
Cuidado con el malware | Cortesía Pixabay
Que tal, un saludo para todos y gracias por seguir visitando este blog:
En varias ocasiones he hablado de los peligros de recibir correos electrónicos con adjuntos peligrosos o con claras artimañas en la forma de redactarlos ya que buscan estafarnos. Bueno, en esta ocasión quiero hablar de un tipo de adjunto "común" en este tipo de correos, me refiero a los adjuntos con dobles extensiones, ¿qué es eso y porqué es tan peligroso recibir este tipo de adjuntos?
En Microsoft Windows los archivos se componen de dos partes: el nombre del archivo y la extensión. El nombre del archivo, como su nombre lo indica, es el nombre por el que identificaremos al archivo, ejemplo foto.jpg, donde "foto" es el nombre del archivo como tal y ".jpg" es la extensión, es decir, el tipo de archivo.
La extensión le indica a Windows que tipo de archivo es, y como debe de abrirlo, para ello se vale de una base de datos que le indica que aplicación debe usar para abrirlo, ejemplo, este archivo tiene la extensión .jpg, por lo tanto "probablemente" usará el visor de imágenes que viene preinstalado en el sistema operativo para visualizar el archivo, en cambio si el archivo tuviera la extensión .xls o .xlsx y si tuvieramos instalado Microsoft Office, este suele configurar la base de datos de Windows para que los archivos con esa extensión se abran usando Excel. En cambio, si el archivo tiene la extensión .exe o .bat, entonces Windows entiende que son aplicaciones (en realidad .bat no es un ejecutable, pero puede comportarse como uno de ellos para estos casos) y se ejecutarán directamente.
Por regla general los archivos tienen nombre y una extensión, pero para algunas reglas suele haber una excepción, y esta es una de ellas. En Microsoft Windows los archivos pueden tener dos extensiones, ejemplo: foto.jpg.exe.
El problema:
Cuando Windows encuentra un archivo con una doble extensión, para él no es un problema, pues entiende que la parte final es la extensión real, por lo tanto si hiciéramos doble clic sobre este archivo (foto.jpg.exe) se ejecutaría, pero, si tenemos activada la opción "Ocultar las extensiones de archivos para tipos de archivos conocidos" en el explorador de archivos, veríamos el nombre del archivo de la siguiente manera:
![]()
Como vemos, aunque se encuentra a la vista el nombre foto.jpg, en ningún momento Windows nos informa que se trata de un archivo con una doble extensión (solo lo vemos en la columna tipo, pero si el usuario no es muy capto en estos aspectos puede pasar desapercibido que tipo de archivo está manejando realmente), y que la verdadera extensión es .exe, no .jpg como aparece en la imagen. Además, si a ese ejecutable yo le cambio el icono por el tipo de archivo que "se supone es" podemos engañar a la víctima, así:
![]()
Ahora solo bastaría que el usuario hiciera un doble clic sobre el archivo creyendo que efectivamente se trata de un archivo jpg para que yo pudiera hacer lo que quisiera en su pc, claro, siempre y cuando el antivirus no detecte las rutinas maliciosas.
Como adjuntos en correos electrónicos:
Ahora que entendemos el problema de tener una doble extensión y que Windows nos oculte la extensión real veamos que puede pasar si recibiéramos un correo con un adjunto de este tipo:

Este es un correo que recibimos en el trabajo, supuestamente nos envía un recibo de pago y nos invita a que lo abramos, pero si miramos el adjunto este tiene una doble extensión, .pdf.rar. El compresor de archivos Winrar permite crear archivos rar auto descomprimibles e incluso es posible invocar un ejecutable automáticamente tan pronto se abra este archivo comprimido. Sin embargo, este tipo de archivos deben tener la extensión final .exe, no .rar, por lo que me parece raro, tal vez dentro de ese archivo comprimido se encuentre un ejecutable disfrazado como un pdf y este nombre de archivo solo sea un señuelo para que lo abran confiadamente.
Debido a que el nombre del archivo tiene un nombre de archivo muy largo el visor de adjuntos del correo trunca el nombre del archivo, y la víctima puede creer que ha recibido el archivo "Banco Swift.PDF" cuando en realidad está recibiendo el archivo "Banco Swift.PDF__________________.rar" y ahí viene el problema. Podemos terminar instalando un ramsonware o un virus, o un troyano, etc en nuestra pc (si es el que el antivirus no hizo su trabajo como sucede en ocasiones) si ese adjunto contiene alguna rutina maliciosa.
Este tipo de problema también se presenta en el explorador de archivos de Windows, si a mi ejecutable le pongo un nombre muy largo (espacios idealmente) se puede ocultar incluso la doble extensión con facilidad:
![]()
Entonces ahí está el truco, si a un ejecutable le cambiamos el icono, le ponemos una doble extensión y si le ponemos nombres muy largos, de manera que al visualizarlos se trunque la verdadera extensión (o doble en este caso) se puede engañar a la víctima para hacerle creer que ha recibido un tipo de archivo, cuando en realidad está recibiendo otro tipo muy distinto.
¿Porqué sigue siendo efectivo este engaño?
Se llama "ingeniería social" al conjunto de tácticas que usan los cibercriminales para conseguir que sus víctimas instalen aplicaciones maliciosas, cedan sus credenciales o visiten sitios web donde terminarán recibiendo malware (definición de Kaspersky). Hace 20 años atrás, la mayoría de nosotros estábamos en la escuela y el correo electrónico era el medio predilecto para estar en comunicación con familiares o amigos, por ahí nos compartíamos fotos de lo que hicimos el fin de semana, lugares a los que habíamos ido, etc y los cibercriminales lo sabían. Por esa razón, hace 20 años atrás recibiamos tantos correos con adjuntos como fotos.exe, fotos.zip.exe, vacaciones.exe, vacaciones.zip.exe, etc. Y nos ponían un texto creíble, como por ejemplo: "te mando las fotos del fin de semana, chécalas." y venía uno de estos ejecutables, y no faltaba el usuario desprevenido o ignorante del tema y terminaba con un gusano instalado en su Pc que en el mejor de los casos solo esparcía el ejecutable a todos sus contactos, pero pues pudo ser mucho peor (ejemplo el virus pikachu que afortunadamente no podía ejecutar su carga destructiva por un error de su programador, ufff).
Pero ahora ya todos tenemos 40 y tantos años y trabajamos en una oficina, tenemos un negocio propio, etc y tenemos que lidiar con clientes y proveedores y los únicos correos electrónicos que recibimos son facturas, cotizaciones y avisos de pagos, ya nada de que hicimos el fin de semana o a donde fuimos de vacaciones, nada de fotos ni vídeos graciosos en el correo electrónico, ni postales por una fecha especial. No, solo facturas y cotizaciones (que triste, ¿no?), y de nuevo, los cibercriminales lo saben. Es por eso que ahora recibimos archivos adjuntos tales como factura.pdf.exe, factura.pdf.img, cotizacion.xls.exe, cotizacion.pdf.rar o como la imagen adjunta que recibimos en el trabajo, un archivo con un nombre muy largo pero con doble extensión y que "supuestamente" era un recibo de pago.
Les recomiendo lean este artículo que escribí hace tiempo sobre la ingeniería social, espero les sea de utilidad.
Soluciones:
Tomando en cuenta lo ya escrito en este artículo, es fácil caer en este tipo de engaños si no estamos muy familiarizados con el tema, por lo que es necesario inculcar esta cultura en los internautas, pero aún con todo este conocimiento, la mejor arma es el sentido común. ¿Porqué voy a recibir una supuesta factura o recibo de pago de una persona que no es mi cliente?, ¿solicité yo esos datos antes a esa persona?, ¿la conozco?, me manda un mensaje en inglés con un adjunto de este tipo, si yo no tengo ni clientes ni proveedores en el extranjero, ¿porqué debería abrirlo?.
Siempre fijémonos en el tipo de archivo recibido, no los abramos así de manera tan alegre, siempre ver que extensión trae, si trae doble extensión AGUAS, posiblemente sea un malware y es mejor borrar ese correo de inmediato, bloquearlo de nuestro cliente de correo electrónico. Suponiendo que ya hemos bajado ese archivo, ¿qué hay que hacer siempre antes de abrir algo?, correcto, pasarle el antivirus, este debe estar siempre actualizado y usar uno que tenga buena reputación, recomiendo desactivar la casilla "Ocultar las extensiones de archivos para tipos de archivos conocidos" en el explorador de archivos para obligar a Windows a mostrar siempre la extensión real y no caigamos tan fácil en el engaño. Del mismo modo, si tenemos dudas podemos presionar F2 sobre el nombre del archivo, así aunque tenga un nombre muy largo podemos ver cual es la extensión real:
![]()
Aunque parezca difícil, si se le puede ganar la batalla a los ciberdelincuentes usando el sentido común, espero les halla sido de utilidad estos consejos, si el artículo les gustó por favor dejen sus comentarios y un voto positivo, me es de mucha ayuda, no olviden compartir este artículo con sus amigos y familiares, gracias.