Login Probar gratis
Virus de macros en documentos Office: una amenaza clásica que sigue activa

Virus de macros en documentos Office: una amenaza clásica que sigue activa

por MataSpam Malware y Virus

Los virus de macros llevan más de treinta años colándose en buzones de correo, y siguen siendo una de las formas más efectivas de distribuir malware en documentos Office. Una macro maliciosa incrustada en un archivo Word o Excel puede ejecutar código en tu máquina con solo pulsar "Habilitar contenido". Si alguna vez has recibido un documento infectado disfrazado de factura, presupuesto o CV, ya sabes de qué hablamos. Las macros en Word y Excel fueron diseñadas para automatizar tareas repetitivas, pero los atacantes descubrieron hace décadas que también sirven para descargar troyanos, robar credenciales y cifrar discos enteros con ransomware.

Qué es una macro y por qué puede ser peligrosa

Una macro es un conjunto de instrucciones escritas en VBA (Visual Basic for Applications) que automatiza acciones dentro de documentos de Microsoft Office. Crear una tabla formateada, rellenar campos repetitivos, generar informes: para eso se inventaron. El problema aparece cuando alguien escribe una macro que, en lugar de formatear celdas, ejecuta Shell() o WScript.Shell para descargar un ejecutable desde un servidor remoto.

El flujo típico de un ataque con macro maliciosa es sencillo y brutalmente efectivo:

  1. Recibes un email con un archivo .docm, .xlsm o un .doc en formato antiguo (OLE).
  2. Abres el archivo. Office muestra la barra amarilla: "Las macros se han deshabilitado".
  3. El documento incluye un mensaje convincente: "Para ver el contenido, habilite las macros".
  4. Pulsas el botón. La macro se ejecuta, descarga un payload y tu equipo queda comprometido.

Así de simple. No hace falta explotar ninguna vulnerabilidad del sistema operativo. El usuario autoriza la ejecución. Por eso los atacantes invierten tanto en ingeniería social: el eslabón débil no es el software, eres tú pulsando un botón.

Historia express: de Concept a Emotet

El primer virus macro documentado fue WM/Concept, detectado en 1995. Infectaba documentos de Word 6.0 y se propagaba al guardarse en la plantilla Normal.dot. No hacía nada destructivo —mostraba un cuadro de diálogo con el número "1"—, pero demostró que las macros eran un vector de ataque viable. A partir de ahí, la cosa se desmadró.

Melissa (1999) combinó macro maliciosa con propagación por email: se autoenviaba a los primeros 50 contactos de Outlook. Colapsó servidores de correo de empresas como Intel y Microsoft. Su creador, David L. Smith, acabó con 20 meses de cárcel. ILOVEYOU (2000), aunque técnicamente usaba VBScript y no VBA, explotó el mismo principio: confiar en archivos adjuntos.

Y luego llegó Emotet, probablemente el malware más peligroso de la última década. Emotet usaba documentos Office con macros como vector de entrada inicial, y evolucionó hasta convertirse en una plataforma de distribución de otros malware (TrickBot, Ryuk, Conti). Europol coordinó su desmantelamiento en enero de 2021, pero resurgió meses después. En 2022-2023, sus campañas seguían utilizando documentos infectados con macros VBA y ficheros OneNote como alternativa.

La respuesta de Microsoft (y sus agujeros)

Microsoft lleva años intentando cerrar este vector. Estos son los hitos principales:

AñoMedidaImpacto
2007Formatos .docx/.xlsx (Open XML) sin soporte de macros por defectoSeparación entre archivos con y sin macros (.docm, .xlsm)
2016Política de grupo para bloquear macros en archivos de InternetEfectiva en entornos corporativos, ignorada por usuarios domésticos
2022Bloqueo por defecto de macros VBA en archivos descargados de Internet (Mark of the Web)El cambio más significativo. Aplicado gradualmente desde abril de 2022
2024Extensión del bloqueo a documentos de OneDrive, SharePoint y TeamsCierra la vía de compartir archivos internamente para evadir MotW

El bloqueo basado en Mark of the Web (MotW) fue un punto de inflexión. Windows marca los archivos descargados de Internet con un atributo NTFS (Zone.Identifier), y Office usa ese atributo para decidir si bloquea las macros. Pero los atacantes encontraron formas de eludirlo:

  • Archivos ZIP con MotW stripping: herramientas como 7-Zip no siempre propagaban el atributo MotW a los archivos extraídos (CVE-2022-41091, parcheado en noviembre de 2022).
  • Archivos ISO/IMG: los contenedores de disco virtual montados en Windows no conservan el MotW de los archivos internos.
  • Archivos OneNote (.one): como alternativa directa a las macros de Office, los atacantes empezaron a incrustar scripts en archivos de OneNote durante 2023.
  • Archivos Office en formato antiguo (.doc, .xls): algunas variantes explotan el formato OLE binario para evadir detecciones.

Los ciberdelincuentes se adaptan rápido. Cuando Microsoft cierra una puerta, buscan la ventana. Algunos grupos APT —como TA577 o TA551, rastreados por Proofpoint— han rotado entre macros VBA, archivos LNK, scripts PowerShell y contenedores ISO según qué vector tenga menor tasa de detección en cada momento.

Cómo detectar un documento con macros maliciosas

No todos los documentos con macros son peligrosos. Muchas empresas usan macros legítimas para procesos internos. La clave está en distinguir lo legítimo de lo sospechoso. Estas señales deberían activar tus alarmas:

  • El archivo llega por email de un remitente inesperado, o de un contacto conocido pero con un asunto extraño. Revisa las señales que delatan un intento de phishing en la URL del remitente.
  • El documento pide explícitamente que habilites macros para "ver el contenido". Un documento legítimo no necesita macros para mostrar texto.
  • La extensión es .docm, .xlsm, .dotm o cualquier formato con la "m" de macros. También sospecha de .doc y .xls en formato antiguo (pre-2007).
  • El archivo pesa más de lo esperado para su contenido visible. Las macros con payloads suelen inflar el tamaño.
  • Office bloquea las macros con una barra roja. Eso significa que el archivo viene de Internet y contiene código ejecutable.

Para análisis técnico, puedes usar oletools (la suite de Philippe Lagadec): olevba extrae y analiza el código VBA de cualquier documento Office. VirusTotal también analiza macros y muestra los resultados de más de 70 motores antivirus. Y si quieres un sandbox, ANY.RUN o Hybrid Analysis ejecutan el documento en un entorno aislado y te muestran exactamente qué hace la macro.

Protección práctica: qué hacer en tu empresa y en tu equipo personal

La prevención se aplica a dos niveles. A nivel corporativo, los administradores de sistemas tienen herramientas potentes. A nivel personal, las medidas son más simples pero igual de necesarias.

Para administradores de sistemas

  • Política de grupo (GPO): bloquea macros VBA en archivos procedentes de Internet. Ruta: User Configuration → Administrative Templates → Microsoft Office → Security Settings → Block macros in Office files from the Internet.
  • ASR (Attack Surface Reduction) en Microsoft Defender: la regla "Block Office applications from creating executable content" (GUID: 3B576869-A4EC-4529-8536-B80A7769E899) impide que las macros descarguen o ejecuten binarios.
  • AMSI (Antimalware Scan Interface): desde Office 2019 y Microsoft 365, el código VBA se analiza en tiempo de ejecución a través de AMSI. Mantén el antivirus actualizado para que funcione.
  • Formación de usuarios: el filtro técnico más sofisticado falla si alguien copia el archivo a una carpeta local para saltarse el MotW. La concienciación no es opcional.

Para usuarios individuales

  • No habilites macros en documentos que no esperas. Nunca. Si alguien te envía una "factura" que necesita macros para mostrarse, es falsa.
  • Usa la Vista Protegida de Office. No la desactives. Está ahí por una razón.
  • Actualiza Office. Las versiones recientes bloquean macros de Internet por defecto.
  • Alternativa: abre documentos sospechosos en Google Docs. Al convertir el formato, las macros VBA se eliminan automáticamente. No ejecutan código.
  • Antivirus con análisis de macros: Windows Defender, Bitdefender y ESET detectan la mayoría de macros maliciosas conocidas. La protección en tiempo real es tu última línea de defensa.

Si gestionas una red empresarial, ten en cuenta que los atacantes sofisticados combinan documentos infectados con técnicas de suplantación de identidad. El fraude del CEO usa exactamente esta combinación: un email que simula venir de dirección, con un Excel adjunto que contiene "cifras confidenciales" que requieren macros para visualizarse.

Macros maliciosas en 2025-2026: el estado actual

El bloqueo por defecto de Microsoft ha reducido la efectividad de las macros en Word y Excel como vector de entrada. Pero "reducir" no significa "eliminar". Los informes de Proofpoint y Mandiant siguen documentando campañas activas que usan macros, especialmente contra organizaciones que:

  • Usan versiones antiguas de Office (2016 o anteriores) sin las políticas de bloqueo.
  • Operan en entornos donde las macros son necesarias (finanzas, contabilidad, logística) y los usuarios tienen permisos para habilitarlas.
  • No han implementado las reglas ASR de Defender ni políticas de grupo específicas.

Los grupos de ransomware como QakBot (también conocido como QBot) y IcedID usaron macros como vector inicial hasta 2023, cuando migraron a otros métodos. Pero el código VBA malicioso sigue vendiéndose en foros underground como builders: herramientas que generan documentos con macro maliciosa personalizada, con ofuscación para evadir antivirus, por precios que rondan los 200-500 dólares según estimaciones de analistas de amenazas. Si quieres entender cómo funcionan estos kits de ataque automatizados, el problema es sistémico: la barrera de entrada para crear malware Office es bajísima.

Una tendencia reciente: las macros de Excel 4.0 (XLM), un formato heredado anterior a VBA, resurgieron como vector de ataque porque muchos motores de detección no las analizaban correctamente. Microsoft respondió bloqueándolas por defecto en 2022, pero los archivos .xls antiguos con XLM siguen circulando.

Preguntas frecuentes

¿Puedo infectarme solo por abrir un documento con macros?

No, si tienes una versión moderna de Office (2019 o Microsoft 365 actualizado). Las macros no se ejecutan automáticamente: Office las bloquea por defecto en archivos descargados de Internet. El riesgo aparece cuando el usuario pulsa "Habilitar contenido" o "Habilitar edición" manualmente.

¿LibreOffice también es vulnerable a las macros de Office?

LibreOffice puede ejecutar algunas macros VBA, pero su compatibilidad es limitada y la mayoría de macros maliciosas diseñadas para Microsoft Office fallan en LibreOffice. No obstante, LibreOffice tiene su propio lenguaje de macros (LibreOffice Basic) que también podría ser abusado. No lo trates como inmune.

¿Cómo puedo analizar un documento sospechoso sin abrirlo?

Sube el archivo a VirusTotal (virustotal.com) para un análisis multimotor. Para un análisis más profundo, usa olevba (parte de la suite oletools de Python) en línea de comandos: olevba documento.docm te mostrará el código VBA sin ejecutarlo. También puedes usar sandboxes online como ANY.RUN o Hybrid Analysis.

¿Las macros de Google Sheets o Google Docs pueden ser peligrosas?

Google Workspace usa Apps Script (basado en JavaScript), no VBA. El modelo de permisos es diferente y más restrictivo: los scripts necesitan autorización explícita para acceder a servicios externos. Aunque el riesgo existe, las macros maliciosas de Office no funcionan en Google Docs. De hecho, abrir un documento infectado en Google Docs neutraliza las macros VBA.

El siguiente paso

Abre Office en tu equipo, ve a Archivo → Opciones → Centro de confianza → Configuración del Centro de confianza → Configuración de macros y selecciona "Deshabilitar macros VBA con notificación" como mínimo. Si no usas macros en tu día a día, selecciona "Deshabilitar macros VBA sin notificación". Comprueba que la Vista Protegida está activada para archivos de Internet, datos adjuntos de Outlook y ubicaciones potencialmente no seguras. Son tres casillas. Tardarás menos de un minuto. Y si administras una red, aplica la política de grupo para bloquear macros en archivos de Internet —esa sola medida habría frenado la mayoría de campañas de malware Office de los últimos cinco años—.

virus macro macro maliciosa malware office documento infectado macro word excel
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Malware con inteligencia artificial: la nueva generación de amenazas adaptativas
Malware y Virus

Malware con inteligencia artificial: la nueva generación de amenazas adaptativas

Malware en adjuntos de email: extensiones peligrosas que nunca deberías abrir
Malware y Virus

Malware en adjuntos de email: extensiones peligrosas que nunca deberías abrir

Ransomware as a Service: el negocio criminal que cualquiera puede contratar
Malware y Virus

Ransomware as a Service: el negocio criminal que cualquiera puede contratar

← Volver al blog