Sophos detectó una nueva ola de ciberataques en la que herramientas legítimas, ampliamente utilizadas por especialistas en TI y desarrollo de software, se convierten en escondites perfectos para robar datos y desplegar Ransomware.
El nuevo truco de los ciberdelincuentes no es un malware más sofisticado, sino algo mucho más silencioso: esconderse a plena vista.
Investigadores de Sophos alertaron sobre un aumento en ataques que utilizan QEMU, una herramienta legítima utilizada en desarrollo de software y virtualización, para crear máquinas virtuales ocultas dentro de sistemas comprometidos. Desde ahí, los atacantes pueden operar durante semanas o incluso meses sin ser detectados.
La lógica es simple, pero preocupante: todo lo que ocurre dentro de una máquina virtual es prácticamente invisible para muchas soluciones de seguridad tradicionales. Es decir, los hackers pueden robar credenciales, moverse dentro de la red e incluso preparar un ataque de Ransomware sin dejar rastro en el equipo principal.
Sophos identificó al menos dos campañas activas detrás de esta técnica. En una de ellas, los atacantes crean accesos remotos encubiertos mediante túneles SSH, mientras recolectan credenciales críticas del sistema. En otra, explotan vulnerabilidades recientes para tomar control inicial y luego montar un «laboratorio» completo de ataque dentro de la máquina virtual, instalando herramientas avanzadas para escalar privilegios y extraer información.
Lo más llamativo es el nivel de sigilo: en algunos casos, los ciberdelincuentes utilizan aplicaciones tan comunes como editores de texto o incluso herramientas básicas del sistema para moverse dentro de la red sin levantar sospechas.
El objetivo final suele ser el mismo: desplegar Ransomware como PayoutsKing o vender el acceso a otros grupos criminales. Pero lo que cambia es el camino: ahora, ese proceso ocurre dentro de entornos ocultos que funcionan como refugios digitales.
Para las empresas chilenas el riesgo es claro. Este tipo de ataques no solo evade la detección tradicional, sino que también permite a los atacantes permanecer más tiempo dentro de la red, aumentando el impacto potencial.
La recomendación de los expertos es reforzar la visibilidad: monitorear comportamientos inusuales, detectar herramientas de virtualización no autorizadas y prestar atención a conexiones sospechosas, especialmente aquellas que utilizan puertos poco comunes.
Porque si algo deja claro esta tendencia es que el problema ya no es solo qué entra a la red de una empresa, organización o incluso a una personal, sino lo que puede estar pasando dentro sin levantar sospecha.
Esta y otras investigaciones sobre ciberseguridad pueden consultarse en el blog de Sophos.
