España se encuentra entre los países afectados por una nueva oleada de ataques de phishing dirigida a empresas, según una investigación de WatchGuard Technologies. Estas campañas, detectadas también en otros mercados europeos y en Latinoamérica, buscan robar credenciales y datos sensibles mediante el uso del conocido malware FormBook.
El análisis muestra que los ciberdelincuentes están utilizando correos electrónicos que simulan comunicaciones comerciales habituales —como pedidos, pagos o presupuestos— para engañar a los usuarios. En el caso de España, se han identificado adjuntos con nombres como “PAGO_” o “COTIZACIÓN_”, diseñados para parecer legítimos y aumentar la tasa de apertura.
El phishing sigue siendo una de las puertas de entrada más efectivas para los atacantes
FormBook no es una amenaza nueva, pero sigue siendo eficaz. Su capacidad para capturar credenciales, extraer datos de navegadores o incluso realizar capturas de pantalla, junto con técnicas avanzadas para evitar ser detectado, lo mantienen como una herramienta habitual en este tipo de campañas.
La investigación identifica dos cadenas de infección diferenciadas. En la primera, los atacantes utilizan archivos comprimidos que contienen ejecutables legítimos manipulados para cargar librerías maliciosas (DLL), desde las que se despliega el malware. En la segunda, recurren a JavaScript ofuscado, PowerShell, cifrado AES y cargadores personalizados para ejecutar FormBook en el sistema comprometido.
Más allá del propio malware, lo relevante es la combinación de técnicas utilizadas. Los atacantes mezclan herramientas legítimas del sistema con código malicioso para pasar desapercibidos, lo que complica su detección y obliga a los equipos de seguridad a ir más allá de los indicadores tradicionales.
El hecho de que España figure entre los países objetivo pone de relieve la necesidad de extremar la precaución ante correos aparentemente rutinarios. Las campañas siguen explotando un punto débil conocido: la confianza del usuario en comunicaciones que encajan con su actividad diaria.
Desde WatchGuard insisten en que no basta con una única capa de protección. Recomiendan combinar filtrado de correo, protección avanzada del endpoint, monitorización del comportamiento y formación de los empleados para reducir el riesgo frente a amenazas cada vez más sofisticadas. Eeste tipo de campañas vuelve a evidenciar que el phishing sigue siendo una de las puertas de entrada más efectivas para los atacantes, especialmente cuando se apoya en herramientas capaces de adaptarse y evadir los controles tradicionales.
