- Una web fraudulenta simula ser el soporte oficial de Microsoft y ofrece una falsa actualización de Windows 11 24H2.
- El archivo MSI parece legítimo, se ha creado con WiX Toolset y se camufla como instalador oficial de Microsoft.
- El malware roba contraseñas, datos bancarios, cookies de sesión y credenciales de servicios como Discord.
- Las actualizaciones de Windows deben descargarse solo desde Windows Update o el catálogo oficial de Microsoft.
Una nueva oleada de ciberataques está aprovechando el tirón de Windows 11 para colar un software malicioso que se hace pasar por una actualización oficial del sistema. El objetivo es claro: robar contraseñas, datos de pago y credenciales de acceso a distintos servicios online sin que el usuario sospeche.
La campaña, detectada y analizada por investigadores de Malwarebytes, utiliza un sitio web que imita con gran precisión el portal de soporte de Microsoft. Desde ahí se ofrece una supuesta actualización acumulativa para Windows 11 versión 24H2 que, en realidad, instala un ‘malware’ avanzado especializado en el robo de información.
Cómo funciona la falsa actualización de Windows 11 24H2
Los atacantes han puesto en marcha una página fraudulenta con apariencia casi idéntica al soporte oficial de Microsoft. El dominio recurre a técnicas de typosquatting (errores mínimos en la dirección web) para que, a primera vista, parezca legítimo y pase desapercibido para el usuario medio.
En esta web se ofrece una “actualización acumulativa” para Windows 11 24H2, acompañada de un número de artículo técnico, descripciones muy detalladas sobre mejoras de rendimiento, parches de seguridad y cambios en el menú Inicio, todo escrito con un tono muy similar al de la base de conocimientos de Microsoft.
La descarga se presenta a través de un llamativo botón azul que invita a obtener el archivo “WindowsUpdate 1.0.0.msi” (o variantes muy parecidas como “Windowsupdate1.0.0.msi”). Este instalador tiene un tamaño aproximado de 83 MB y está empaquetado con WiX Toolset, una herramienta legítima que se usa habitualmente para crear instaladores en Windows.
Para completar el engaño, los ciberdelincuentes han manipulado los metadatos del archivo MSI de forma que figure como si estuviera desarrollado por Microsoft y con descripciones que recuerdan a las de un paquete oficial. Todo ello hace que muchos usuarios bajen la guardia y lo ejecuten sin pensar que están instalando malware.
Qué hace el malware una vez se ejecuta en el equipo
En el momento en que el usuario ejecuta el falso instalador, se inicia la cadena de infección. El MSI despliega una aplicación basada en Electron en la carpeta AppData del sistema y, desde ahí, comienza a descargar y ejecutar componentes adicionales.
Entre estos componentes se encuentran módulos de Python y código JavaScript ofuscado que contienen la lógica principal del infostealer. Herramientas como pycryptodome o psutil se utilizan para recopilar y cifrar la información sustraída antes de enviarla a la infraestructura controlada por los atacantes.
El malware es capaz de recolectar una gran variedad de datos: contraseñas almacenadas en el navegador, cookies de sesión, métodos de pago guardados, información de acceso a servicios en la nube e incluso credenciales de plataformas como Discord, modificando sus aplicaciones instaladas para interceptar tokens de acceso y cambios de contraseña.
Además de las credenciales, el programa malicioso obtiene la dirección IP pública y la ubicación aproximada del dispositivo, lo que permite a los atacantes filtrar a sus víctimas por región e incluso adaptar las campañas a cada mercado local, algo especialmente preocupante para usuarios de Europa y España, donde estas tácticas empiezan a aparecer cada vez con más frecuencia.
La información robada se transfiere a los atacantes a través de servicios de almacenamiento y plataformas en la nube, como GoFile para subir los datos y estructuras de comando y control alojadas mediante servicios como Render o Cloudflare Workers, lo que complica su rastreo y bloqueo.
Mecanismos para ocultarse y resistir en el sistema
Uno de los aspectos que más inquieta a los especialistas es la capacidad del malware para pasar desapercibido incluso ante soluciones de seguridad avanzadas. Según el análisis de Malwarebytes, el archivo MSI inicialmente no fue marcado como peligroso por decenas de motores antivirus.
Este éxito se explica porque la carga maliciosa se oculta dentro de código JavaScript altamente ofuscado y componentes legítimos de Electron, una combinación que muchas soluciones de seguridad no inspeccionan en profundidad. Para el usuario, todo parece un instalador normal que no dispara alertas inmediatas.
Para asegurar su permanencia en el sistema, el malware implementa varios mecanismos de persistencia. Uno de ellos es la modificación del registro de Windows creando entradas con nombres que suenan a componentes oficiales, como “SecurityHealth”, lo que imita al servicio real de notificaciones de seguridad del sistema.
Otro truco empleado es la creación de accesos directos falsos en la carpeta de inicio automático, por ejemplo, un archivo “Spotify.lnk” que supuestamente abre el popular reproductor, pero que en realidad lanza el código malicioso cada vez que se arranca el ordenador.
La combinación de un señuelo muy trabajado, un instalador MSI generado de forma legítima, una envoltura en Electron y una carga útil de Python en tiempo de ejecución muestra hasta qué punto han evolucionado los programas de robo de datos modernos, que ya no se limitan a ejecutables simples fácilmente detectables.
Alcance de la campaña y riesgo para usuarios en Europa
La campaña fue identificada inicialmente en Francia, con el sitio fraudulento en idioma francés, pero los expertos señalan que este tipo de operaciones se pueden adaptar rápidamente a otros países y lenguas, por lo que el riesgo para usuarios en España y el resto de Europa es real.
Los ciberdelincuentes suelen apoyarse en filtraciones de datos previas y perfiles de usuarios para diseñar páginas cada vez más convincentes, ajustadas al contexto local (idioma, moneda, referencias a servicios regionales, etc.). Esto facilita que el engaño cale entre víctimas que buscan soluciones rápidas a problemas con Windows 11 o que simplemente quieren mantener el sistema al día.
Aunque, de momento, no se ha hecho pública una campaña masiva específica para el mercado español, los analistas de seguridad subrayan que no hay nada que impida reutilizar la misma técnica cambiando únicamente el idioma y algunos textos. Dado que Windows 11 está cada vez más extendido, el volumen potencial de afectados en Europa es elevado.
Este tipo de ataques suele repartirse utilizando distintos canales de distribución: enlaces en correos electrónicos, mensajes en redes sociales, anuncios maliciosos (malvertising) o publicaciones en foros y páginas de dudosa reputación que prometen “parches rápidos” o “arreglos inmediatos” a errores del sistema.
En un contexto donde los fallos y vulnerabilidades en Windows han sido tema recurrente, los atacantes se aprovechan del descontento y la prisa de muchos usuarios por solucionar fallos de actualización, lo que aumenta las probabilidades de que se descarguen e instalen estos supuestos paquetes correctivos sin comprobar su origen real.
Cómo evitar caer en la trampa de las falsas actualizaciones
La recomendación principal de los expertos es no instalar nunca actualizaciones de Windows descargadas desde enlaces externos, ya sea a través de correos, mensajes directos, páginas de terceros o ventanas emergentes que prometen “reparar” el sistema.
Microsoft distribuye sus actualizaciones oficiales únicamente a través de Windows Update y el catálogo oficial de Microsoft. Para comprobar si el equipo está al día, basta con abrir el menú de Configuración, acceder a la sección “Windows Update” y pulsar en “Buscar actualizaciones”. Cualquier otra vía que prometa obtener parches del sistema debería considerarse sospechosa.
Es fundamental revisar siempre la dirección web (URL) del sitio desde el que se pretende descargar una actualización o una herramienta relacionada con el sistema operativo. El dominio debe terminar en “microsoft.com”; si aparecen variaciones mínimas, palabras añadidas o extensiones extrañas, lo más prudente es cerrar la página.
El soporte oficial de Microsoft también insiste en que la compañía no solicita datos personales o financieros a través de llamadas inesperadas, correos sospechosos o mensajes emergentes en pantalla. Si en algún momento aparece un aviso con un número de teléfono para “contactar con soporte” y solucionar un problema urgente, lo más seguro es que se trate de una estafa.
Además, se recomienda mantener activadas y actualizadas las soluciones de seguridad y navegación segura, así como revisar periódicamente la actividad inusual en cuentas bancarias, correos y servicios en la nube. En caso de duda, es preferible consultar directamente las páginas oficiales de Microsoft o de la solución antivirus antes de hacer clic en un enlace comprometido.
Esta campaña que explota una falsa actualización de Windows 11 deja claro que los atacantes siguen perfeccionando sus tácticas, mezclando ingeniería social muy cuidada con herramientas técnicas sofisticadas. Estar atentos al origen de las descargas, desconfiar de cualquier actualización fuera de Windows Update y vigilar las direcciones web se ha convertido en una rutina imprescindible para cualquiera que use Windows en España o en el resto de Europa.
