Mejores prácticas de ciberseguridad

¿Te llegó un “comprobante de pago.pdf” por WhatsApp? Y si aún no, no lo abras porque podría ser la entrada directa de un malware.

icono de linkedin
Gianmaria Caruso
Director Comercial y Co-Fundador

El 5 de julio de 2025, el Ministerio de Tecnologías de la Información y Comunicación (MITIC) de Paraguay emitió una alerta al usuario diciendo que ha estado circulando a través de WhatsApp un archivo malintencionado denominado "comprobante de pago.pdf", que en realidad es HTML encubierto.  Cuando se abre, el usuario aparece con un botón que indica "Actualizar Adobe", y al hacer clic en él, se busca instalar un malware en su aparato.

Este tipo de ataque, simple pero efectivo, facilita a los ciberdelincuentes el robo de información bancaria, claves de acceso y otros datos delicados.  No es una situación individual, sino que se añade a un incremento mundial de fraudes digitales en plataformas como WhatsApp, utilizando la inocencia del usuario, métodos de descarga automática y la popularidad de los archivos adjuntos.

El objetivo principal de este fraude es robar claves bancarias, información de tarjetas de crédito y el acceso a carteras digitales, poniendo en riesgo seriamente la estabilidad económica de los usuarios.

La alerta fue emitida por el Ministerio de Tecnologías de la Información y Comunicación (MITIC) de Paraguay, mediante su cuenta oficial en la red social X (antes conocida como Twitter), con el objetivo de advertir a la población acerca de esta nueva forma de fraude electrónico, siendo estas las razones que hacen que los usuarios sean engañados: 

  • El nombre del archivo y el formato “.pdf” brindan confianza inmediata.
  • WhatsApp habilita por defecto la descarga automática.
  • Muchos usuarios no verifican la fuente del archivo y confían en la familiaridad del nombre.

Además, los ciberdelincuentes evolucionan mediante estos métodos:

  • Usan inteligencia artificial para generar enlaces falsos y suplantar sitios de bancos y hoteles.
  • Aprovechan vulnerabilidades en WhatsApp para secuestros de cuentas o ejecución de malware, tanto en móviles como en PCs.
  • Se intensifican campañas de phishing bajo la excusa de “cancelaciones de reservas” o “actualizaciones de seguridad”.

En Europa y Norteamérica, el enfoque “zero trust” (confianza cero) se está adoptando para reducir un 41 % los ciberataques, demostrando que una estrategia de seguridad estructurada sí puede marcar la diferencia. Asimismo, la respuesta a este tipo de fraudes avanzados no se restringe únicamente a bloquear archivos inusuales o a implementar un antivirus.

Es imprescindible adoptar una perspectiva más extensa y organizada, tal como la gestión de riesgos de ciberseguridad. Este enfoque integral posibilita prever amenazas, disminuir la vulnerabilidad a ataques y fortalecer la posición digital de personas y organizaciones.

La gestión de riesgos de ciberseguridad es un procedimiento constante que comprende diversas fases esenciales. En primer lugar, es necesario reconocer las amenazas, que abarcan el malware, los ataques de phishing y los métodos de ingeniería social. Posteriormente, es necesario analizar y darles prioridad a estos riesgos, teniendo en cuenta tanto la posibilidad de que sucedan como el efecto que tendrían en los activos digitales.

Luego, es necesario establecer controles apropiados para reducir los riesgos detectados y, por último, se supervisan los resultados y se hacen modificaciones constantes para ajustarse a nuevos contextos tecnológicos y a amenazas en ascenso.

4. Pasos concretos para una buena Gestión de riesgos de ciberseguridad

1. Evaluación inicial

  • Mapeo de activos digitales: inventario de dispositivos, cuentas, datos, apps.
  • Análisis de amenazas: examinar vectores principales (WhatsApp, correo, links).
  • Evaluación de vulnerabilidades: detectar puntos débiles mediante pentests y escáneres.

2. Implementación de controles

Controles técnicos

  • Deshabilitar auto-descarga en WhatsApp.
  • Usar antivirus y escaneo de archivos.
  • Habilitar autenticación multifactor y actualizaciones regulares.
  • Aplicar políticas de “zero-trust” en redes corporativas.

Controles administrativos

  • Crear y difundir una política de seguridad informática clara.
  • Capacitar a usuarios para identificar estafas.
  • Simular ataques como pruebas internas (phishing controlado).

Controles físicos

  • Proteger accesos a dispositivos y archivos sensibles.
  • Restringir el uso de apps no autorizadas en redes corporativas.

3. Monitoreo y revisión

  • Implantar sistemas de detección de intrusos.
  • Revisión periódica de logs.
  • Re-evaluar riesgos tras incidentes, cambios tecnológicos o normativos.

4. Respuesta ante incidentes

  • Plan de respuesta documentado.
  • Roles y responsabilidades claras ante ataque.
  • Copias de seguridad regulares y restauración probada.

En un mundo hiperconectado, no es suficiente con responder que lo indispensable es anticiparse.  La advertencia del MITIC en Paraguay muestra cómo un archivo sencillo puede poner en peligro cientos de vidas en línea y, para evitar esto, la gestión de riesgos cibernéticos es la solución. No solo es cuestión de tecnología, sino también de cultura, procedimientos y dedicación constante. Por esto es que implementar este enfoque es:

  • Proactivo: busca amenazas antes de que aparezcan.
  • Integral: une tecnología, personas y administración.
  • Sostenible: mejora y se adapta constantemente.
  • Responsable: protege a individuos y a la sociedad.

En Never Off Technology, impulsamos la transformación digital segura acompañando a cada cliente en la identificación y mitigación de riesgos cibernéticos desde la raíz.

Apostamos por fortalecer la resiliencia digital a través de acciones estratégicas y sostenibles, porque proteger los datos hoy es garantizar la confianza y la estabilidad del mañana.

logo letras negras automox
logo AWS
logo azure
logo barracuda
logo carbonite
logo datto
logo fortinet
logo sentinel
logo phoenixNAP global it services
logo rackspace
logo negro redstor
Never Off Icon
logo snap defense
logo veeam
logo zerto

Artículos relacionados

¿Te llegó un “comprobante de pago.pdf” por WhatsApp? Y si aún no, no lo abras porque podría ser la entrada directa de un malware.
Artículo
¿Te llegó un “comprobante de pago.pdf” por WhatsApp? Y si aún no, no lo abras porque podría ser la entrada directa de un malware.

Conoce el truco que usan los hackers para colarse en tu teléfono y cómo puedes recuperar el control de tu seguridad digital.

Gianmaria Caruso
Gianmaria Caruso
Director Comercial y Co-Fundador
Leer más
icono de flecha hacia la derecha color azul
¿Quién necesita un hacker cuando millones usan “123456” como clave?
Artículo
¿Quién necesita un hacker cuando millones usan “123456” como clave?

La verdadera brecha de seguridad somos nosotros mismos: malos hábitos, contraseñas débiles y cero prevenciones.

Isaury Almonte
Isaury Almonte
Account Executive
Leer más
icono de flecha hacia la derecha color azul
¿Conectaste tu wallet en CoinMarketCap? Así fue como una ventana emergente falsa robó a más de 110 carteras
Artículo
¿Conectaste tu wallet en CoinMarketCap? Así fue como una ventana emergente falsa robó a más de 110 carteras

Un simple popup bastó para robar más de 43 mil dólares. Descubre cómo se infiltraron sin necesidad de hackear servidores.

Rainieri Marmolejos
Rainieri Marmolejos
Gerente de Ingeniería de Detección de Amenazas
Leer más
icono de flecha hacia la derecha color azul
+
Ver más

Ten la tranquilidad de
que tu empresa está protegida

Logo Never Off Negativo
Protección de la dataCiberseguridad corporativaConsultoría  tecnológicaInfraestructura en la nube
BlogRecursosFAQ’sContacto
icono de computadora con usuario
Centro de Soporte
¿Bajo ataque?
Política de Privacidad