- Trend Micro detecta SORVEPOTEL, un malware que se expande por WhatsApp Web con mensajes y archivos ZIP.
- La cadena de infección usa accesos directos .LNK y PowerShell, con 477 casos, 457 en Brasil.
- No roba datos ni cifra archivos, pero reenvía el archivo a contactos y puede provocar suspensión de la cuenta.
- Recomendaciones: desactiva descargas automáticas, evita ZIP sospechosos, forma al personal y mantén sistemas actualizados.
La comunidad de ciberseguridad ha encendido las alarmas ante SORVEPOTEL, un nuevo malware que aprovecha WhatsApp Web para replicarse de forma automática y veloz. La alerta, emitida por Trend Micro, señala un foco de actividad destacable en Brasil con centenares de equipos comprometidos, y advierte del potencial de expansión a otros países.
El ataque se basa en la confianza: la víctima recibe un mensaje desde un contacto ya comprometido que incluye un archivo ZIP camuflado como documento legítimo (por ejemplo, un recibo o un informe médico). Al caer en el señuelo, el sistema termina infectado y, si está activa WhatsApp Web o la app de escritorio, el malware reenvía el archivo malicioso a contactos y grupos, lo que puede incluso derivar en sanciones por incumplir los términos de uso.
Cómo actúa y se propaga el malware SORVEPOTEL
Dentro del ZIP se oculta un acceso directo .LNK que ejecuta un script de PowerShell para descargar la carga maliciosa desde servidores externos. Esta técnica, clásica pero eficaz, facilita que el código se obtenga de forma dinámica y dificulta su detección si no se cuenta con políticas de restricción.
Una vez desplegado, el código establece persistencia en la carpeta de inicio del sistema y se conecta a un servidor de mando y control (C2), desde el que puede recibir nuevas órdenes o actualizaciones. Este comportamiento transforma al equipo en un eslabón activo de la campaña.
Cuando detecta que el usuario tiene abierta WhatsApp Web (o el cliente de escritorio), el malware reenvía automáticamente el archivo infectado a todos los contactos y grupos. Este patrón de gusano acelera la propagación y puede acarrear la suspensión de la cuenta por el envío masivo de contenido dañino.
A diferencia de otros ataques, SORVEPOTEL no busca robar datos ni cifrar archivos para pedir rescate; su objetivo es expandirse de forma agresiva, provocando interrupciones y riesgos operativos. Entre los sectores potencialmente afectados figuran el gubernamental, tecnológico, educativo y de servicios públicos.
Según el informe, se han registrado 477 infecciones, de las cuales 457 corresponden a Brasil, con reporte fechado el 3 de octubre. Aunque el foco se concentra allí, los investigadores subrayan el peligro de que el caso trascienda fronteras por la propia naturaleza de la mensajería.
Para Trend Micro, esta campaña representa una evolución en el uso de aplicaciones de mensajería como canales automáticos de distribución de malware, y existe el riesgo de que la misma técnica se reutilice en acciones futuras más agresivas.
Medidas de protección y alcance del incidente
Los especialistas recomiendan reforzar la higiene digital y extremar la prudencia ante archivos comprimidos y enlaces inesperados. En particular, es clave desactivar las descargas automáticas y confirmar la legitimidad de cualquier envío, aunque provenga de un contacto conocido.
- Desactiva las descargas automáticas en WhatsApp y revisa manualmente cada archivo recibido.
- No abras ZIP ni ejecutables que lleguen por mensajería, especialmente si simulan facturas o informes médicos.
- Capacita a equipos y usuarios en detección de phishing y buenas prácticas de manejo de adjuntos.
- Mantén sistemas operativos, antivirus y navegadores actualizados para bloquear vectores conocidos.
En entornos corporativos, conviene aplicar controles sobre el intercambio de archivos y políticas de menor privilegio. Limitar el uso de PowerShell, inspeccionar adjuntos y monitorizar el tráfico hacia dominios sospechosos reduce notablemente la superficie de ataque.
Entre las medidas técnicas, pueden valorarse la restricción de .LNK descargados de Internet, habilitar PowerShell en modo restringido y desplegar soluciones EDR/antimalware capaces de detectar ejecuciones de scripts anómalas.
Si sospechas infección, desconecta el equipo de la red, cierra sesión en todos los dispositivos de WhatsApp (Ajustes > Dispositivos vinculados), realiza un análisis con seguridad actualizada, revisa elementos de inicio del sistema y restaura desde copias de seguridad confiables si fuera necesario.
Para distinguir mensajes legítimos de fraudes, verifica por un canal alternativo con el remitente, examina el nombre real del archivo, su extensión y tamaño, y desconfía de solicitudes con urgencia inusual o errores de redacción.
Aunque el epicentro actual es Brasil, la dinámica de reenvío automático hace probable que aparezcan casos fuera del país. En España y otros mercados, una acción preventiva hoy evitará incidentes mayores si la campaña se internacionaliza.
El panorama dibuja un escenario en el que un gusano de mensajería puede causar daños operativos sin robar datos, favorecido por la confianza entre contactos. La combinación de formación, controles técnicos y cautela con adjuntos es, por ahora, la mejor defensa frente a SORVEPOTEL y variantes similares.