En días pasados, los cibercriminales fueron noticia en Colombia a causa de una cadena de correos electrónicos en los que se hicieron pasar por entidades judiciales. El protagonista de esta historia es el DCRAT. ¿En qué consiste esta amenaza?
Aunque los ataques cibernéticos son algo cotidiano, recientemente el malware fue noticia en Colombia por culpa del DCRAT (Dark Crystal RAT), un troyano utilizado por ciberdelincuentes que tenía como objetivo a las empresas colombianas. A pesar de que esta nueva estrategia criminal suena novedosa, no lo es, ya que forma parte de una tendencia: el malware as a service.
Este grupo de ataques fue dado a conocer a comienzos de julio por un reporte de Fortinet, en el que se manifestó el descubrimiento de “un nuevo ataque por correo electrónico que distribuye un troyano de acceso remoto (Remote Access Trojan o RAT) en el que se hace pasar por una entidad gubernamental colombiana”.
Siendo más precisos, los ciberdelincuentes se hacen pasar por organismos estatales colombianos —tales como la Rama Judicial, la Fiscalía o los juzgados— utilizando correos electrónicos convincentes, con logotipos y lenguaje judicial, que invitan a descargar archivos supuestamente oficiales (PDF, enlaces de TinyURL o archivos ZIP protegidos por contraseña), que llevan a sitios maliciosos.
¿Los sospechosos de siempre?
Aunque el DCRAT no es nuevo, con avistamientos reportados desde 2018 según Broadcom y la IBM X-Force, los recientes ataques han sido atribuidos al colectivo criminal Hive0131, un grupo que ha estado distribuyendo esta familia de malware a usuarios de América Latina y del que se cree que tiene miembros en Colombia.
Por cierto, aunque Hive0131 es el actor más relevante documentado en las campañas recientes con DCRAT, otros grupos también han estado activos en Colombia, como Blind Eagle (APT-C-36), centrado en espionaje y uso de RATs, pero más vinculado a ataques estatales y gubernamentales.
De hecho, la suplantación de identidad de autoridades colombianas es una técnica de ingeniería social efectiva y ampliamente adoptada en la región. Otros grupos como Red Akodon (2024) y la Operación Spalax (2021) han empleado tácticas similares para distribuir otros RATs en Colombia, lo que indica una convergencia de métodos y objetivos entre diversos actores de amenazas.
Malware as a service y motivaciones
Una de las particularidades del DCRAT es que opera como un Malware-as-a-Service (MaaS) y se promociona ampliamente en foros rusos de ciberdelincuencia, donde se puede adquirir por solo 7 dólares por una suscripción de dos meses. Aunque el reciente ataque apareció en medios de comunicación en 2025, la última campaña de los ciberdelincuentes contra las empresas colombianas comenzó antes, en 2024.
Según Fortinet, el éxito del DCRAT se debe a que utiliza múltiples técnicas avanzadas para evadir los sistemas de protección y detección de malware, como archivos protegidos con contraseña, ofuscación de código, esteganografía y descargas múltiples de archivos.
En cuanto a los motivos de su uso, el DCRAT busca obtener acceso remoto no autorizado a equipos, lo que les permite a los delincuentes tomar el control total del sistema, extraer datos sensibles, robar credenciales, registrar las pulsaciones de teclas, exfiltrar archivos y ejecutar acciones maliciosas como apagar el equipo, crear persistencia y propagar otros malware.
Medidas de protección y respuesta
La ciberseguridad es una disciplina integral que requiere de capacitación, estrategia y tecnología. Por ello, para mitigar la amenaza del DCRAT, se recomienda la adopción de una estrategia de defensa de múltiples capas, donde cada capa protege un aspecto específico: por ejemplo, la red, los dispositivos, las aplicaciones, los datos y los usuarios.
Esta estrategia incluye el uso de soluciones avanzadas de seguridad de correo electrónico que puedan detectar técnicas de phishing sofisticadas, archivos adjuntos protegidos con contraseña, esteganografía y HTML smuggling.
Además, es crucial implementar soluciones de Detección y Respuesta de Endpoints (EDR) o Detección y Respuesta Extendida (XDR) con capacidades de análisis de comportamiento y detección basada en inteligencia artificial. Y, por supuesto, lo más importante: educar al eslabón más débil de la cadena, el usuario.
Si quieres saber cómo desde Movistar Empresas te podemos ayudar a impulsar la transformación de tu negocio y a hacerlo de manera segura y sostenible ingresa aquí.
Foto de Freepik