Los archivos en formato de documento portátil (PDF) se utilizan diariamente tanto en el mundo corporativo como por parte de particulares. Los PDF también se han convertido en documentos con funciones avanzadas como formularios interactivos, contenido multimedia y scripts.
Los PDF maliciosos están diseñados para parecer completamente inofensivos: una factura, una oferta de trabajo, comunicaciones bancarias, un libro electrónico o incluso una tarjeta de embarque.
El objetivo es generar una sensación de urgencia y aparentar credibilidad para que una persona abra el archivo sin pensárselo demasiado.
Y bajo el capó, pueden esconder sorpresas desagradables
Algunos PDF contienen código JavaScript que se ejecuta tan pronto como se abre el archivo.
Este código malicioso puede descargar malware, enviar a la víctima a un sitio de phishing, o explotar una vulnerabilidad en el lector de PDF.
Si tu software no está actualizado, un PDF malicioso puede usar esa laguna para instalar troyanos, spyware, o cualquier otra cosa.
Los atacantes también pueden ocultar archivos, en formato .exe o .bat, dentro de un PDF. Si te engañan y los ejecutas, tu dispositivo se infectará.
Algunos PDF infectados pueden instalar herramientas de acceso remoto, lo que permite tomar el control del sistema. Aunque este tipo de ataque es más común en entornos corporativos, los usuarios particulares no somos completamente inmunes.
Pero no todos los ataques se basan en código.
Algunos archivos PDF simplemente se utilizan para mostrar formularios de inicio de sesión falsos con el fin de robar credenciales de cuentas en línea.
¿Puede un PDF infectar un dispositivo sin abrirlo?
En principio, un PDF no puede infectar tu dispositivo a menos que lo abras. Guardarlo en la carpeta de descargas no suele ser suficiente para desencadenar un ataque.
Pero hay excepciones.
Algunas aplicaciones de correo electrónico y exploradores de archivos (como Mac Finder o Windows Explorer) previsualizan automáticamente los PDF.
Si hay un error en la función de vista previa, podría activar el código malicioso, sin necesidad de abrir el archivo.
Sin embargo, estos ataques de «clic cero» son raros y generalmente se utilizan en campañas dirigidas contra personas «de interés», no contra usuarios domésticos.
Cómo escanear un PDF en busca de malware
Hay varios servicios gratuitos en línea que escanean archivos utilizando docenas de motores antivirus:
El antivirus instalado en el dispositivo también pueden detectar amenazas en archivos PDF si el atacante utiliza algún tipo de malware convencional.
Escanear un archivo antes de abrirlo es una medida inteligente, especialmente si proviene de un remitente desconocido, o incluso de un contacto de confianza cuya cuenta podría haber sido pirateada.
Pero incluso si el resultado del análisis es negativo, sé cauteloso.
Puede darse el caso de que el PDF este protegido por contraseña.
Cuando un archivo adjunto está protegido con contraseña, el escáner de seguridad no puede abrirlo para inspeccionar su contenido.
Solo ve una «burbuja encriptada» y, en muchos casos, da por supuesto que se trata de datos confidenciales legítimos
Por otro lado, una contraseña implica confidencialidad e importancia.
Esta técnica clásica de ingeniería social hace que el destinatario crea que el archivo contiene información sensible destinada específicamente a él.
Si recibes un PDF protegido por contraseña y no puedes confirmar su legitimidad mediante algún medio alternativo como una llamada telefónica, lo mejor es eliminarlo.
Si es legítimo, se supone que habrás acordado previamente la contraseña con el remitente. Si la desconoces nunca se te ocurra intentar abrirlo.
Señales de que un PDF puede ser peligroso
Antes de abrir un archivo, es una buena idea verificar si hay signos que se repiten en las distintas campañas de distribución de malware.
Cuantas más señales se acumulen, mayor será la probabilidad de riesgo:
- Enlaces sospechosos: hipervínculos que apuntan a dominios extraños, direcciones acortadas o sitios no cifrados.
- Permisos o acciones inusuales: solicitudes para habilitar macros, descargar contenido remoto, o ejecutar elementos incrustados.
- Peso atípico: Archivos que son sorprendentemente ligeros en comparación con la información que contienen, o excesivamente pesados.
- Archivos adjuntos PDF comprimidos mediante ZIP o RAR: Se utilizan para evadir los filtros de correo electrónico.
- Remitente dudoso: direcciones que no coinciden con la entidad a la que afirman representar o pequeñas variaciones en el dominio.
Prevención
Como dijo Sócrates, “Si alguien busca la salud, pregúntale si está dispuesto a evitar en el futuro las causas de la enfermedad".
- Desactiva JavaScript en tu lector de PDF.
- Utiliza un lector de PDF seguro y actualizado.
- Ponte en contacto con el remitente para verificar si la procedencia del archivo es legítima.
- No permitas que el lector de PDF ejecute archivos utilizando una aplicación externa.
- Mantén deshabilitadas las macros (un pequeño programa que automatiza las tareas). Los archivos maliciosos pueden persuadirte para que las habilites, pero no debes hacerlo a menos que sea muy necesario.
Hemos de ser escépticos, pero no paranoicos. La mayoría de archivos que recibimos acostumbran a ser legítimos.
Pero nunca está de más adoptar unos hábitos básicos para identificar archivos PDF sospechosos.
