Los piratas informáticos han usado documentos de Word y Excel durante mucho tiempo como vehículos de entrega para malware, y en 2025, estos trucos están lejos de ser anticuados. Desde los esquemas de phishing hasta las exploits de cero clic, los archivos de oficina maliciosos siguen siendo una de las formas más fáciles en el sistema de una víctima.
Aquí están las tres mejores exploits basadas en Microsoft Office que aún hacen las rondas este año y lo que necesita saber para evitarlas.
1. Phishing en la oficina de MS: el favorito de los piratas informáticos todavía
Los ataques de phishing utilizando archivos de Microsoft Office han existido durante años, y todavía están fortaleciéndose. ¿Por qué? Porque funcionan, especialmente en entornos empresariales donde los equipos intercambian constantemente documentos de Word y Excel.
Los atacantes saben que las personas están acostumbradas a abrir archivos de oficina, especialmente si provienen de lo que parece un colega, un cliente o un socio. Una factura falsa, un informe compartido o una oferta de trabajo: no se necesita mucho para convencer a alguien de hacer clic. Y una vez que el archivo está abierto, el atacante tiene su oportunidad.
Phishing con archivos de oficina a menudo tiene como objetivo robar credenciales de inicio de sesión. Estos documentos pueden incluir:
- Enlaces a páginas de inicio de sesión falsas de Microsoft 365
- Portales de phishing que imitan las herramientas o servicios de la compañía
- Redirige las cadenas que eventualmente aterrizan en sitios de recolección de credenciales
En esta sesión de análisis de malware.
Ver sesión de análisis con archivo de Excel
 |
| Archivo de Excel que contiene un enlace malicioso detectado dentro de cualquiera. |
Cuando se hace clic, la víctima se lleva a una página web que muestra una verificación de CloudFlare «Verifique que eres un humano».
 |
| La verificación de CloudFlare pasó con cualquier interactividad automatizada de Run. |
Después de hacer clic, hay otra redirección; Esta vez a una página de inicio de sesión de Microsoft falsa.
 |
| Enlace malicioso a la página de inicio de sesión de Microsoft falso con caracteres al azar |
A primera vista, podría parecer real. Pero dentro de Any. La URL de inicio de sesión de Microsoft no es oficial; Está lleno de personajes aleatorios y claramente no pertenece al dominio de Microsoft.
Dé a su equipo la herramienta adecuada para detectar, investigar e informar amenazas más rápido en un entorno seguro.
Obtenga una prueba de cualquiera.
Esta página de inicio de sesión falsa es donde la víctima, sin saberlo, entrega sus credenciales de inicio de sesión directamente al atacante.
Los atacantes también se están volviendo más creativos. Últimamente, algunos documentos de phishing vienen con códigos QR integrados en ellos. Estos están destinados a ser escaneados con un teléfono inteligente, enviando a la víctima a un sitio web de phishing o activando una descarga de malware. Sin embargo, se pueden detectar y analizar con herramientas como cualquier otra.
2. CVE-2017-11882: La explotación del editor de ecuaciones que no morirá
Descubierto por primera vez en 2017, CVE-2017-11882 todavía se explota hoy, en entornos que ejecutan versiones obsoletas de Microsoft Office.
Esta vulnerabilidad se dirige al editor de la ecuación de Microsoft, un componente raramente utilizado que era parte de las compilaciones de oficina más antiguas. Explotarlo es peligrosamente simple: solo abrir un archivo de palabras malicioso puede activar la exploit. Sin macros, no se necesitan clics adicionales.
En este caso, el atacante usa la falla para descargar y ejecutar una carga útil de malware en segundo plano, a menudo a través de una conexión de servidor remoto.
En nuestra sesión de análisis, la carga útil entregada fue el Agente Tesla, un conocido robador de información utilizado para capturar pulsaciones de teclas, credenciales y datos de portapapeles.
Ver sesión de análisis con carga útil maliciosa
 |
| Correo electrónico de phishing que contiene adjunto de Excel malicioso |
En la sección Mitre ATT & CK de este análisis, podemos ver cómo cualquiera. Run Sandbox detectó esta técnica específica utilizada en el ataque:
 |
| Explotación del editor de ecuaciones detectado por cualquiera. |
Aunque Microsoft parchó la vulnerabilidad hace años, todavía es útil para los atacantes dirigidos a sistemas que no se han actualizado. Y con MacRos deshabilitados de forma predeterminada en las versiones más nuevas de la oficina, CVE-2017-11882 se ha convertido en un retroceso para los ciberdelincuentes que desean una ejecución garantizada.
3. CVE-2022-30190: Follina todavía está en el juego
Follina Exploit (CVE-2022-30190) sigue siendo un favorito entre los atacantes por una simple razón: funciona sin macros y no requiere ninguna interacción del usuario más allá de abrir un archivo de Word.
Follina abusa de la herramienta de diagnóstico de soporte de Microsoft (MSDT) y URL especiales integradas en documentos de oficina para ejecutar código remoto. Eso significa que solo ver el archivo es suficiente para iniciar scripts maliciosos, a menudo basados en PowerShell, que contactan a un servidor de comando y control.
Ver sesión de análisis con Follina
 |
| Técnica Follina detectada dentro de cualquiera. |
En nuestra muestra de análisis de malware, el ataque fue un paso más allá. Observamos la etiqueta «Stegocampaign», que indica el uso de esteganografía, una técnica donde el malware está oculto dentro de los archivos de imagen.
 |
| Uso de esteganografía en el ataque |
La imagen se descarga y procesa utilizando PowerShell, extrayendo la carga útil real sin aumentar las alarmas inmediatas.
 |
| Imagen con carga útil maliciosa analizada dentro de cualquiera. |
Para empeorar las cosas, Follina a menudo se usa en cadenas de ataque de varias etapas, combinando otras vulnerabilidades o cargas útiles para aumentar el impacto.
Lo que esto significa para los equipos que usan MS Office
Si su equipo depende en gran medida de Microsoft Office para el trabajo diario, los ataques mencionados anteriormente deberían ser una llamada de atención.
Los ciberdelincuentes saben que los archivos de oficina son confiables y se usan ampliamente en los negocios. Por eso continúan explotándolos. Ya sea que se trate de una hoja de Excel simple que oculta un enlace de phishing o un documento de Word que ejecuta en silencio el código malicioso, estos archivos pueden presentar riesgos graves para la seguridad de su organización.
Esto es lo que su equipo puede hacer:
- Revisar cómo se manejan los documentos de la oficina internamente; Limite quién puede abrir o descargar archivos de fuentes externas.
- Use herramientas como cualquier otra. Sandbox para inspeccionar archivos sospechosos en un entorno seguro y aislado antes de que alguien en su equipo los abra.
- Actualizar todo el software de la oficina regularmente y deshabilite las características heredadas como las macros o el editor de ecuaciones cuando sea posible.
- Mantente informado Acerca de las nuevas técnicas de exploit vinculadas a los formatos de oficina para que su equipo de seguridad pueda responder rápidamente.
Analizar malware móvil con cualquier soporte de OS de Android de cualquiera.
La amenaza no se detiene en los archivos de la oficina. Los dispositivos móviles ahora son un objetivo clave, y los atacantes están difundiendo malware a través de aplicaciones falsas, enlaces de phishing y APK maliciosos.
Esto significa una superficie de ataque en crecimiento para las empresas y la necesidad de una visibilidad más amplia.
Con el nuevo soporte de Android OS de Any.run, su equipo de seguridad ahora puede:
- Analizar malware Android en un entorno móvil real
- Investigue el comportamiento de APK sospechoso antes de llegar a los dispositivos de producción
- Responder a las amenazas móviles más rápido y con más claridad
- Apoye la respuesta de incidentes en los ecosistemas de escritorio y móviles
Es un gran paso hacia la cobertura completa y está disponible en todos los planes, incluidos los gratuitos.
Inicie su primer análisis de amenazas de Android hoy y brinde a sus analistas de seguridad la visibilidad que necesitan para proteger su superficie de ataque móvil.