PDF maliciosos: cómo reconocerlos, qué riesgos conllevan y el fallo crítico en Apache Tika

Trucoteca » Otros » PDF maliciosos: cómo reconocerlos, qué riesgos conllevan y el fallo crítico en Apache Tika

Los archivos PDF son omnipresentes en el intercambio de documentos (facturas, informes, currículums), y precisamente por esa confianza se han consolidado como una puerta de entrada frecuente para campañas de phishing y malware. Recursos para descargar PDFs de forma gratuita.

Los atacantes aprovechan su versatilidad para esconder código, enlaces y ficheros incrustados que pasan desapercibidos, con el objetivo de robar credenciales, obtener dinero o tomar control del equipo sin levantar sospechas. Convertir ACSM a PDF online.

Por qué los PDF son tan aprovechados por los atacantes

El formato PDF admite texto, imágenes, vídeo, audio, 3D y scripts, además de otros documentos incrustados, lo que facilita usos legítimos… y también que se camuflen cargas maliciosas mediante JavaScript, enlaces ocultos u órdenes que se ejecutan al abrir el fichero. Convertir PDF a Word.

La mayoría de incidentes llega por correo electrónico o descargas en páginas web; en entornos corporativos y domésticos los PDF se perciben como “normales”, lo que eleva su eficacia al evadir sospechas iniciales.

Informes de seguridad sitúan a los PDF entre las amenazas destacadas: ESET los coloca en el sexto puesto de detecciones globales, y análisis europeos señalan un aumento de campañas de phishing que los utilizan como cebo.

También se aprovechan vulnerabilidades de lectores populares (por ejemplo, Adobe Reader o Foxit) para ejecutar código remoto si el software no está actualizado, ampliando la superficie de ataque.

Cómo se camuflan y señales de alerta

Antes de abrir un PDF recibido, conviene revisar algunos indicios recomendados por expertos y organismos como INCIBE y firmas como Kaspersky y ESET.

• Enlaces sospechosos: hipervínculos a dominios desconocidos, no cifrados o discordantes con el remitente.
• Permisos inusuales: solicitudes para habilitar macros, JavaScript o descargar componentes externos.
• Redacción y tipografías extrañas: errores, fuentes atípicas o diseños inconsistentes.
• Tamaño anómalo: archivos inusualmente ligeros o muy pesados para el contenido que prometen.
• Nombres y extensiones engañosos: “Factura.pdf”, “documento.pdf” o trampas como “documento.pdf.exe”.
• Comprimidos en ZIP o RAR: práctica habitual para evadir filtros del correo.
• Remitente dudoso: direcciones que no encajan con la entidad suplantada (bancos, administraciones, clínicas, empresas).
• ¿Esperabas ese archivo?: si el envío no tiene sentido en ese momento, mejor desconfiar.

Se han documentado campañas bancarias con troyanos como Grandoreiro ocultos tras PDF que simulan proceder de organismos públicos, donde un enlace del propio documento inicia la descarga del malware.

Qué pueden hacer y vulnerabilidades explotadas

Un PDF malicioso puede ejecutar acciones dañinas como instalar troyanos, spyware o ransomware, abrir conexiones remotas, lanzar comandos en segundo plano o redirigir a sitios de phishing.

• Instalación/descarga de malware: ejecución automática de cargas tras la apertura del documento.
• Robo de información: sustracción de credenciales, datos personales o financieros.
• Explotación de fallos: uso de vulnerabilidades en lectores de PDF para ejecución de código.
• Ataques dirigidos: documentos adaptados a herramientas y sistemas de la empresa objetivo.

Los atacantes pueden incrustar documentos de Office y emplear acciones automáticas (por ejemplo, OpenAction) para disparar exploits conocidos como CVE-2017-11882 en Microsoft Office nada más abrir el PDF.

Fallo XXE en Apache Tika (CVE-2025-54988)

Investigadores han descrito una vulnerabilidad crítica de inyección de entidad externa XML (XXE) en el módulo PDF de Apache Tika que permite a un atacante abusar de formularios XFA embebidos en PDF.

El problema afecta a versiones 1.13 a 3.2.1 del parser PDF (org.apache.tika:tika-parser-pdf-module), descubierto por Paras Jain y Yakov Shafranovich, y puede derivar en lectura de archivos locales, reconocimiento de red interna y SSRF.

• Módulos impactados: Tika-Parsers (standard), Tika-App, Tika-GRPC y Tika-Server-Standard, entre otros que dependen del parser PDF.
• Vector: envío de un PDF malicioso con XFA a un sistema que procese documentos con Tika vulnerable.
• Interacción mínima: basta con que el servicio analice el archivo para activar el XXE.

Mitigación prioritaria: actualizar inmediatamente a Apache Tika 3.2.2, versión que corrige el fallo; además, validar cargas de PDF, segmentar redes y vigilar procesamiento XML para detectar comportamientos atípicos.

Buenas prácticas para reducir el riesgo

Antes de abrir adjuntos, analiza el fichero en VirusTotal, activa la vista de extensiones en el explorador de archivos y revisa tamaño, nombre y procedencia.

Mantén actualizado el software (lectores de PDF, sistema operativo y antivirus/antimalware) para disminuir la probabilidad de explotación de fallos conocidos.

Evita abrir archivos comprimidos sospechosos incluso si llegan desde contactos legítimos; si te has equivocado y lo abriste, desconecta de Internet, pasa un escaneo completo, revisa procesos activos y cambia contraseñas sensibles.

Formación y procedimientos ayudan a frenar estos ataques: verifica siempre el contexto del envío, contrasta el remitente y, ante dudas, consulta con el equipo de seguridad o con especialistas.

Los PDF seguirán siendo esenciales en el día a día, pero con hábitos de verificación, software al día y parches como el de Apache Tika aplicados a tiempo, es posible minimizar el impacto de campañas que intentan explotar su popularidad.

Artículo relacionado:

¿Cómo usar las herramientas de seguridad con Nitro PDF Reader?