Los atacantes han abandonado las macros de Office porque Microsoft las bloquea por defecto desde 2022. El nuevo arsenal de malware documentos usa OneNote, SVG smuggling y vulnerabilidades en el motor de renderizado para colar payloads sin que saltes ni una alerta. El office malware de 2026 ya no necesita que actives nada: basta con abrir un adjunto, previsualizarlo en Outlook o incluso pasar el ratón por encima en algunos casos. Aquí desgranamos las técnicas activas que están viendo equipos como Mandiant, Proofpoint y Microsoft Threat Intelligence, con CVEs reales, indicadores prácticos y herramientas para detectar la basura antes de que detone en tu equipo.
Por qué el malware sin macros se ha vuelto el estándar
Microsoft empezó a bloquear macros VBA en archivos descargados de internet en julio de 2022. El cambio fue brutal: Proofpoint reportó una caída del uso de macros como vector inicial superior al 60% durante los seis meses siguientes. Los grupos de ransomware no se quedaron mirando.
El movimiento natural fue buscar formatos que Office abre sin restricciones equivalentes. OneNote, contenedores ISO, archivos LNK dentro de ZIP cifrados, HTML smuggling y manipulación de SVG se convirtieron en los nuevos favoritos. La lógica es simple: si el usuario hace doble clic, el sistema operativo cumple órdenes. La macro nunca fue el problema, era solo la herramienta más cómoda.
Grupos como TA570, Emotet (resucitado en distintas variantes) y los afiliados de QakBot pivotaron en cuestión de semanas. Lo que antes era un .docm con prompt amarillo, ahora es un .one que parece una nota inocente con un botón "Abrir documento" que esconde un script.
OneNote como vector: el formato que nadie esperaba
Los archivos .one permiten incrustar prácticamente cualquier tipo de adjunto: ejecutables, scripts HTA, archivos VBS, JavaScript, CHM. Cuando el usuario hace doble clic sobre el icono incrustado, OneNote lanza una advertencia genérica y muchos la aceptan sin leer.
El patrón típico de campaña de onenote malware sigue estos pasos:
- Email con factura, presupuesto o aviso de envío en .one adjunto
- Al abrir, una imagen ocupa toda la página simulando un mensaje "Documento protegido. Haga doble clic para descifrar"
- Detrás de esa imagen hay un script (HTA, VBS, BAT) que descarga el payload real
- El payload suele ser un loader de IcedID, Qbot o un infostealer tipo Redline
Microsoft añadió en 2023 bloqueo de extensiones peligrosas embebidas en OneNote, pero los atacantes ya rotan a formatos menos vigilados: .wsf, .vbe, archivos .lnk con argumentos PowerShell ofuscados. La rotación es constante.
SVG smuggling: el caballo de Troya en formato vectorial
El svg smuggling es la técnica que más ha crecido en 2025-2026. Un SVG es XML con capacidad de incluir JavaScript embebido y datos codificados en Base64. Cuando un navegador o cliente de correo abre el SVG, ejecuta el script.
El truco consiste en empaquetar el ejecutable malicioso dentro del propio SVG como blob codificado. El JavaScript reconstruye el binario en cliente y lo ofrece como descarga con nombre legítimo (factura.pdf.exe, contrato.docx.exe). Como el archivo nunca viaja por la red en su forma final, los gateways de email que escanean adjuntos por hash o firma no lo detectan.
Cisco Talos publicó en febrero de 2026 un análisis con muestras donde el SVG simulaba ser un captcha de Cloudflare. El usuario veía "Verifica que no eres un robot", hacía clic, y descargaba un MSI con un troyano bancario. Si quieres profundizar en cómo se distribuyen estas amenazas, este recorrido por cryptominers que minan en tu ordenador sin permiso muestra patrones de propagación similares.
HTML smuggling y los contenedores ISO/IMG
El HTML smuggling abusa del atributo download en HTML5. Un email enlaza a una página aparentemente inocente. Esa página tiene un script que ensambla un archivo en memoria y lo guarda en disco. El archivo nunca atravesó el firewall ni el gateway porque se construyó dentro del navegador.
Los contenedores ISO e IMG son el complemento perfecto. Windows 10 y 11 montan estos formatos con doble clic. Dentro suele haber un .lnk camuflado como PDF que ejecuta un script de PowerShell. Lo más interesante para el atacante: los archivos dentro del ISO no heredan la marca Mark of the Web, así que Windows no muestra el aviso de "este archivo viene de internet".
Esta técnica saltó a portada con la campaña BumbleBee y sigue activa en 2026 con variantes que añaden cifrado del payload hasta el segundo stage.
Vulnerabilidades en el motor: cuando ni siquiera necesitas hacer clic
Los exploits zero-click contra Office son menos frecuentes pero devastadores. Repasemos los CVE más relevantes que siguen siendo explotables en organizaciones que no parchean a tiempo:
| CVE | Producto | Tipo | Año |
|---|---|---|---|
| CVE-2023-36884 | Office, Windows Search | RCE vía documento | 2023 |
| CVE-2024-21413 (MonikerLink) | Outlook | RCE en preview pane | 2024 |
| CVE-2024-30103 | Outlook | RCE al abrir email | 2024 |
| CVE-2025-21298 | Windows OLE (RTF) | RCE en preview Outlook | 2025 |
El más preocupante es la familia de fallos en el panel de previsualización de Outlook. Basta con que el correo llegue a la bandeja: si Outlook lo previsualiza, el código se ejecuta. Sin clics, sin advertencias. La mitigación temporal pasa por desactivar la vista previa automática hasta aplicar parche.
Cómo detectar estos ataques antes de que sea tarde
La protección no se basa en una sola herramienta. Funciona en capas:
- Filtro de email con sandboxing: Microsoft Defender for Office 365, Proofpoint TAP o soluciones equivalentes detonan adjuntos en entorno aislado antes de entregarlos.
- Bloqueo por extensión: a nivel de gateway, rechaza .one, .iso, .img, .vhd, .lnk en correo entrante salvo lista blanca de remitentes.
- Attack Surface Reduction (ASR) rules: las reglas de Microsoft Defender bloquean creación de procesos hijo desde Office, ejecución de scripts desde Office y abuso de WMI. Activarlas en modo bloqueo elimina el 80% de las cadenas de infección típicas.
- EDR con telemetría de procesos: CrowdStrike, SentinelOne, Microsoft Defender for Endpoint detectan secuencias sospechosas (Outlook lanzando PowerShell, OneNote escribiendo en %TEMP%).
- Análisis manual con VirusTotal: si recibes un adjunto sospechoso, súbelo a VirusTotal antes de abrirlo. Mejor aún, usa el módulo VirusTotal Code Insight para análisis dinámico.
Para usuarios domésticos y autónomos, el kit mínimo pasa por mantener Office y Windows actualizados, no abrir adjuntos no esperados aunque vengan de contactos conocidos, y verificar enlaces antes de hacer clic. Esta guía sobre hábitos de navegación segura cubre los fundamentos sin tecnicismos.
Indicadores de compromiso y qué hacer si caes
Las señales de que un documento ha detonado algo en tu equipo:
- El documento se cierra solo o muestra un error tras "abrir"
- Un proceso PowerShell, wscript, mshta o rundll32 aparece tras abrir Office
- Conexiones salientes a IPs o dominios que no reconoces (revisa con netstat o Resource Monitor)
- Carpetas %TEMP%, %APPDATA%\Roaming con ejecutables nuevos sin firmar
- Aparición de tareas programadas o claves Run en el registro que no creaste
Si sospechas infección: desconecta la máquina de la red de inmediato, no apagues (la memoria contiene evidencia útil), y contacta con un servicio de respuesta a incidentes. La guía de pasos urgentes tras caer en un phishing sirve también para casos de ejecución de malware desde adjunto, con ajustes específicos.
Si gestionas la infraestructura digital de tu empresa y necesitas reforzar el perímetro, conviene combinar formación de usuarios, políticas de bloqueo de extensiones y una revisión técnica del entorno. Equipos como los que llevan proyectos de inteligencia artificial aplicada en empresas integran detección por modelos en el flujo de correo, complementando las firmas tradicionales.
Preguntas frecuentes
¿Es peligroso solo previsualizar un email en Outlook?
Puede serlo. Vulnerabilidades como CVE-2024-21413 o CVE-2025-21298 permiten ejecución remota de código solo con que Outlook renderice el mensaje en el panel de vista previa. Mantén Office actualizado y considera desactivar la vista previa automática en entornos de alto riesgo.
¿Sirve de algo desactivar las macros si el ataque ya no las usa?
Sí, sigue siendo recomendable. Las macros son uno de varios vectores y los grupos menos sofisticados aún las explotan. Bloquearlas elimina una superficie de ataque sin coste operativo en la mayoría de organizaciones.
¿OneNote es seguro si no abro adjuntos embebidos?
Sí. El riesgo aparece al hacer doble clic sobre archivos incrustados. Si solo lees notas o sincronizas con OneDrive, no hay vector activo. Las versiones recientes bloquean por defecto las extensiones más peligrosas.
¿Cómo sé si un SVG es malicioso antes de abrirlo?
Abre el archivo con un editor de texto: el SVG es XML legible. Si ves bloques largos de Base64, etiquetas script o referencias a atob() y Blob, es altamente sospechoso. Sube el archivo a VirusTotal o Hybrid Analysis para confirmación.
¿Las reglas ASR de Microsoft frenan este malware?
Sí, bastante. Reglas como "Block all Office applications from creating child processes" y "Block executable content from email client and webmail" cortan las cadenas de infección más comunes. Configúralas en modo bloqueo, no solo auditoría.
El siguiente paso
Activa hoy mismo las reglas ASR de Microsoft Defender en modo bloqueo: abre PowerShell como administrador y ejecuta Set-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled para bloquear la creación de procesos hijo desde Office. Es la barrera más efectiva contra el 80% de campañas activas y se aplica en segundos.
