los atacantes. Las cuentas comprometidas tienen historial, tienen contactos reales y tienen contexto de conversaciones anteriores. Eso hace casi imposible que el receptor sospeche a primera vista.Llevo más de una década siguiendo el desarrollo de las amenazas en plataformas de mensajería, y el patrón de comprometer cuentas reales para distribuir malware a sus contactos es una de las evoluciones más preocupantes que he observado. Las claves para proteger tu cuenta de WhatsApp de los métodos de robo más habituales describen exactamente los vectores que usan estas campañas para obtener acceso inicial.La mecánica del ataque, donde un adjunto aparentemente inofensivo descarga componentes adicionales en fases, es característica de los Remote Access Trojans (RAT) más sofisticados. Los tipos de malware que existen y cómo se propagan explican por qué este tipo de ataque en etapas es tan efectivo: cada etapa parece legítima por separado, y solo la cadena completa revela la intención maliciosa.Qué puedes hacer para no ser víctimaFareed Radzi, investigador de seguridad del equipo GReAT de Kaspersky, resume el principio fundamental: «Los atacantes explotan la confianza en las plataformas de mensajería usando cuentas de WhatsApp comprometidas para entregar adjuntos maliciosos que parecen venir de contactos conocidos, haciendo que los receptores sean mucho más propensos a interactuar con ellos.»Las medidas prácticas son claras. Primero, desconfía de cualquier adjunto no esperado, aunque venga de un contacto de confianza. Antes de abrirlo, llama o escribe por otro canal para confirmar que lo enviaron ellos deliberadamente. Segundo, nunca ejecutes archivos .vbs, .vbe, .exe, .bat, .cmd, .js o .ps1 que recibas por WhatsApp a menos que hayas verificado su legitimidad de forma independiente. Son extensiones de script ejecutable que no tienen ninguna razón legítima para llegar por mensaje.Tercero, si usas WhatsApp en el ordenador, considera preferir la versión web en el navegador sobre la app de escritorio, ya que en la web el archivo se descarga antes de ejecutarse, lo que da un paso adicional de verificación. Cuarto, mantén activada la verificación en dos pasos en WhatsApp —es la medida más efectiva para evitar que tu cuenta sea la que compromentan y usan para atacar a tus contactos—.Finalmente, ten un antivirus actualizado en Windows. Kaspersky recomienda, previsiblemente, su propio Kaspersky Premium. Pero cualquier solución de seguridad actualizada con heurística de comportamiento debería detectar los patrones anómalos de la cadena de infección antes de que el RMM se instale.Mi valoraciónLo que más me convence del aviso de Kaspersky es su especificidad técnica: no es una alerta genérica de «cuidado con los adjuntos», sino un análisis con la cadena de infección completa y los nombres de archivo reales. Eso permite tomar medidas concretas.Lo que más me preocupa es la escala potencial. WhatsApp tiene más de 2.000 millones de usuarios activos. Si los atacantes han conseguido comprometer un número significativo de cuentas y están usando cada una para distribuir malware a sus cientos de contactos, el efecto multiplicador es enorme. Malasia como epicentro sugiere que la campaña empezó en Asia y está expandiéndose.Lo más significativo es que este ataque usa WhatsApp Desktop, que tiene una adopción creciente en entornos empresariales donde se usa para comunicación con clientes y proveedores. Un ordenador de empresa infectado con una herramienta RMM puede ser el punto de entrada a una red corporativa completa.Mi predicción: en los próximos meses veremos campañas similares en Telegram Desktop y en otras plataformas de mensajería que tienen clientes de escritorio para Windows. La táctica de comprometer cuentas reales para distribuir malware a contactos de confianza es demasiado efectiva para que los actores de crimeware la abandonen.Preguntas frecuentes¿Cómo puedo saber si mi cuenta de WhatsApp ha sido comprometida y está siendo usada para distribuir malware?Los indicadores más comunes incluyen: contactos que te escriben preguntando si les enviaste algo (sin que tú recuerdes haberlo hecho), mensajes en el historial de enviados que no reconoces, y notificaciones de WhatsApp inusuales sobre actividad en otro dispositivo. Si sospechas, cierra sesión en todos los dispositivos desde Ajustes → Dispositivos vinculados → Cerrar sesión en todos, cambia la contraseña de tu correo electrónico asociado y activa la verificación en dos pasos con un PIN de 6 dígitos en Ajustes → Cuenta → Verificación en dos pasos.¿Por qué el ataque afecta principalmente a WhatsApp Desktop y Web, y no al móvil?El archivo malicioso es un script VBScript, que solo puede ejecutarse en Windows. El móvil —tanto Android como iOS— no puede ejecutar este tipo de archivo. En WhatsApp Web el archivo se descarga antes de ejecutarse, dando la oportunidad de identificarlo. En WhatsApp Desktop para Windows, el doble clic puede ejecutarlo directamente. Los usuarios de móvil que reciben el adjunto están a salvo de la infección directa, aunque sí pueden reenviar el archivo inadvertidamente.¿Cómo se propaga la campaña si parte de cuentas ya comprometidas?Los atacantes obtienen acceso a las cuentas originales probablemente a través de phishing, robo de credenciales o vulnerabilidades anteriores. Una vez dentro, usan el acceso de esa cuenta para enviar el archivo malicioso a todos sus contactos. Si uno de esos contactos abre el archivo en Windows, su sistema queda infectado con la herramienta RMM. Desde ese sistema, los atacantes pueden acceder a más contraseñas, incluyendo las de WhatsApp, y comprometer más cuentas. El ciclo se autoperpetúa.La noticia Kaspersky descubre una campaña masiva de malware que usa WhatsApp para colarse en tu ordenador con Windows fue publicada originalmente en Wwwhatsnew.com por Natalia Polo.