Hackers están usando máquinas virtuales invisibles para atacar empresas y casi nadie se da cuenta

Sophos detectó una nueva ola de ciberataques en la que herramientas legítimas, ampliamente utilizadas por especialistas en TI y desarrollo de software, se convierten en escondites ideales para robar datos y desplegar ransomware

El nuevo truco de los ciberdelincuentes no es un malware más sofisticado, sino algo mucho más silencioso: esconderse a plena vista.

Investigadores de Sophos alertaron sobre un aumento en ataques que utilizan QEMU, una herramienta legítima utilizada en desarrollo de software y virtualización, para crear máquinas virtuales ocultas dentro de sistemas comprometidos. Desde ahí, los atacantes pueden operar durante semanas o incluso meses sin ser detectados.

La lógica es simple y preocupante: todo lo que ocurre dentro de una máquina virtual es prácticamente invisible para muchas soluciones de seguridad tradicionales. Es decir, los hackers pueden robar credenciales, moverse dentro de la red e incluso preparar un ataque de ransomware sin dejar rastro en el equipo principal.

Sophos identificó al menos dos campañas activas detrás de esta técnica. En una de ellas, los atacantes crean accesos remotos encubiertos mediante túneles SSH, mientras recolectan credenciales críticas del sistema. En otra, explotan vulnerabilidades recientes para tomar control inicial y luego montar un «laboratorio» completo de ataque dentro de la máquina virtual, instalando herramientas avanzadas para escalar privilegios y extraer información.

Lo más llamativo es el nivel de sigilo: en algunos casos, los ciberdelincuentes utilizan aplicaciones tan comunes como editores de texto o incluso herramientas básicas del sistema para moverse dentro de la red sin levantar sospechas.

El objetivo final suele ser el mismo: desplegar ransomware como PayoutsKing o vender el acceso a otros grupos criminales. Pero lo que cambia es el camino: ahora, ese proceso ocurre dentro de entornos ocultos que funcionan como refugios digitales.

Para las empresas en México, el riesgo es claro. Este tipo de ataques no solo evade la detección tradicional, sino que también permite a los atacantes permanecer más tiempo dentro de la red, aumentando el impacto potencial.

La recomendación de los expertos es reforzar la visibilidad: monitorear comportamientos inusuales, detectar herramientas de virtualización no autorizadas y prestar atención a conexiones sospechosas, especialmente aquellas que utilizan puertos poco comunes.

Porque si algo deja claro esta tendencia es que el problema ya no es solo qué entra a la red de una empresa, organización o incluso a una personal, sino lo que puede estar pasando dentro sin levantar sospecha.

Esta y otras investigaciones sobre ciberseguridad pueden consultarse en el blog de Sophos.

Acerca de Sophos
Sophos es un líder global e innovador en soluciones avanzadas de seguridad para combatir ciberataques. La compañía adquirió Secureworks en febrero de 2025, uniendo a dos pioneros que han redefinido la industria de la ciberseguridad con servicios, tecnologías y productos innovadores optimizados con IA nativa. Sophos es ahora el mayor proveedor independiente de Managed Detection and Response (MDR), brindando soporte a más de 28 mil organizaciones.

Además de MDR y otros servicios, el portafolio completo de Sophos incluye seguridad líder en la industria para endpoints, redes, correo electrónico y entornos en la nube, integradas y adaptativas a través de la plataforma Sophos Central. Secureworks aporta su innovador Taegis XDR/MDR, detección y respuesta ante amenazas de identidad (ITDR), capacidades de SIEM de próxima generación, gestión de riesgos y un conjunto completo de servicios de asesoría.

Sophos distribuye todas estas soluciones a través de socios de canal, Managed Service Providers (MSPs) y Managed Security Service Providers (MSSPs) en todo el mundo, protegiendo a más de 600 mil organizaciones contra el phishing, el ransomware, el robo de datos y otros delitos cibernéticos cotidianos o patrocinados. Sus soluciones están impulsadas por inteligencia de amenazas en tiempo real e histórica de Sophos X-Ops y la recién añadida Counter Threat Unit (CTU). Sophos tiene su sede en Oxford, Reino Unido. Para más información, visitar www.sophos.com.