El malware RAT a través de Windows Explorer pone en riesgo las criptomonedas

Cofense Intelligence revela cómo los actores de amenazas abusan de Windows File Explorer y servidores WebDAV para evadir la seguridad del navegador y enviar RATs a objetivos corporativos.

Los actores de amenazas han encontrado una forma de enviar malware directamente a las máquinas corporativas sin pasar por un navegador web. Cofense Intelligence publicó hallazgos el 25 de febrero de 2026, revelando una campaña activa que aprovecha la capacidad incorporada de Windows File Explorer para conectarse a servidores WebDAV remotos. La táctica evita por completo las advertencias estándar de descarga del navegador. La mayoría de los usuarios no saben que File Explorer puede acceder a servidores en internet.

WebDAV es un antiguo protocolo de gestión de archivos basado en HTTP. Poca gente lo usa hoy en día. Pero Windows todavía lo soporta de forma nativa en File Explorer, aunque Microsoft lo descontinuó en noviembre de 2023. Esa brecha entre la descontinuación y la eliminación total es exactamente por donde pasan los atacantes.

Cuando una Carpeta No Es Realmente una Carpeta

Según Cofense Intelligence en su informe publicado, el volumen de campañas apareció por primera vez en febrero de 2024, y luego se disparó en septiembre de 2024. Ha permanecido activo desde entonces. Los ataques no han disminuido. El 87 por ciento de todos los Informes de Amenazas Activas relacionados con esta táctica entregan múltiples troyanos de acceso remoto como carga útil final. XWorm RAT, Async RAT y DcRAT son los más frecuentes.

Debe Leer: Brecha de Seguridad en Criptomonedas: Hackeos en enero totalizan 86 millones de dólares, aumento en phishing

Cómo Funciona Realmente el Ataque

Las víctimas reciben correos de phishing, a menudo disfrazados de facturas en alemán. Los correos contienen archivos de acceso directo URL (.url) o archivos de acceso directo LNK (.lnk). Ambos pueden abrir silenciosamente una conexión WebDAV dentro de File Explorer. El usuario ve lo que parece una carpeta local. Pero no lo es.

Lo que hace esto particularmente dañino es la cadena que sigue. Los scripts descargan scripts adicionales desde servidores WebDAV separados. Archivos legítimos se mezclan con archivos maliciosos para dificultar la detección. Cuando un RAT finalmente se instala, la ruta de entrega ha pasado por varias capas de ofuscación. Las herramientas de seguridad que escanean las descargas del navegador no detectan toda la secuencia.

El informe de Cofense señala que el 50% de todas las campañas afectadas están en alemán. Las campañas en inglés representan el 30%. El resto corresponde a italiano y español. Esa división apunta directamente a las cuentas de correo corporativas europeas como el principal objetivo.

También Podría Interesarte: npm Worm roba claves criptográficas y apunta a 19 paquetes

Cloudflare Tunnel realiza un trabajo importante para los atacantes aquí. Todas las ATRs relacionadas con esta táctica usan cuentas demo gratuitas en trycloudflare[.]com para alojar los servidores WebDAV maliciosos. La infraestructura de Cloudflare enruta la conexión de la víctima. Eso hace que el tráfico parezca legítimo a primera vista. Las cuentas demo son de corta duración por diseño, por lo que los actores de amenazas las eliminan rápidamente después de que las campañas se activan, cortando el análisis forense.

Por Qué los Poseedores de Criptomonedas Están en Riesgo Serio

Aquí es donde se vuelve peligroso para quienes tienen activos digitales. RATs como XWorm y Async RAT dan a los atacantes acceso remoto persistente a una máquina infectada. Eso significa que el contenido del portapapeles, las sesiones del navegador, las contraseñas guardadas y los archivos de billeteras de criptomonedas están al alcance. El secuestro del portapapeles, método ya vinculado a robos de criptomonedas por cientos de millones, se vuelve trivial una vez que un RAT está en funcionamiento.

Las pérdidas por phishing alone superaron los 300 millones de dólares en enero de 2026, según datos de seguimiento de seguridad. Esa cifra supera las pérdidas por hackeos en protocolos en el mismo período. Los métodos de ataque documentados por Cofense alimentan directamente esa línea de ataque. Un RAT instalado vía WebDAV en la máquina de un empleado del equipo financiero no es solo un problema de TI corporativo. Es un camino directo a billeteras vaciadas y claves robadas.

También Vale Tu Atención: A medida que aumentan las amenazas, la seguridad de las billeteras de criptomonedas será una prioridad en 2026

Qué Deben Hacer las Organizaciones Ahora

El informe de Cofense recomienda buscar tráfico de red hacia las instancias demo de Cloudflare Tunnel específicamente. Las herramientas EDR con análisis conductual deberían detectar archivos .URL y .LNK que se comuniquen con servidores remotos. La solución más difícil es la educación del usuario. La mayoría de las personas simplemente no saben que la barra de direcciones de File Explorer funciona como un navegador.

Verificarla de la misma manera que verificarían una URL sospechosa es la primera línea de defensa. Abusos similares son posibles a través de FTP y SMB. Ambos protocolos se usan regularmente en empresas y ambos pueden acceder a servidores externos. La superficie de ataque que documenta Cofense es más amplia que solo WebDAV.

Relacionado: Hackeos e Incidentes de Seguridad en 2025: Un año que expuso los puntos débiles del cripto

El desglose técnico completo, incluyendo tablas IOC y ejemplos de dominios de Cloudflare Tunnel vinculados a informes específicos de amenazas activas, está disponible en el informe de Cofense Intelligence publicado en cofense.com.