En los días en torno a la presentación de impuestos, los delincuentes digitales intensifican sus tácticas. Una campaña detectada por la firma de seguridad Huntress aprovecha búsquedas relacionadas con formularios como el W-2 o W-9 y promociona páginas maliciosas mediante Google Ads. El objetivo es ganarse la confianza de usuarios apresurados y dirigirlos a aterrizajes que parecen legítimos pero que, en realidad, sirven para entregar herramientas de acceso remoto y software dañino.
El momento elegido no es casual: muchos contribuyentes buscan soluciones rápidas antes de la fecha límite de impuestos de EE. UU. (April 15) y tienden a confiar en los primeros resultados. Esa conducta facilita la eficacia del gancho. Los atacantes combinan ingeniería social con componentes técnicos que anulan las defensas del equipo y allanan el camino para fases posteriores, como el robo de credenciales y la instalación de ransomware.
Cómo opera la campaña
La trama parte de anuncios pagados que redirigen a portales falsos que simulan ofrecer formularios fiscales u actualizaciones de software. En esas páginas se entrega ScreenConnect (comercialmente conocido como ConnectWise Control), una herramienta de control remoto legítima que los atacantes emplean para tomar el control del sistema. Antes incluso de establecer la sesión remota, el ataque instala un driver de kernel diseñado para deshabilitar soluciones como Windows Defender, evitando así la detección y removiendo obstáculos a su actividad.
Objetivos y alcance
Según las observaciones de Huntress, la campaña no discrimina entre perfiles: apunta a empleados, autónomos, contratistas y pequeñas empresas que buscan formularios fiscales online. La urgencia de la fecha límite y la confianza en resultados rápidos explican por qué tantos usuarios caen en el engaño. La firma reportó más de 60 sesiones de ScreenConnect fraudulentas vinculadas a esta operación, lo que evidencia un patrón repetido y eficaz.
Indicadores técnicos
Entre los detalles técnicos, los investigadores notaron una versión de la página que simulaba una actualización de Chrome y contenía comentarios en JavaScript en ruso, lo que sugiere la posible participación de desarrolladores que hablan ruso. Estos elementos muestran una diversidad de señuelos y que el grupo atacante dispone de un kit de ingeniería social amplio, capaz de adaptar sus cebos a distintos públicos.
Etapas del ataque
La intrusión suele ser multifásica: primero se obtiene un acceso inicial mediante la ejecución de la herramienta remota; seguidamente se implanta el driver de kernel para neutralizar defensas; finalmente el atacante cosecha credenciales y persigue elevación de privilegios para preparar la implantación de ransomware. En muchos casos, el acceso remoto sirve para identificar activos críticos y extraer credenciales antes del golpe final.
Cómo reconocer y defenderse
Para reducir el riesgo hay medidas concretas y prácticas. Evita descargar formularios desde anuncios; mejor accede directamente a los sitios oficiales del organismo fiscal. Mantén el sistema y el navegador actualizados desde las fuentes oficiales y activa la protección contra manipulaciones en tu antivirus: muchas soluciones modernas ofrecen un tamper protection que impide la desactivación por procesos no autorizados. Además, desconfiar de ventanas que solicitan instalar herramientas de acceso remoto y verificar la legitimidad de cualquier sesión con el soporte oficial puede evitar intrusiones.
Otras recomendaciones incluyen el uso de gestores de contraseñas, la autenticación multifactor para servicios críticos, copias de seguridad offline y la segmentación de cuentas entre uso personal y laboral. Si detectas actividad inusual —como notificaciones de sesiones remotas no iniciadas— desconecta el equipo de la red y consulta a especialistas en ciberseguridad.
Conclusión
Esta campaña demuestra que los atacantes mezclan tácticas de malvertising y técnicas avanzadas para desactivar defensas y conseguir acceso prolongado. La prisa por cumplir con obligaciones como la fecha límite de impuestos (April 15) hace que muchos usuarios bajen la guardia. La defensa eficaz combina higiene digital, escepticismo ante anuncios pagados y medidas técnicas sólidas que impidan la instalación de drivers de kernel o la ejecución de sesiones remotas no verificadas.
