Tecnología

El sofisticado engaño que hay detrás de una supuesta actualización de Windows: así funciona la nueva amenaza

Expertos advierten que la combinación de técnicas de ‘phishing’ con instaladores legítimos evidencia una nueva generación de ‘malware’ mucho más difícil de detectar.

GoogleSiga de cerca las tendencias en tecnología y ciencia en Discover

Redacción Tecnología
14 de abril de 2026 a las 10:04 a. m.
La recomendación principal es realizar actualizaciones únicamente desde la configuración oficial.
La recomendación principal es realizar actualizaciones únicamente desde la configuración oficial. Foto: Getty Images

Una página web fraudulenta se ha hecho pasar por el soporte técnico de Microsoft para inducir a las víctimas a instalar una supuesta actualización de Windows que en realidad contiene un malware diseñado para robar contraseñas, datos bancarios y credenciales de acceso.

El mensaje que avisa si su celular tiene un virus: así puede eliminarlo para que delincuentes no ataquen sus cuentas bancarias

La campaña fue descubierta por la firma de seguridad Malwarebytes, que identificó un dominio con un error ortográfico y un diseño prácticamente idéntico al del soporte oficial de Microsoft. En este sitio se promocionaba la actualización acumulativa Windows 24H2.

La página incluía un botón de descarga y un número de la Base de conocimientos (KB), lo que reforzaba su apariencia legítima. Sin embargo, lo que realmente se descargaba era un archivo denominado “WindowsUpdate 1.0.0.msi”, de 83 MB, aparentemente inofensivo. Este instalador había sido compilado con WiX Toolset 4.0.0.5512, un marco de código abierto, según explicó la compañía en su blog.

De hecho, Malwarebytes no detectó amenazas en sus 69 motores antivirus. La firma señaló que el malware se ocultaba en el código JavaScript de una aplicación basada en Electron que se ejecutaba al instalar el paquete MSI.

Empresas y usuarios deberán cambiar a OneNote para Windows ante la inminente ralentización de su versión en Windows 10.
Una página web fraudulenta imitó el sitio oficial de soporte técnico de Microsoft. Foto: dpa/picture alliance via Getty I

Una vez en el sistema, el programa instalaba varios paquetes de Python que incluían herramientas de robo de información, como pycryptodome, psutil, pywin32 y PythonForWindows. Para mantenerse activo tras reiniciar el equipo, el software malicioso creaba una entrada en el Registro con un nombre que simulaba ser Windows Health y generaba un acceso directo de Spotify para ejecutarse automáticamente al iniciar el sistema.

“La combinación de un señuelo de phishing adaptado al mercado local, un instalador MSI legítimo, una envoltura en Electron y una carga útil de Python implementada en tiempo de ejecución evidencia la evolución de los programas de robo de datos”, advirtió Malwarebytes.

Los piratas informáticos están al acecho de datos personales de los usuarios que puedan usar a su favor.
El código malicioso estaba escondido en JavaScript. Foto: Getty Images

Ante este tipo de amenazas, la compañía recomienda revisar las claves del Registro, comprobar que la aplicación de Spotify instalada sea la oficial, eliminar archivos temporales, cambiar las contraseñas almacenadas en el navegador y activar la autenticación en dos factores.

Sobre todo, recuerda que la forma más segura de actualizar el sistema operativo es hacerlo directamente desde el menú de configuración de Windows, evitando así riesgos provenientes de fuentes externas.

*Con información de Europa Press