Informes recientes de la industria han revelado una campaña de phishing que abusa de herramientas legítimas de RMM y acceso remoto para obtener acceso no autorizado a los sistemas de las víctimas. Splashtop fue una de las herramientas instaladas por los atacantes en esta campaña, pero es importante aclarar que este fue un caso de mal uso a través de ingeniería social, no una brecha o vulnerabilidad en Splashtop.
En este ataque, los ciberdelincuentes engañan a los destinatarios para que descarguen software de RMM y acceso remoto. Una vez instalado, el software proporciona a los hackers acceso remoto persistente al sistema, permitiéndoles operar como si fueran administradores de TI autorizados. Esta táctica permite a los atacantes eludir la detección tradicional de malware y mezclarse con la actividad legítima de la red.
Este blog explicará cómo funciona el ataque, por qué se están atacando herramientas legítimas de acceso remoto y qué puedes hacer para prevenir el mal uso en tu entorno.
Cómo Funciona el Ataque
Esta campaña de phishing sigue una secuencia clara diseñada para engañar a los destinatarios para que instalen herramientas legítimas de acceso remoto bajo el control del atacante.
1. Entrega de correo electrónico de phishing
Los atacantes envían correos electrónicos que parecen provenir de fuentes confiables, como notificaciones de compartición de archivos de Microsoft OneDrive. Estos mensajes se envían desde cuentas comprometidas de Microsoft 365, aumentando su credibilidad.
2. Alojamiento de archivos maliciosos
El enlace del correo electrónico dirige al objetivo a un instalador MSI malicioso alojado en la red de entrega de contenido (CDN) de Discord. Alojar el archivo en un servicio conocido ayuda a evadir algunos filtros de seguridad.
3. Instalación de herramientas legítimas de RMM y Acceso remoto
Cuando se ejecuta, el instalador despliega silenciosamente:
Splashtop Streamer
Agente de Atera
Componentes de soporte como .NET Runtime 8
Instalar más de una herramienta asegura la persistencia. Si una aplicación es detectada y eliminada, la otra aún puede proporcionar acceso.
4. Acceso y control remoto
Con las herramientas en su lugar, los atacantes pueden:
Acceder al sistema de forma remota
Mover archivos o datos
Ejecutar comandos como si fueran personal de TI autorizado
Por qué los atacantes usan herramientas legítimas de acceso remoto
El software de acceso remoto y RMM está diseñado para ayudar a los equipos de TI a gestionar dispositivos de forma segura, solucionar problemas de forma remota y realizar actualizaciones desde cualquier lugar. Estas mismas capacidades los hacen atractivos para los atacantes cuando se usan indebidamente:
Se mezcla con la actividad normal – El software es de confianza y a menudo ya está presente en muchos entornos, por lo que su instalación puede no generar sospechas inmediatas.
Elude la detección tradicional de malware – Las herramientas de seguridad pueden no marcar aplicaciones legítimas y firmadas digitalmente de la misma manera que lo harían con ejecutables desconocidos.
Otorga control total del sistema – Una vez instaladas, estas herramientas dan el mismo nivel de acceso que un administrador de TI autorizado.
Asegura persistencia – Desplegar más de una herramienta (como se ve en esta campaña) permite que el acceso permanezca incluso si una es eliminada.
No Causado Por un Fallo de Software
Este tipo de uso indebido no es causado por una vulnerabilidad en el software. En cambio, proviene de una ingeniería social exitosa. La mayor arma del atacante es convencer a alguien de que instale la herramienta por ellos, eludiendo los controles normales de TI.
Para que el ataque funcione, varios pasos deben alinearse:
Un correo electrónico de phishing persuadió al objetivo para que hiciera clic en un enlace malicioso.
La víctima descargó y ejecutó un instalador disfrazado.
El software fue instalado sin la aprobación de TI.
El atacante se conectó al software recién instalado.
Si alguno de estos pasos es bloqueado, el ataque falla. Por eso son esenciales las fuertes defensas contra el phishing, los controles de instalación y las medidas de seguridad de cuentas.
Prevención del abuso de Splashtop en tu entorno
Aunque el software en sí no fue explotado en esta campaña, las organizaciones pueden tomar medidas proactivas para hacer mucho más difícil que los atacantes abusen del software legítimo:
Restringe la instalación de software a administradores aprobados a través de políticas de gestión de dispositivos.
Educar a los empleados sobre cómo detectar intentos de phishing, incluidos enlaces sospechosos para compartir archivos.
Recordar al personal que nunca descargue ni ejecute instaladores de correos electrónicos inesperados, incluso si parecen provenir de fuentes internas.
Fomentar el reporte rápido de cualquier mensaje sospechoso o solicitud inesperada de acceso remoto.
Combinar estas medidas asegura que incluso si un correo de phishing se cuela, múltiples salvaguardas se interponen en el camino de un atacante para obtener acceso.
Si crees que se está haciendo un uso indebido de Splashtop en una estafa, un intento de phishing o un incidente de acceso remoto no autorizado, infórmalo a reportabuse@splashtop.com para que nuestro equipo pueda revisar la actividad.
Cómo Splashtop Ayuda a Proteger el Acceso
Splashtop incluye funciones de seguridad integradas diseñadas para dar a las organizaciones control sobre quién puede conectarse, desde dónde y bajo qué condiciones. Cuando se configuran correctamente, estas capacidades hacen mucho más difícil que los atacantes abusen de la plataforma.
Las características clave de seguridad incluyen:
Autenticación multifactor (MFA) para verificar la identidad del usuario antes de otorgar acceso.
Integración de inicio de sesión único (SSO) para el control de acceso centralizado y la aplicación de políticas de autenticación corporativa.
Controles de acceso basados en roles que permiten a los administradores limitar permisos según la función laboral.
Autenticación de dispositivos para asegurar que solo las máquinas aprobadas puedan conectarse.
Registro y grabación de sesiones para visibilidad sobre quién accedió a qué y cuándo.
Controles de despliegue granulares para restringir la instalación de Splashtop Streamer a sistemas aprobados.
Nuestro Compromiso con la Seguridad
Splashtop se toma la seguridad en serio y monitorea de cerca los informes de amenazas cibernéticas que involucran nuestros productos, incluso cuando la actividad es el resultado de un mal uso en lugar de una vulnerabilidad. Creemos que la transparencia es esencial para mantener la confianza con nuestros clientes y socios.
Nuestros equipos de seguridad e ingeniería evalúan continuamente escenarios potenciales de abuso, mejoran las capacidades de detección y proporcionan orientación para ayudar a los clientes a configurar Splashtop de manera segura. Cuando surge nueva inteligencia de amenazas, evaluamos si se necesitan cambios en las características del producto, configuraciones predeterminadas o materiales educativos para los clientes.
Cuando Splashtop es implementado y gestionado por administradores autorizados, sigue siendo una plataforma segura y confiable para el acceso remoto. Al combinar nuestras características de seguridad integradas con protecciones de endpoint y capacitación en concienciación del usuario, las organizaciones pueden reducir significativamente el riesgo de uso indebido.
Explora nuestros productos de Splashtop y ponte en contacto para saber más sobre nuestras soluciones y seguridad.





