- Una campaña de malware suplanta una actualización acumulativa 24H2 de Windows 11 desde webs que imitan el soporte oficial de Microsoft.
- El instalador MSI parece legítimo, utiliza WiX Toolset y oculta código malicioso en JavaScript y Python dentro de una app Electron.
- El malware roba credenciales, datos bancarios y tokens, se hace persistente mediante el registro de Windows y accesos directos falsos.
- La única forma segura de actualizar Windows 11 es usar Windows Update o el catálogo oficial de Microsoft, evitando enlaces externos.
Si utilizas Windows 11, te interesa tomarte muy en serio lo que está ocurriendo con una supuesta actualización acumulativa 24H2 que recorre la red. No se trata de un simple fallo puntual ni de un bug molesto, sino de una campaña de malware cuidadosamente diseñada para hacerse pasar por un parche oficial de Microsoft y colarse en tu ordenador como quien no quiere la cosa.
En las últimas versiones de Windows nos hemos acostumbrado a oír hablar de vulnerabilidades, fallos de seguridad y errores de instalación. Los ciberdelincuentes lo saben y se aprovechan del clima de desconfianza para lanzar páginas casi idénticas al soporte oficial de Microsoft. En este caso, una web maliciosa ofrece una falsa actualización de Windows 11 24H2 que, en realidad, instala un ladrón de contraseñas y datos bancarios muy difícil de detectar incluso por los mejores antivirus.
Qué es el malware que se hace pasar por la actualización 24H2 de Windows 11
La campaña ha sido analizada en detalle por la firma de ciberseguridad Malwarebytes, que ha detectado un sitio fraudulento con apariencia de portal de soporte de Microsoft. El dominio más citado en los análisis es microsoft-update.support, una dirección que, a primera vista, puede engañar a cualquiera que no se fije en que no termina en microsoft.com.
En esta página, los atacantes publicitan una supuesta actualización acumulativa para Windows 11 24H2. Incluyen referencias a artículos de la base de conocimientos (KB), notas de versión sobre mejoras de rendimiento, parches para el kernel, optimizaciones del menú Inicio y correcciones de seguridad. Todo presentado con un diseño y una redacción que recuerdan mucho a la web oficial.
El gancho principal es un gran botón azul que invita a descargar un archivo identificado como WindowsUpdate1.0.0.msi o muy similar, con un tamaño aproximado de 83 MB. A simple vista, el peso, el nombre y la extensión del archivo encajan perfectamente con lo que esperaríamos de un instalador legítimo de Windows.
Para reforzar el engaño, el instalador ha sido creado con WiX Toolset, un conjunto de herramientas perfectamente legítimo para generar paquetes MSI en Windows. Además, los ciberdelincuentes han manipulado los metadatos para que en las propiedades del archivo aparezca Microsoft como desarrollador y se muestre una descripción coherente con una actualización del sistema operativo.
Todo este esfuerzo tiene un propósito muy claro: que el archivo MSI parezca totalmente legítimo tanto para el usuario como para las comprobaciones básicas de seguridad. La víctima cree estar aplicando un parche importante de Windows 11, cuando en realidad está abriendo la puerta de par en par a un malware especializado en robar información sensible.
Cómo se instala el malware y qué hace en tu ordenador
Una vez que el usuario descarga y ejecuta el supuesto instalador de la actualización 24H2, se inicia una cadena de acciones silenciosas. En lugar de aplicar parches de seguridad, el MSI despliega una aplicación basada en Electron dentro de la carpeta AppData del perfil de usuario, una ubicación habitual para programas legítimos, lo que reduce aún más las sospechas.
Esa aplicación Electron no llega sola: el instalador ejecuta componentes adicionales y despliega herramientas y paquetes pensados para el robo de datos. Entre ellos se incluyen scripts en JavaScript fuertemente ofuscados y módulos en Python preparados para ejecutar cargas útiles en tiempo de ejecución, descargar recursos adicionales y comunicarse con la infraestructura de los atacantes.
El primer paso del malware, nada más ponerse en marcha, es obtener la dirección IP pública y la geolocalización aproximada del dispositivo infectado. Con estos datos, los ciberdelincuentes saben desde qué país y, en muchos casos, desde qué región concreta se está produciendo la infección, lo que les permite ajustar la campaña a distintos contextos geográficos.
Después, se procede a recopilar información almacenada en el equipo: contraseñas guardadas en los navegadores, cookies de sesión, tokens de acceso, datos bancarios y credenciales de servicios online. Los informes mencionan específicamente la capacidad del malware para modificar aplicaciones basadas en Electron como Discord, interceptando tokens de autenticación, cambios de contraseña e incluso información de pago vinculada a la cuenta.
El robo de datos no se limita al navegador o a Discord. El malware es capaz de acceder a múltiples fuentes de información del sistema y empaquetar todo ese contenido robado. En algunos casos, la exfiltración se realiza mediante servicios aparentemente legítimos, como GoFile, a través de los cuales se suben los datos a servidores externos. La infraestructura de comando y control se ha visto alojada en plataformas como Render y Cloudflare Workers, dificultando aún más el rastreo y bloqueo del tráfico malicioso.
Un ataque altamente sigiloso y casi invisible para los antivirus
Uno de los aspectos que más ha alarmado a los expertos es que, durante las pruebas realizadas por Malwarebytes, ninguno de los 69 motores antivirus analizados detectó el archivo como malicioso. No se trata de una simple mala configuración: es consecuencia directa de la arquitectura del ataque y de cómo se oculta la lógica dañina.
El ejecutable inicial —el MSI y el binario asociado— se consideran archivos limpios desde la óptica clásica de los antivirus. Están construidos con herramientas habituales de desarrollo, como WiX Toolset, muestran metadatos aparentemente legítimos de Microsoft y no contienen, de forma directa, firmas conocidas de malware en su código binario.
La parte realmente peligrosa se esconde en el código JavaScript encapsulado dentro de la aplicación Electron. Allí reside la lógica de robo de datos, cifrado de la información y comunicación con los servidores de mando y control. Este JavaScript, además, está fuertemente ofuscado, lo que complica su análisis y hace que muchos antivirus no profundicen lo suficiente como para detectar qué está ocurriendo en realidad.
A todo esto se añade una carga útil en Python que se ejecuta bajo nombres de proceso que suenan completamente normales, descargando componentes adicionales en tiempo de ejecución desde ubicaciones que, en principio, no levantarían sospechas. Cada pieza del ataque, analizada por separado, tiene una apariencia inofensiva, pero juntas forman una operación de robo de datos muy sofisticada.
Los investigadores insisten en que el problema no es tanto que los antivirus fallen, sino que el ataque está diseñado para explotar las limitaciones de los análisis tradicionales. Muchos motores se centran en el binario principal y no profundizan en el contenido de los paquetes Electron, en los scripts JavaScript internos o en la relación en cadena entre VBS, Python y otros componentes auxiliares.
Mecanismos de persistencia: cómo se asegura de seguir activo
Para que el ataque sea rentable, los ciberdelincuentes necesitan que el malware no desaparezca tras el primer reinicio del equipo. Por eso, el código incluye varios mecanismos de persistencia muy bien camuflados dentro del propio sistema operativo.
Uno de los trucos más llamativos es la modificación del registro de Windows para crear una entrada bajo el nombre «SecurityHealth». Este nombre coincide con el de componentes legítimos relacionados con las notificaciones de seguridad de Windows, de modo que, a simple vista, parece un servicio del propio sistema y no levanta sospechas en usuarios que revisan el registro o herramientas de diagnóstico básicas.
Además, el malware genera un acceso directo llamado «Spotify.lnk» en la carpeta de inicio automático del usuario. De esta forma, cada vez que se arranca el ordenador, ese acceso directo aparentemente inocente ejecuta el software malicioso, que vuelve a ponerse en marcha sin necesidad de que el usuario haga nada.
Este doble sistema —entrada en el registro y acceso directo disfrazado— reduce la probabilidad de que un simple reinicio o la desinstalación de algún programa relacionado logren erradicar la amenaza. Si nadie repara en estos elementos, el malware puede permanecer activo durante semanas o meses, recopilando y enviando información sin que la víctima note nada extraño.
A todo ello se suma el hecho de que el archivo principal aparenta ser un instalador de una actualización acumulativa perfectamente normal. Si el usuario no recuerda haber instalado algo raro o no presta atención a los accesos directos y entradas de inicio, es bastante probable que ni siquiera relacione posibles problemas de seguridad con esta supuesta actualización de Windows.
Ámbito de la campaña y contexto de otros casos relacionados
Los primeros informes apuntan a que el sitio web fraudulento y gran parte de la campaña se han observado inicialmente en Francia. La página se presenta en francés y está específicamente adaptada a usuarios de ese país, lo que hace pensar en una campaña dirigida. Sin embargo, tanto Malwarebytes como otros expertos coinciden en que el riesgo es global y que la operación puede expandirse rápidamente a otros idiomas y regiones.
Este tipo de ataques se alimentan de filtraciones de datos previas y patrones de comportamiento de los usuarios. Una vez que el modelo de ataque funciona en un país, resulta relativamente sencillo replicarlo con otras traducciones, dominios parecidos y contenidos adaptados a distintas comunidades, manteniendo la misma lógica de fondo.
Paralelamente, no hay que confundir esta campaña con el uso legítimo de imágenes ISO de Windows 11 24H2. En foros de soporte de Microsoft se han visto casos de usuarios que descargan una ISO oficial de Windows 11 24H2 build 26100.863 desde los canales de Microsoft y luego reportan comportamientos extraños de herramientas de terceros, como cierres espontáneos al hacer análisis de vulnerabilidades con BitDefender o ESET.
En estos casos, los especialistas de soporte de Microsoft aclaran que, si el archivo ISO se ha obtenido del canal oficial, no contiene malware ni contenido malicioso. Los problemas suelen deberse a incompatibilidades entre el sistema recién instalado y ciertos programas de seguridad, o a fallos en el propio software, y no a infecciones relacionadas con esta campaña concreta.
La diferencia clave está en el origen: mientras que la actualización fraudulenta procede de un sitio externo que imita a Microsoft, las imágenes ISO genuinas y las actualizaciones oficiales siempre llegan a través de Windows Update o del catálogo de descargas de Microsoft, dentro del dominio microsoft.com.
Por qué este tipo de falsas actualizaciones funcionan tan bien
El éxito de esta campaña no es casualidad. Por un lado, Windows arrastra una reputación de fallos de seguridad frecuentes, actualizaciones problemáticas y vulnerabilidades explotables. Por otro, la mayoría de usuarios no profundizan en los detalles técnicos de lo que instalan, sobre todo si el contenido parece venir de una marca de confianza como Microsoft.
Los atacantes combinan varios elementos psicológicos: el miedo a quedarse sin parches de seguridad, la presión por mantener el sistema actualizado y la confianza ciega en la apariencia visual de una web. Si el sitio parece oficial, muestra un número de KB y ofrece una descarga con un nombre creíble, mucha gente baja la guardia y hace clic.
También influye que las notas de la supuesta actualización incluyan mejoras de rendimiento para el menú Inicio, correcciones en el kernel y optimizaciones varias. Son motivos habituales por los que un usuario aceptaría una nueva versión de Windows 11: promesas de más estabilidad, más seguridad y un sistema más fluido.
A esto se suma que el archivo MSI tiene un peso razonable (alrededor de 83 MB), un nombre coherente con un instalador de Windows Update y propiedades internas que indican que es un producto de Microsoft. Muchos usuarios no pasan de esa primera comprobación superficial, si es que llegan a hacerla, con lo que el margen de acción para la campaña es enorme.
Por último, el hecho de que los antivirus no salten ni lancen alertas contundentes refuerza la falsa sensación de seguridad. Si el equipo no avisa de nada raro, la víctima tiende a pensar que la instalación ha sido correcta y que todo está en orden, cuando en realidad el malware ya ha empezado a trabajar en segundo plano.
Cómo protegerte de las falsas actualizaciones de Windows 11
La mejor defensa frente a este tipo de trampas es adoptar una serie de buenas prácticas muy sencillas, pero que conviene seguir a rajatabla. La primera y más importante: nunca descargues actualizaciones de Windows desde enlaces externos recibidos por correo, redes sociales, mensajes privados o webs de terceros.
Microsoft distribuye sus parches de dos formas principales: mediante la herramienta integrada Windows Update dentro de la configuración del sistema y, para entornos más avanzados, a través del Catálogo oficial de Microsoft Update en la web. Cualquier actualización de Windows 11 que no llegue por uno de estos dos canales debe considerarse sospechosa.
Si quieres comprobar por tu cuenta si tu equipo está al día, basta con abrir la Configuración de Windows, acceder al apartado «Windows Update» y pulsar en «Buscar actualizaciones». Si hay una versión nueva o un parche importante, el propio sistema se encargará de mostrarlo y descargarlo sin necesidad de acceder a webs de terceros ni hacer malabares con archivos MSI.
También es fundamental revisar siempre la URL de las páginas relacionadas con Microsoft. El dominio debe terminar en «microsoft.com»; cualquier variación, como nombres alargados, guiones extraños o extensiones raras, es un motivo suficiente para desconfiar. Dominios tipo «microsoft-update.support» o similares son un claro indicio de suplantación.
Por último, aunque uses un buen antivirus, conviene asumir que ninguna herramienta ofrece protección absoluta, sobre todo ante amenazas tan sofisticadas como esta. La ausencia de alertas no implica que lo que estás instalando sea seguro. Mantener una actitud crítica ante cualquier descarga y evitar «atajos» para actualizar Windows son claves para no caer en la trampa.
Qué hacer si sospechas que has instalado la falsa actualización 24H2
Si crees que has podido ejecutar uno de estos instaladores disfrazados de actualización de Windows 11, toca pasar a la acción lo antes posible. Lo ideal sería realizar un análisis completo con varias herramientas de seguridad, preferiblemente desde un entorno de rescate o con un escáner offline que no dependa del sistema potencialmente comprometido.
Aun así, dado que esta amenaza puede escapar a muchos motores antivirus, no basta con un simple escaneo. Es recomendable revisar manualmente algunos elementos de persistencia conocidos, como la presencia de una entrada «SecurityHealth» sospechosa en el registro de Windows que apunte a un ejecutable poco habitual, así como accesos directos extraños en la carpeta de inicio, especialmente uno llamado «Spotify.lnk» que no debería estar ahí.
Si detectas indicios claros de infección, el paso más prudente es desconectar el equipo de internet para cortar la comunicación con los servidores de mando y control y evitar que se sigan exfiltrando datos. A partir de ahí, puedes optar por un proceso de limpieza avanzado con ayuda de un profesional o, si no tienes plena confianza en el resultado, realizar una instalación limpia de Windows utilizando medios oficiales de Microsoft.
Una vez que el sistema esté limpio, llega el turno de la parte más pesada: cambiar todas las contraseñas que pudieran haberse visto comprometidas. Empieza por el correo electrónico principal, las cuentas bancarias, servicios de pago y cualquier plataforma donde tengas información especialmente sensible. Activa la autenticación en dos pasos siempre que sea posible para añadir una capa extra de seguridad.
También conviene vigilar movimientos anómalos en tus cuentas bancarias, inicios de sesión raros en servicios como Discord, redes sociales o correo, y cualquier correo de recuperación de contraseña que no hayas solicitado. Si notas algo fuera de lugar, actúa de inmediato y ponte en contacto con tu banco o con el soporte del servicio afectado.
Todo este esfuerzo puede parecer excesivo, pero frente a un malware capaz de robar credenciales, datos de pago y tokens de autenticación sin levantar sospechas, es mejor pecar de prudente que quedarse corto. La clave está en reaccionar rápido y no dejar que la infección se prolongue en el tiempo.
Las falsas actualizaciones de Windows 11 como esta campaña que se hace pasar por la versión 24H2 muestran hasta qué punto los ciberdelincuentes pueden aprovecharse de la confianza en las marcas y en los procesos habituales de actualización. Entender cómo funciona el engaño, saber reconocer los indicios de una web fraudulenta y acostumbrarse a usar solo los canales oficiales de Microsoft marca la diferencia entre tener un PC razonablemente seguro o convertirse en la próxima víctima de un robo silencioso de datos.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.