Una investigación de HP Wolf Security ^[i] descubre sitios web de reserva de viajes falsos, con ventanas emergentes de cookies maliciosas dirigidas a los turistas antes de las vacaciones de verano.

LIMA, 23 de junio de 2025 — HP Inc. (NYSE: HPQ) publicó su más reciente Informe de inteligencia sobre amenazas cibernéticas , que muestra cómo los atacantes siguen aprovechándose del “cansancio por clics” de los usuarios, en especial durante los momentos de navegación rápida y urgente, como la reserva de ofertas de viajes.

Con base en el análisis de los ciberataques en el mundo real, el informe ayuda a que las organizaciones se mantengan al día con las últimas técnicas utilizadas por los ciberdelincuentes para evadir la detección y vulnerar la seguridad de las PC en el cambiante panorama de la ciberdelincuencia.

El informe detalla una investigación sobre dominios sospechosos, relacionada con una campaña previa basada en CAPTCHA , que descubrió sitios web falsos dedicados a la reserva de viajes. Los sitios falsificados presentan una imagen de marca que imita una conocida plataforma de reservas de viaje , pero con el contenido difuminado, así como un banner de cookies engañoso, diseñado para inducir a los usuarios a hacer clic en “Aceptar”, con lo cual desencadenan la descarga de un archivo JavaScript malicioso.

Al abrir el archivo, se instala XWorm, un troyano de acceso remoto (RAT), que brinda a los atacantes el control total del dispositivo, incluido el acceso a los archivos, las cámaras web y los micrófonos, así como la capacidad de implementar más malware o deshabilitar herramientas de seguridad.

La campaña se detectó por primera vez en el primer trimestre de 2025 y coincide con el periodo más alto de reservas para las vacaciones de verano, una época en la que los usuarios son especialmente vulnerables a los señuelos relacionados con los viajes. Sin embargo, esta campaña permanece activa, y se siguen registrando y utilizando nuevos dominios para ofrecer el mismo señuelo relacionado con las reservas.

Patrick Schläpfer, investigador principal de amenazas cibernéticas en el laboratorio de seguridad de HP, explica:

“Desde la introducción de las normativas de privacidad como el RGPD, las solicitudes para aceptar cookies se han normalizado tanto que la mayoría de los usuarios han adquirido el hábito de “hacer clic primero y pensar después”. Al imitar la apariencia de un sitio web de reservas en un momento en el que los turistas se apresuran a planificar sus viajes, los atacantes no necesitan técnicas avanzadas: basta con una solicitud oportuna y el instinto del usuario para hacer clic”.

Con base en los datos de millones de dispositivos de punto final que ejecutan HP Wolf Security ¹ , los investigadores de amenazas cibernéticas de HP también descubrieron:

• Archivos impostores ocultos a simple vista: los atacantes utilizaron archivos de la Biblioteca de Windows para introducir malware en carpetas locales de aspecto familiar, como “Documentos” o “Descargas”. A las víctimas se les presentaba una ventana emergente del Explorador de Windows que exhibía una carpeta WebDAv remota, con un acceso directo similar a un PDF, que ejecutaba el malware al hacer clic.
• Trampa de PowerPoint que imita la apertura de una carpeta: un archivo de PowerPoint malicioso abierto, en modo de pantalla completa, simula la apertura de una carpeta estándar. Al hacer clic en la tecla escape, se activa la descarga de un archivo comprimido que contiene un VBScript y un ejecutable, con lo cual se extrae una carga útil alojada en GitHub para infectar el dispositivo.
• Instaladores MSI en auge: los instaladores MSI se encuentran ahora entre los principales tipos de archivos utilizados para distribuir malware, impulsados principalmente por campañas de ChromeLoader. Con frecuencia distribuidas a través de sitios web de software falsificados y publicidad maliciosa, estos instaladores utilizan certificados de firma de código válidos y emitidos recientemente para parecer confiables y eludir así las advertencias de seguridad de Windows.

Al aislar las amenazas que logran evadir las herramientas de detección en las PC —y permitir que el malware se ejecute de forma segura dentro de contenedores seguros— HP Wolf Security ¹ obtiene información detallada sobre las técnicas más recientes utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security ¹ han hecho clic en más de 50,000 millones de archivos adjuntos de correo electrónico y páginas web, y han descargado archivos sin que se hayan reportado infracciones.

El Dr. Ian Pratt, jefe de seguridad de Sistemas Personales de HP Inc., comentó:

“Los usuarios se están regresando cada vez más insensibles a las ventanas emergentes y las solicitudes de permiso, lo que facilita el ingreso de los atacantes. Por lo general, no son técnicas sofisticadas, sino momentos de rutina que sirven para atrapar a los usuarios. Entre más expuestos estén los usuarios a estas interacciones, mayor será el riesgo. Aislar los momentos de alto riesgo, como hacer clic en un contenido no confiable, ayuda a las empresas a reducir su superficie de ataque sin tener que predecir todos los ataques”.