La comunidad de ciberseguridad ha puesto el foco en SORVEPOTEL, un malware que se propaga a través de WhatsApp Web y que ha logrado expandirse con rapidez al utilizar el propio ecosistema de mensajería como canal de distribución.
Los datos recabados por especialistas indican 477 equipos comprometidos (457 en Brasil), con impacto en ámbitos públicos y privados. Aunque no se ha constatado cifrado de archivos ni robo masivo de datos en la primera oleada, el patrón de propagación automática es especialmente preocupante.
Qué es SORVEPOTEL y por qué preocupa
Se trata de un malware de tipo gusano orientado a Windows cuyo objetivo principal es multiplicarse. En lugar de extorsionar o exfiltrar información desde el primer momento, busca saturar canales de comunicación y generar interrupciones operativas que pueden afectar a organismos, empresas y usuarios particulares.
Cadena de infección: del ZIP al control C2
La intrusión comienza cuando la víctima recibe un mensaje de phishing desde un contacto ya comprometido, algo que infunde confianza. Ese mensaje incorpora un archivo ZIP camuflado como documento legítimo (recibos, presupuestos o informes médicos).
Dentro del ZIP se oculta un acceso directo de Windows (.LNK) que lanza un script de PowerShell para descargar la carga maliciosa desde servidores externos. Tras ejecutarse, el malware establece persistencia en la carpeta de inicio y se comunica con infraestructura de comando y control (C2) para recibir instrucciones.
Uso de WhatsApp Web como trampolín
Uno de los rasgos diferenciales es su capacidad para detectar sesiones abiertas de WhatsApp en el navegador. Si está activa, el código reenvía el mismo ZIP infectado a contactos y grupos de la cuenta comprometida, sin interacción del usuario.
Este envío masivo provoca un volumen de mensajes anómalo que puede derivar en suspensiones temporales de la cuenta por violar las normas de la plataforma, además de acelerar la propagación a nuevas víctimas.
Alcance, regiones y sectores afectados
Las cifras disponibles apuntan a 477 infecciones confirmadas, con una concentración notable en Brasil (457 incidentes). Entre los sectores alcanzados figuran gobierno, servicios públicos, tecnología, educación, manufactura y construcción.
El código incorpora controles de entorno (zona horaria, idioma, región) para actuar prioritariamente en sistemas brasileños, pero la naturaleza del vector (mensajería) facilita su salto a otros países. La campaña también ha sido referida como Water Saci por algunos analistas.
Capacidades adicionales detectadas
Si bien el primer objetivo es expandirse, se han observado módulos complementarios con fines financieros, como Maverick.StageTwo (monitoreo bancario) y Maverick.Agent (recopilación de credenciales y overlays suplantando páginas bancarias). No hay evidencias de una exfiltración masiva en la fase inicial, pero la presencia de estos componentes eleva el riesgo.
Indicadores técnicos a vigilar
Para equipos técnicos y SOC, hay patrones que pueden ayudar a identificar la actividad de este malware y cortar la cadena de ataque con rapidez:
- Archivos ZIP con accesos directos .LNK en lugar de documentos reales.
- Uso de PowerShell ofuscado para descarga y ejecución de la carga útil.
- Persistencia en carpetas de inicio de Windows y Run keys.
- Tráfico hacia dominios señuelo controlados por los atacantes (p. ej., nombres similares a servicios lícitos).
- Verificación del entorno regional antes de activar funciones avanzadas.
La combinación de LNK + PowerShell + C2 y el aprovechamiento de WhatsApp Web como multiplicador son rasgos especialmente distintivos frente a otras campañas.
Cómo reducir el riesgo en casa y en la empresa
Los expertos recomiendan reforzar los hábitos de higiene digital y aplicar controles técnicos básicos, con especial atención a la gestión de adjuntos y el uso de WhatsApp Web en equipos de trabajo.
- Desactivar las descargas automáticas en WhatsApp y evitar abrir ZIP inesperados, incluso si llegan de contactos conocidos.
- Restringir o supervisar WhatsApp Web en entornos corporativos; vigilar reenvíos masivos.
- Disponer de EDR/antivirus capaces de detectar LNK y PowerShell maliciosos y bloquear comportamientos sospechosos.
- Monitorizar DNS/HTTP(S) hacia dominios o IP de C2 conocidos y aplicar listas de bloqueo.
- Formación continua en phishing e ingeniería social para toda la plantilla.
- Mantener sistemas y parches al día en endpoints y navegadores.
En organizaciones, también ayuda establecer políticas de control de adjuntos y flujos de validación cuando se reciben archivos sensibles por mensajería.
Qué hacer si ya estás afectado
Ante cualquier indicio (reenvíos automáticos, avisos de suspensión o actividad extraña), conviene ejecutar un protocolo de contención y remediación de inmediato.
- Cierra las sesiones de WhatsApp Web desde el móvil (Ajustes > Dispositivos vinculados) y cambia el PIN/Bloqueo si procede.
- Analiza el equipo con una solución antimalware actualizada y elimina persistencias en carpetas de inicio.
- Revisa programas de inicio, tareas programadas y entradas del registro relacionadas con LNK/PowerShell sospechosos.
- Purga archivos ZIP/temporales descargados recientemente y vacía la papelera.
- Comunica a tus contactos que no abran el ZIP que puedan haber recibido desde tu cuenta.
Si gestionas una red corporativa, añade bloqueos de IOCs en los controles perimetrales y reporta el incidente al CERT correspondiente para facilitar la respuesta coordinada.
La evidencia disponible apunta a una campaña que prioriza la diseminación a gran escala mediante WhatsApp Web, con Brasil como epicentro y potencial de salto a otros países; conocer la cadena de ataque (ZIP+LNK+PowerShell+C2), limitar el uso de la versión web en equipos de trabajo y reforzar la verificación de adjuntos son medidas sencillas que reducen de forma notable la superficie de riesgo.
