Los adjuntos peligrosos en el correo electrónico siguen siendo el vector de ataque más eficaz para distribuir malware email. Un solo clic en una extensión peligrosa puede cifrar tu disco, robar tus credenciales bancarias o convertir tu equipo en parte de una botnet. Y no, no hace falta ser ingenuo: el virus email moderno llega camuflado en facturas, currículums y supuestos documentos de Hacienda. Cada día se envían aproximadamente 3.400 millones de correos de phishing según estimaciones del sector de ciberseguridad, y una parte significativa de ellos lleva un archivo malicioso correo adjunto esperando que alguien lo abra. Este artículo es tu guía de supervivencia: las extensiones que deberías tratar como granadas sin anilla.
Extensiones ejecutables: las sospechosas habituales
Si un correo trae un archivo .exe, .scr, .bat, .cmd, .com o .pif, la respuesta correcta es eliminarlo. Sin pensarlo. Estos formatos ejecutan código directamente en Windows y son el medio clásico de distribución de malware email. Los atacantes los renombran con doble extensión —factura.pdf.exe— confiando en que Windows oculte la extensión real.
Mención especial para los archivos .msi (instaladores de Windows) y .ps1 (scripts de PowerShell). Un .ps1 malicioso puede descargar y ejecutar payloads desde servidores remotos sin que el antivirus tradicional parpadee, porque PowerShell es una herramienta legítima del sistema. Es como si un ladrón entrara por la puerta principal usando la llave del conserje.
Los archivos .vbs y .js (Visual Basic Script y JavaScript para Windows Script Host) también entran en esta categoría. El célebre gusano ILOVEYOU del año 2000 era un simple .vbs que causó daños estimados en miles de millones de dólares. Más de dos décadas después, variantes de esta técnica siguen funcionando porque la gente sigue abriendo adjuntos sin verificar.
Documentos de Office y PDF: el lobo con piel de cordero
Aquí es donde la cosa se pone interesante. Los archivos .doc, .docm, .xls, .xlsm y .pptm pueden contener macros maliciosas que se ejecutan al abrir el documento. Microsoft desactivó las macros por defecto en documentos descargados de internet a partir de 2022, pero los atacantes se adaptaron rápido: ahora envían instrucciones para que la víctima "habilite contenido" manualmente, o distribuyen los archivos dentro de ZIPs protegidos con contraseña para saltarse el filtro.
La "m" al final de la extensión (.docm, .xlsm) indica que el archivo contiene macros. Si recibes un .docm de alguien que no esperabas, trátalo como un adjunto peligroso hasta que demuestres lo contrario. Pero ojo: incluso los .doc antiguos (formato binario OLE) pueden contener macros sin que la extensión lo delate.
Los PDF tampoco son seguros. El formato admite JavaScript embebido, acciones automáticas y formularios que pueden redirigir a URLs maliciosas. Vulnerabilidades como CVE-2023-26369 (Adobe Acrobat) permitían ejecución de código arbitrario al abrir un PDF manipulado. Mantener Adobe Reader actualizado no es opcional, es higiene básica. Si quieres saber si tu equipo ya está comprometido, revisa los síntomas típicos de infección.
Archivos comprimidos: la muñeca rusa del malware
Los formatos .zip, .rar, .7z, .tar.gz e .iso son los favoritos para evadir filtros de correo. El motivo es simple: muchos antivirus y gateways de email no escanean el contenido de archivos comprimidos, especialmente si están protegidos con contraseña. El atacante envía un ZIP cifrado y pone la contraseña en el cuerpo del mensaje. Técnicamente brillante; éticamente deleznable.
Los archivos .iso y .img merecen atención especial. Windows 10 y 11 los montan automáticamente como unidades virtuales con doble clic. El malware Bumblebee, vinculado al grupo de amenazas asociado a Conti, utilizó esta técnica extensivamente durante 2022 y 2023 para distribuir archivos maliciosos por correo electrónico saltándose la protección Mark of the Web (MOTW).
Otro truco habitual: archivos .html o .htm adjuntos que contienen JavaScript ofuscado. Al abrirlos en el navegador, ejecutan código que descarga el payload real o muestran una página de phishing convincente. Es la técnica conocida como HTML smuggling, utilizada por grupos como Nobelium (el mismo detrás del ataque a SolarWinds). Si te interesa cómo los dispositivos conectados también pueden ser vectores de ataque, echa un vistazo a cómo el malware afecta a dispositivos IoT.
Tabla resumen: extensiones y nivel de riesgo
| Extensión | Tipo | Riesgo | Acción recomendada |
|---|---|---|---|
.exe, .scr, .bat, .cmd | Ejecutable | Crítico | Eliminar siempre |
.ps1, .vbs, .js, .wsf | Script | Crítico | Eliminar siempre |
.docm, .xlsm, .pptm | Office con macros | Alto | No abrir sin verificar origen |
.doc, .xls (formato antiguo) | Office binario | Alto | Abrir solo en vista protegida |
.pdf | Documento | Medio-Alto | Mantener lector actualizado |
.zip, .rar, .7z con contraseña | Comprimido | Alto | Escanear con VirusTotal antes |
.iso, .img | Imagen de disco | Alto | No montar desde email |
.html, .htm | Web | Medio-Alto | No abrir adjuntos HTML |
.lnk | Acceso directo | Crítico | Eliminar siempre |
Cómo protegerte: protocolo anti-adjuntos maliciosos
Primer paso: desconfía por defecto. Incluso si el remitente parece legítimo, verifica por otro canal antes de abrir cualquier adjunto inesperado. Las técnicas de spear phishing permiten suplantar direcciones de email con precisión quirúrgica.
Configura Windows para mostrar extensiones de archivo. Ve a Opciones del Explorador de archivos > Vista y desmarca "Ocultar las extensiones de archivo para tipos conocidos". Ese ajuste de cinco segundos te habría salvado de la mayoría de ataques por doble extensión de la última década.
Usa VirusTotal (virustotal.com) para escanear cualquier archivo sospechoso antes de abrirlo. Sube el adjunto y deja que 70+ motores antivirus lo analicen. Si más de dos o tres lo marcan como malicioso, ya tienes tu respuesta. Para archivos confidenciales, usa el hash SHA-256 en lugar de subir el archivo completo.
Activa la vista protegida en Microsoft Office. Esta función abre documentos descargados en modo de solo lectura, bloqueando macros y contenido activo. No la desactives nunca porque un documento te lo pida. Ningún archivo legítimo necesita que desactives la seguridad para funcionar.
Si gestionas una empresa, implementa políticas de filtrado en el gateway de correo que bloqueen extensiones ejecutables (.exe, .scr, .bat, .ps1, .vbs) y archivos comprimidos con contraseña. Soluciones como Microsoft Defender for Office 365, Proofpoint o Mimecast ofrecen sandboxing de adjuntos que ejecuta los archivos en un entorno aislado antes de entregarlos. Si además te preocupa la seguridad física de tus dispositivos, recuerda que los pendrives USB desconocidos son otro vector clásico de infección.
Preguntas frecuentes
¿Puede un archivo de imagen (.jpg, .png) contener malware?
Técnicamente sí, mediante esteganografía o explotando vulnerabilidades en el visor de imágenes, pero es muy poco frecuente como vector de ataque directo por email. El riesgo real está en archivos que parecen imágenes pero tienen doble extensión, como foto.jpg.exe. Muestra siempre las extensiones reales en tu sistema operativo para evitar esta trampa.
¿Es seguro abrir un PDF en el navegador en lugar de en Adobe Reader?
Los visores PDF integrados en Chrome, Firefox y Edge ejecutan el PDF en un sandbox del navegador, lo que reduce significativamente la superficie de ataque. Es una opción más segura que Adobe Reader sin parchear, aunque no es infalible. Mantén el navegador actualizado y evita abrir PDFs de origen desconocido.
¿Qué hago si ya he abierto un adjunto sospechoso?
Desconecta el equipo de la red inmediatamente (Wi-Fi y cable). Ejecuta un escaneo completo con tu antivirus y con una herramienta adicional como Malwarebytes. Cambia las contraseñas de tus cuentas críticas (email, banca) desde otro dispositivo. Si estás en un entorno corporativo, avisa al equipo de IT antes de hacer nada más.
¿Los archivos .docx son seguros porque no admiten macros?
El formato .docx (Open XML) no ejecuta macros, así que es más seguro que .doc o .docm. Pero no es inmune: puede contener enlaces externos maliciosos, explotar vulnerabilidades del parser XML o usar la técnica de template injection para descargar plantillas remotas con macros. Menos peligroso no significa inofensivo.
El siguiente paso
Abre ahora mismo el Explorador de archivos de Windows, ve a Opciones > Vista y desmarca "Ocultar las extensiones de archivo para tipos conocidos". Es un cambio de cinco segundos que te permitirá ver la extensión real de cada archivo que recibas. Después, descarga cualquier adjunto reciente que hayas abierto sin pensar y súbelo a VirusTotal para comprobar que está limpio. Si quieres profundizar en cómo el malware consigue puertas de entrada permanentes en tu sistema, lee sobre backdoors y accesos remotos no autorizados. La paranoia, en ciberseguridad, es simplemente buena higiene.
