Convertir un archivo de Word a PDF, unir varias imágenes en un solo documento o descargar un vídeo en MP3 son acciones cotidianas para millones de usuarios. Para ello, muchos recurren a herramientas online que prometen hacerlo gratis, rápido y sin instalar nada. Pero, según ha alertado el FBI, estos conversores de archivos se han convertido en un nuevo vector de ataque que distribuye malware y es utilizado por grupos cibercriminales.
La oficina del FBI en Denver ha emitido una advertencia clara: cada vez se reportan más casos en los que conversores de archivos falsos distribuyen malware y en ocasiones acaban desencadenando ataques de ransomware. Estos sitios no solo pueden infectar tu dispositivo, sino que además tienen la capacidad de extraer información personal sensible directamente de los archivos que el usuario sube para su conversión.
Cómo funciona el engaño: malware camuflado en herramientas funcionales
Lo preocupante de esta técnica es su nivel de sofisticación y credibilidad. A simple vista, estos sitios web funcionan como cualquier otro conversor: permiten subir un archivo, seleccionan el formato de salida y ofrecen una descarga final. El problema está en el resultado: el archivo que se descarga puede estar infectado con malware.
El FBI ha explicado que los atacantes crean sitios que imitan páginas legítimas, con nombres similares y diseños profesionales. A menudo, utilizan técnicas de posicionamiento web o incluso campañas de publicidad en buscadores como Google para aparecer entre los primeros resultados cuando alguien busca “convertir .doc a .pdf” o “descargar MP3 gratis”.
Una vez el usuario cae en la trampa y descarga el archivo, el malware se instala silenciosamente en el dispositivo. En muchos casos se trata de archivos .exe o .js ocultos dentro de archivos .zip, como ha documentado el investigador Will Thomas y otros analistas especializados.
Qué tipo de malware se está distribuyendo
Estos falsos conversores pueden actuar como cargadores de malware (loaders). Uno de los ejemplos más destacados es el de Gootloader, un malware modular que permite la descarga de otras amenazas más graves.
Entre los tipos de malware que se han distribuido mediante estos sitios se incluyen:
-
Troyanos bancarios, que interceptan credenciales de acceso a banca online.
-
Infostealers, que extraen información personal como contraseñas, correos, tokens y cookies.
-
Herramientas de post-explotación, como Cobalt Strike, que permiten moverse lateralmente en redes corporativas y preparar ataques más amplios.
-
Ransomware, como los utilizados por grupos de ransomware como REvil o BlackSuit, que cifran los archivos del sistema y exigen un rescate.
Además, en el proceso de subida del archivo para convertir, los ciberdelincuentes pueden analizar el contenido del documento original y extraer información como: Nombres completos, correos electrónicos, contraseñas, números de la Seguridad Social, frases semillas y direcciones de billeteras de criptomonedas y datos bancarios.
Esto convierte a estos sitios en una doble amenaza: infectan el dispositivo y roban datos confidenciales sin que el usuario lo sepa.
¿Por qué estas páginas son tan efectivas?
El éxito de esta técnica se basa en varios factores para la explotación de los ciberdelincuentes:
-
Apariencia legítima: los sitios están bien diseñados y se comportan como conversores normales.
-
Resultados reales: en muchos casos, el archivo convertido sí se genera, lo que refuerza la sensación de confianza.
-
Búsqueda impulsiva: los usuarios suelen buscar herramientas de conversión en el momento y eligen la primera opción que aparece en Google, sin comprobar su reputación.
-
Publicidad maliciosa: algunos de estos sitios se promocionan a través de anuncios pagados, apareciendo incluso antes que opciones legítimas.
Además, los delincuentes utilizan técnicas para evitar su detección, como ofrecer el archivo malicioso solo si el usuario cumple ciertas condiciones (por ejemplo, estar en un país específico o no haber visitado el sitio en las últimas 24 horas).
