HTML smuggling es una técnica que mete malware dentro de un archivo HTML aparentemente inofensivo para esquivar los filtros de correo. En lugar de adjuntar el ejecutable malicioso directamente, el atacante envía un fichero .html que reconstruye el malware en tu navegador, ya pasado el control de seguridad. La evasión de seguridad del email ocurre porque el filtro ve solo texto y código JavaScript, no un binario sospechoso. El adjunto HTML parece una factura, un comprobante de envío o un formulario de RRHH. Tú haces doble clic, el código se ejecuta localmente y el bypass del filtro de correo ya está hecho. Aquí te explicamos cómo funciona, por qué los filtros tradicionales se la comen doblada y qué puedes hacer para no ser el siguiente.
Qué es exactamente el HTML smuggling
La idea es vieja pero efectiva: no transportas el malware, transportas las instrucciones para fabricarlo en destino. El archivo HTML lleva dentro el payload codificado en Base64 o troceado en variables JavaScript. Cuando lo abres, el navegador ensambla los datos y genera el fichero malicioso usando funciones legítimas como Blob y la API de descargas.
El truco se apoya en una característica estándar de HTML5. El atributo download de un enlace permite forzar la descarga de un archivo generado por el propio JavaScript, sin pasar por la red. Ese fichero nunca viajó por el correo como tal. Nació en tu equipo. Por eso el escáner del servidor de email no encontró nada que oliera mal.
Microsoft documentó campañas serias usando esta técnica, entre ellas las del grupo NOBELIUM (los mismos de SolarWinds) y la distribución de troyanos bancarios como Mekotio y Qakbot. No es teoría académica. Es el pan de cada día de los operadores de ransomware.
Por qué los filtros de correo no lo detectan
Los gateways de email clásicos buscan firmas conocidas, extensiones peligrosas y patrones de adjuntos. Un .html con texto y JavaScript no dispara ninguna alarma evidente. No es un .exe, ni un .zip con contraseña, ni una macro de Office.
Tres factores hacen que el bypass del filtro de correo funcione tan bien:
- El payload está codificado. En Base64 o XOR, el binario malicioso parece una cadena de texto sin sentido, no un fichero ejecutable.
- El ensamblaje pasa en el cliente. El navegador hace el trabajo sucio fuera del alcance del servidor de correo. Lo que se inspeccionó nunca fue el malware completo.
- El cifrado del tráfico ayuda al atacante. Si el HTML llega vía un enlace HTTPS, la inspección de contenido en tránsito se complica aún más. Aquí entender el cifrado de extremo a extremo ayuda a ver por qué a veces juega a favor de los malos.
La evasión de seguridad del email no explota un fallo. Explota cómo están diseñados los navegadores para ser útiles. Y eso es lo incómodo: no hay un CVE que parchear, hay un comportamiento legítimo del que se abusa.
Cómo es un ataque real paso a paso
El guion se repite con variaciones. Recibes un email con asunto urgente: una factura pendiente, un cambio en tu nómina, un paquete retenido. El adjunto HTML se llama algo como Factura_2026_Pendiente.html.
- Abres el archivo. Tu navegador lo renderiza como una página local.
- El JavaScript embebido decodifica el payload oculto en el propio HTML.
- Se crea un objeto Blob con el contenido del malware (a menudo un .iso, un .zip o un .js).
- El navegador ofrece descargar ese fichero. Algunas variantes incluso lo descargan automáticamente.
- Tú lo ejecutas pensando que es la factura. Y ahí empieza la fiesta.
El uso de imágenes .iso tiene su gracia perversa: al montarse en Windows como una unidad, durante años esquivó el Mark of the Web, la marca que avisa de que un archivo viene de internet. Microsoft cerró ese hueco a finales de 2022 propagando la marca al contenido de los ISO, pero sigue funcionando en equipos sin actualizar. Sin esa marca, los avisos de SmartScreen no aparecen. Es malware HTML diseñado para que confíes hasta el último clic.
Esta técnica rara vez viaja sola. Suele formar parte de cadenas más largas, como las que describimos en nuestro artículo sobre phishing multietapa, donde el HTML es solo el primer eslabón antes del robo de credenciales o el despliegue de ransomware.
Señales de alerta y cómo protegerte
No necesitas ser analista forense para oler la trampa. Vigila estas señales:
- Adjuntos .html o .htm inesperados. Casi ninguna empresa legítima te manda facturas en HTML adjunto. Te mandan un PDF o un enlace a su portal.
- Doble extensión. Ficheros tipo documento.pdf.html son una bandera roja del tamaño de un campo de fútbol.
- Descargas automáticas al abrir un archivo local. Si abres un HTML y de repente se baja un ZIP o un ISO, cierra todo.
- Urgencia artificial. "Tu cuenta será bloqueada", "última oportunidad". La prisa es la herramienta favorita del estafador.
En el plano técnico, las defensas que funcionan:
| Medida | Qué hace |
|---|---|
| Bloquear adjuntos HTML en el gateway | Cuarentena automática de .html/.htm entrantes |
| Reglas ASR de Microsoft Defender | Frenan la ejecución de JS/scripts descargados |
| Política de descargas del navegador | Pedir confirmación antes de cada descarga |
| EDR con análisis de comportamiento | Detecta el ensamblaje del payload en tiempo real |
| Formación a empleados | El factor humano sigue siendo el cortafuegos más barato |
Si dudas de un fichero, súbelo a VirusTotal antes de abrirlo. Y si tu correo o contraseña pudo verse comprometida tras un incidente, comprueba tu exposición en Have I Been Pwned. Para las pymes, dejamos una hoja de ruta más completa en la guía de seguridad informática para pymes, donde el bloqueo de adjuntos peligrosos es uno de los primeros deberes.
El HTML smuggling también enlaza con otras tendencias de 2026, como el malware en documentos Office sin macros. La industria del fraude se profesionaliza, y muchas de estas técnicas vienen empaquetadas en kits listos para usar que cualquier delincuente sin grandes conocimientos puede comprar.
Preguntas frecuentes
¿Es peligroso abrir un archivo HTML adjunto en un correo?
Puede serlo. Un adjunto HTML ejecuta JavaScript en tu navegador y puede generar y descargar malware mediante HTML smuggling. Si no esperabas ese archivo, no lo abras y bórralo.
¿El antivirus detecta el HTML smuggling?
No siempre. El payload viaja codificado y se ensambla en tu equipo, así que muchos antivirus tradicionales no lo ven al inspeccionar el correo. Las soluciones EDR con análisis de comportamiento tienen más opciones de pillarlo.
¿Por qué los atacantes usan archivos ISO o ZIP en estos ataques?
Porque los ISO al montarse esquivaban el Mark of the Web, la marca que advierte de archivos descargados de internet. Microsoft corrigió esto a finales de 2022, pero en equipos sin actualizar sigue siendo eficaz: sin esa marca, los avisos de seguridad de Windows no saltan y la víctima ejecuta el malware con más confianza.
¿Cómo bloqueo los adjuntos HTML en mi empresa?
Configura tu gateway de correo o Microsoft 365 para poner en cuarentena los adjuntos .html y .htm. Combínalo con reglas de reducción de superficie de ataque (ASR) en Defender y formación al personal.
¿El HTML smuggling solo afecta a Windows?
El navegador genera la descarga en cualquier sistema, pero el payload final suele estar diseñado para Windows. Aun así, abrir adjuntos HTML desconocidos es mala idea en cualquier plataforma.
El siguiente paso
Entra ahora en la configuración de tu correo o de tu Microsoft 365 y crea una regla que ponga en cuarentena todos los adjuntos con extensión .html y .htm. Cinco minutos de trabajo que cierran una de las puertas favoritas del malware HTML. Si quieres blindar el correo de tu negocio de verdad, en soluciones de inteligencia artificial para empresas te echamos una mano, y mientras tanto puedes seguir cotilleando más trucos antispam por el blog de MataSpam.
