Es evidente que los archivos PDF son parte de nuestra vida cotidiana, tanto en lo laboral como en lo personal. Esta popularidad es una de las razones por las que los cibercriminales los utilizan como una gran herramienta para el engaño.

Los PDF son archivos simples, ampliamente utilizados y que, en principio, no levantan sospechas. Funcionan en casi cualquier sistema operativo y existe una gran cantidad de software y sitios web gratuitos donde leerlos y modificarlos.

Por eso es fundamental estar atentos, verificar el origen de los archivos y adoptar buenas prácticas de seguridad. Un PDF malicioso puede parecer inofensivo, pero detrás puede esconder código o scripts maliciosos que puedan explotar vulnerabilidades o descargar malware.

Los atacantes se esfuerzan por evitar que sean detectados por los usuarios y simulen ser PDF legítimos. Es fácil que contengan elementos maliciosos que a simple vista son imperceptibles, especialmente para usuarios ajenos a la ciberseguridad o informática.

De acuerdo con el último Threat Report de ESET, los archivos PDF se encuentran en el sexto lugar del TOP 10 de detecciones de amenazas, y son una de las tendencias en ataques mediante correos electrónicos maliciosos.

A continuación, te contamos cómo identificar un PDF malicioso y a qué debes prestar atención cuando recibís un archivo de este tipo.

¿Qué puede hacer un PDF malicioso?

Un PDF malicioso puede instalar o descargar malware, robar información privada o sensible, o incluso explotar vulnerabilidades del sistema o de los lectores para PDF.
Generalmente, se distribuyen como adjuntos en correos de phishing que apelan a la urgencia, la emoción o la preocupación para inducirte a que los abras.

Para un análisis técnico sobre PDFs maliciosos te invitamos a leer también: Archivos PDF: cómo son utilizados para distribuir malware

Formas comunes de disfrazar PDF maliciosos

Entre los ejemplos más comunes, se encuentran PDF que simulan ser:

  • Facturas de compra o de deudas, con nombres como “Factura.pdf”
  • Currículums laborales, principalmente en ataques dirigidos a empresas
  • Resultados de estudios médicos
  • Documentos vinculados a entidades financieras, bancarias o gubernamentales

¿Cómo funcionan?

Uno de los métodos más comunes que utilizan los atacantes es incrustar scripts —fragmentos de código— que pueden estar diseñados para descargar malware, abrir conexiones remotas o ejecutar comandos y procesos en segundo plano, entre otras acciones maliciosas.
También pueden contener enlaces ocultos que se abren al interactuar con ciertas funcionalidades del archivo.
Además, como mencionamos, pueden aprovechar alguna vulnerabilidad o falla de lectores populares, como Adobe Reader, Foxit, entre otros.

Ejemplo de campañas utilizando PDF maliciosos

Una campaña de phishing documentada por ESET utilizó archivos PDF para distribuir el troyano bancario Grandoreiro. El ataque comenzaba con un enlace malicioso que derivaba en la descarga del PDF infectado.

pdfs-malware-detectar-riesgo.afip
Imagen 1: Mail de phishing suplantando a agencia de gobierno argentino, con link malicioso que lleva a descarga de archivo pdf falso

Como se observa, a continuación, la apariencia del documento, en un primer momento, no genera desconfianza y se presenta simulando ser un archivo PDF real.

pdfs-malware-detectar-riesgo
Imagen 2: link de descarga del PDF malicioso.

¿Cómo se detecta un PDF malicioso?

Existen ciertas señales que podrían indicar que hemos recibido un PDF malicioso. Para identificarlos, es importante tener en cuenta algunas de las siguientes características:

  • Viene comprimido en un ZIP o RAR: Para evitar que los sistemas o antivirus los detecten, suelen ser comprimidos para evadir filtros de correos electrónicos e incluso ocultar otras extensiones sospechosas.
  • Tiene nombres engañosos o genéricos, como documento.pdf.exe o Factura.pdf: Al estar las campañas usualmente dirigidas a muchos usuarios, se tiende a colocar nombres genéricos o aprovechar la extensión .pdf para confundir y enviar un .exe —que incluso puede estar oculta.
  • El remitente no coincide con lo que dice el archivo: Por ejemplo, si un mail dice ser de una entidad o persona conocida, pero el remitente no es identificable. Un dominio extraño es una clara señal de alerta.
  • No tiene sentido recibirlo: Pregúntate si esperabas ese archivo, si conoces al remitente o si tiene lógica que te lo envíe.

Cómo actuar ante la sospecha de PDF malicioso

Ante la sospecha de que has recibido un PDF malicioso, aquí te damos algunas recomendaciones para analizar el archivo y determinar su naturaleza:

  • Analizarlo en VirusTotal: En este sitio se puede cargar el documento sospechoso y analizarlo con múltiples antivirus.
  • Activar la vista de extensiones en el explorador de archivos del sistema operativo, para ver la extensión real de los archivos y detectar intentos de engaño.
  • Chequear el tamaño y nombre del archivo antes de abrirlo
  • Evitar abrir archivos comprimidos sospechosos
  • Usar siempre visores de PDF actualizados a las últimas versiones, para evitar explotación de vulnerabilidades conocidas.
  • Usar siempre soluciones de seguridad, como antivirus y antimalware, para poder detectar amenazas.

¿Qué se debe hacer si ya se abrió el PDF?

Para el caso de haber abierto un PDF malicioso, existen varias medidas que se pueden tomar:

  • Desconectarse de internet: Esto podría evitar que se complete la cadena de infección y que ingrese un malware, o evitar que el dispositivo infectado se conecte con el servidor de los criminales (C2). También evita que se exfiltre información o se descarguen herramientas adicionales, así como que la infección se propague a otros dispositivos conectados a la misma red.
  • Escanear el equipo con antimalware: Si el PDF contenía o descargó malware, el escaneo podría detectarlo.
  • Revisar los procesos activos del sistema: Esto permitirá identificar la presencia de procesos sospechosos o que no deberían estar abiertos. También permite ver si hay un consumo anormal de CPU, red o memoria.
  • Cambiar las contraseñas: Dada la posibilidad de infección, es recomendable cambiar las contraseñas de mail, redes, cuentas financieras, etc., para evitar que los criminales puedan utilizar aquellas que logren filtrar.
  • Contactar con profesionales: Ante la duda, y si no se tiene suficiente conocimiento, siempre es recomendable acudir a especialistas que puedan identificar intrusiones.

Conclusión

Los archivos PDF son parte de nuestra vida cotidiana, pero también pueden ser utilizados como herramientas de engaño por los cibercriminales. Mantener buenas prácticas de seguridad, verificar el origen de los archivos y estar atentos a señales de alerta es clave para protegerse.