Tu PC infectada ahora puede ser un interruptor mortal para tu celular. Aquí te explicamos qué hacer

Los hackers patrocinados por el Estado norcoreano acaban de demostrar algo que la mayoría no se imagina: si tu computadora está infectada con malware, la seguridad de tu smartphone ya está comprometida incluso si tu teléfono en sí está completamente limpio.

En septiembre de 2025, el grupo APT KONNI usó malware en PC con Windows para borrar de forma remota celulares Android mediante el Google Localizador (función Encontrar mi dispositivo de Google). Pero aquí está el detalle crítico que lo cambia todo: Google confirmó que este ataque no aprovechó ninguna vulnerabilidad en Android ni en Encontrar mi dispositivo. La vulnerabilidad fue mucho más simple y aterradora: computadoras de escritorio infectadas.

Qué ocurrió realmente: la cadena de ataque de PC a teléfono

La campaña de KONNI funcionó a través de una secuencia cuidadosamente orquestada que revela lo interconectados que están nuestros dispositivos:

Paso 1: Ingeniería social por app de mensajería

Los atacantes se hicieron pasar por consejeros psicológicos y activistas de derechos humanos norcoreanos, distribuyendo malware disfrazado de programas para aliviar el estrés a través de la popular app de mensajería coreana KakaoTalk. Las víctimas creyeron que descargaban software legítimo de asesoría.

Paso 2: Infección con RAT en PC con Windows

Una vez ejecutados, los instaladores MSI maliciosos desplegaron troyanos de acceso remoto (RAT, por sus siglas en inglés), específicamente RemcosRAT, QuasarRAT y RftRAT. No son virus simples; son herramientas sofisticadas que dan a los atacantes control remoto total sobre las computadoras infectadas.

Los RAT se disfrazan de software legítimo y permanecen ocultos; no aparecen en listas de programas o tareas en ejecución. Una vez instalados, los atacantes pueden monitorear el comportamiento del usuario, acceder a información confidencial, activar webcams, tomar capturas de pantalla y acceder a todo lo que la víctima puede acceder.

Paso 3: Robo de credenciales y sesiones

Los RAT robaron credenciales de cuentas de Google mediante varios métodos:

• Keylogging: Registrar contraseñas conforme las víctimas las tecleaban.
• Extracción de credenciales del navegador: Robar contraseñas guardadas en Chrome, Edge u otros navegadores.
• Robo de cookies de sesión: Copiar cookies de autenticación de sesiones de navegador ya iniciadas.

Este último método es el más insidioso. Cuando un hacker roba cookies de sesión, puede omitir por completo la autenticación de dos factores, porque el navegador ya completó el desafío de autenticación. La cookie robada concede acceso total sin activar nuevos avisos de seguridad ni notificaciones de 2FA.

Paso 4: Borrado remoto mediante Google Localizador

Con las credenciales o cookies de sesión robadas, los atacantes iniciaron sesión en las cuentas de Google de las víctimas y accedieron a Encontrar mi dispositivo. Desde ahí, podían activar restablecimientos de fábrica a voluntad, borrando toda evidencia de su intrusión.

⚠️ Según investigadores de la firma surcoreana de ciberseguridad Genians, en varios casos los dispositivos de las víctimas fueron borrados sin autorización, eliminando mensajes, fotos y otros datos que podrían haber revelado rastros de la intrusión.

El nivel de sofisticación fue escalofriante. Los atacantes usaron la función de ubicación GPS en Google Localizador para identificar cuando un objetivo estaba fuera y era menos probable que reaccionara rápido. En un incidente, el atacante ejecutó el comando de borrado no una, sino tres veces, asegurando la máxima interrupción y pérdida total de datos.

Paso 5: Movimiento lateral vía KakaoTalk para escritorio

Quizá de forma más insidiosa, inmediatamente después de los borrados, los atacantes aprovecharon las apps de escritorio de KakaoTalk que seguían con sesión iniciada para enviar archivos con malware a los contactos de las víctimas, convirtiendo cada cuenta comprometida en un nodo de infección secundario.

La verdadera vulnerabilidad: tus dispositivos son un solo sistema

El ataque de KONNI expone un malentendido fundamental sobre la seguridad moderna: pensamos en nuestros dispositivos como separados, pero para los atacantes todos son puntos de entrada al mismo ecosistema.

Muchos usuarios conscientes de la seguridad podrían pensar: “Tengo la autenticación de dos factores habilitada en mi cuenta de Google. Un atacante no puede simplemente iniciar sesión en Encontrar mi dispositivo desde su computadora.”

Y tendrías razón si el atacante intentara iniciar sesión desde su propio dispositivo. Pero eso no fue lo que pasó.

Cuando el malware infecta tu PC donde ya iniciaste sesión en Google, el atacante no necesita tu contraseña ni códigos de 2FA. Roba tus cookies de sesión, pequeños archivos que le dicen a los sitios web “Esta persona ya se autenticó correctamente”. Con esas cookies, los atacantes pueden:

1. Acceder a tu cuenta de Google como si fueran tú.
2. Navegar a Encontrar mi dispositivo sin activar nuevos avisos de inicio de sesión.
3. Ejecutar comandos como restablecimientos de fábrica que parecen provenir de tu sesión legítima y autenticada.
4. Omitir todas las protecciones de 2FA porque usan tu sesión ya verificada.

El secuestro de sesión permite a los atacantes omitir la autenticación de dos factores robando cookies de sesión después de que ya iniciaste sesión. Una vez que el hacker obtiene la cookie de sesión, puede usarla para acceder a tu cuenta como si fueras tú, sin requerir contraseña ni código de 2FA.

Además, los servicios en la nube modernos crean un puente invisible entre todos tus dispositivos. Cuando tu PC se ve comprometida:

• Las contraseñas guardadas en tu navegador se vuelven las contraseñas del atacante;
• Tus sesiones autenticadas se vuelven las sesiones autenticadas del atacante;
• Tus servicios en la nube (Google, Apple, Microsoft, Dropbox) se vuelven el panel de control del atacante;
• Tus otros dispositivos (celular, tablet, casa inteligente) se vuelven los objetivos del atacante.

⚠️ Puedes tener una seguridad móvil impecable (bloqueo biométrico, almacenamiento cifrado, sin apps sospechosas), pero si tu computadora de escritorio está infectada, nada de eso importa. El atacante no necesita comprometer tu teléfono directamente. Solo necesita comprometer los servicios en la nube que controlan tu teléfono.

Las preguntas de diseño de Encontrar mi dispositivo

Si bien la vulnerabilidad principal fue el malware en la PC, el ataque sí revela algunas limitaciones de diseño en Encontrar mi dispositivo que lo hicieron más efectivo:

1. Ejecución instantánea sin periodo de gracia

Cuando se emite un comando de restablecimiento de fábrica a través de Encontrar mi dispositivo, sucede de inmediato. No hay periodo de enfriamiento, ni opción de “Cancelar dentro de 5 minutos”, ni verificación enviada a un dispositivo secundario.

Este diseño de ejecución instantánea prioriza el caso legítimo: alguien a quien le robaron el teléfono necesita borrarlo rápido antes de que el ladrón acceda a sus datos. Pero crea un punto único de falla catastrófico cuando la cuenta en sí está comprometida.

ℹ️ Qué podría ayudar: un retraso configurable (aunque sea de 5–10 minutos) con la posibilidad de cancelar el comando desde otro dispositivo autenticado. Los usuarios que necesiten borrados instantáneos podrían desactivar este retraso; los más conscientes de la seguridad podrían activarlo.

2. Sin detección de anomalías

El sistema no marca patrones sospechosos. Cuando un atacante:

• Inicia sesión desde una ubicación inusual;
• Consulta coordenadas GPS;
• Ejecuta de inmediato un restablecimiento de fábrica;
• Repite esto tres veces seguidas…

…no hay ningún sistema automatizado que diga: “Este comportamiento es inusual; exijamos una verificación adicional”.

ℹ️ Qué podría ayudar: modelos de aprendizaje automático que detecten patrones anómalos y requieran autenticación reforzada (como ingresar un código de 2FA específicamente para esta acción, incluso si ya iniciaste sesión).

3. Registro forense limitado

Una vez que se borra un dispositivo, no hay registro en la nube de lo ocurrido. Las víctimas no tienen forma de:

• Ver cuándo se borró su teléfono;
• Identificar desde qué ubicación se emitió el comando de borrado;
• Revisar qué otras acciones de Encontrar mi dispositivo se realizaron;
• Entender la línea de tiempo del ataque.

ℹ️ Qué podría ayudar: registros a prueba de manipulación almacenados por separado del dispositivo que registren todas las acciones de Encontrar mi dispositivo, accesibles incluso después de un restablecimiento de fábrica.

4. Alertas de ubicación que revelan tu vigilancia

Cuando localizas un dispositivo mediante Google Localizador, se muestra una notificación en el dispositivo objetivo que dice “Ubicación del dispositivo compartida”, lo cual alerta a los atacantes de que los estás rastreando.

Si bien esto tiene sentido por privacidad en escenarios legítimos (debes saber si alguien rastrea tu ubicación), también alerta a atacantes sofisticados de que estás al tanto del compromiso, lo que puede acelerar su decisión de borrar el dispositivo.

Qué puedes hacer: defensa en profundidad

El ataque de KONNI deja claro que la seguridad móvil comienza con la seguridad de la PC. Esto es lo que debes hacer:

1. Trata los archivos adjuntos de correo como hostiles hasta demostrar lo contrario.

   La campaña de KONNI dependió de que las víctimas instalaran voluntariamente archivos MSI y archivos ZIP recibidos por KakaoTalk, disfrazados como software legítimo de asesoría.

   Nunca abras adjuntos, incluso de contactos conocidos, a menos que:

   • estabas esperando el archivo;
   • verificaste por un canal de comunicación aparte (llamada telefónica, no mensaje) que realmente lo enviaron;
   • lo escaneaste con un antivirus actualizado;
   • entiendes qué hace el archivo.

   Presta especial atención a:

   • .msi (instaladores de Windows);
   • .exe (ejecutables);
   • .zip, .rar, .7z (archivos comprimidos que pueden contener ejecutables);
   • .scr (protectores de pantalla, a menudo malware);
   • documentos de Office con macros habilitadas.

2. Usa software de detección y respuesta en endpoints (EDR).

   El antivirus para consumidores ya no es suficiente contra malware sofisticado. Considera soluciones de nivel empresarial, como Windows Defender for Business (incluido con Microsoft 365 Business Premium) o Bitdefender GravityZone.

   Los RAT están diseñados para evadir la detección y pueden eludir medidas comunes de seguridad, como firewalls, sistemas de detección de intrusiones y controles de autenticación. Por lo tanto, necesitas detección basada en comportamientos que identifique patrones de actividad sospechosos, no solo escaneo por firmas.

3. Aísla actividades sensibles en dispositivos separados.

   Si trabajas con información sensible o es probable que seas objetivo, considera:

   • usar un dispositivo “limpio” dedicado para transacciones financieras y gestión de cuentas críticas;
   • no instalar nunca software de terceros en ese dispositivo;
   • usar cuentas de Google diferentes en distintos dispositivos;
   • mantener tu cuenta de control de Encontrar mi dispositivo separada de tu cuenta de correo electrónico cotidiana.

4. Monitorea tus sesiones activas con regularidad.

   Hazlo un hábito semanal:

   1. Ve a myaccount.google.com > Seguridad > Tus dispositivos.

   2. Revisa todos los dispositivos con sesión iniciada.

   3. Cierra sesión en todo lo que no reconozcas.

   4. Verifica ubicaciones y marcas de tiempo: ¿coinciden con tu uso real?

   

5. Activa la autenticación de dos factores basada en hardware.

   Aunque el robo de cookies de sesión puede seguir omitiendo incluso el 2FA por hardware si el malware se ejecuta en un dispositivo ya autenticado, las llaves físicas lo dificultan significativamente porque requieren presencia física para la autenticación inicial.

   Sin embargo, no todo el 2FA es igual:

   ❌ 2FA por SMS: Puede interceptarse con malware que tenga acceso a notificaciones

   ❌ Apps autenticadoras: Mejor, pero aún vulnerables al secuestro de sesión

   ✅ Llaves de seguridad por hardware: Tokens físicos que usan verificación criptográfica

   ✅ Llaves de acceso (passkeys): Autenticación de nueva generación vinculada a dispositivos específicos

   Cómo habilitarlo: Ve a myaccount.google.com > Seguridad > Verificación en 2 pasos > Elige “Llave de seguridad”.

   

6. Mantén respaldos fuera de línea.

   Como los borrados remotos pueden ocurrir sin tu conocimiento ni consentimiento (si tu cuenta se compromete), mantén respaldos cifrados fuera de línea:

   • Fotos/videos: Usa un disco duro externo con respaldos regulares, no solo almacenamiento en la nube;
   • Contactos: Exporta regularmente a un archivo VCF;
   • Documentos importantes: Conserva copias cifradas en una memoria USB guardada de forma segura;
   • Códigos de respaldo de 2FA: Imprímelos y guárdalos en un lugar seguro.

La verdad incómoda

El ataque de KONNI tuvo éxito no por exploits de día cero sofisticados, sino por verdades simples que no nos gusta enfrentar:

• Los usuarios abrirán adjuntos de fuentes de confianza (incluso cuando esas fuentes estén comprometidas).
• La seguridad de la PC se trata como menos crítica que la seguridad móvil (a pesar de que las PC tienen acceso a todo lo que tienen los dispositivos móviles).
• Las cookies de sesión se consideran menos sensibles que las contraseñas (pero brindan el mismo acceso).
• Los servicios en la nube confían en sesiones autenticadas (sin verificación continua de comportamientos inusuales).
• Diseñamos primero para la conveniencia y después para la seguridad (restablecimientos de fábrica instantáneos sin periodo de gracia).

Las víctimas en Corea del Sur no fueron descuidadas. Fueron contactadas por personas que se hacían pasar por figuras de confianza en su comunidad, ofreciendo servicios que parecían legítimos. Ejercieron niveles normales de cautela, y no fue suficiente.

Conclusión: la seguridad es un sistema, no un dispositivo

La lección de KONNI no trata de que Encontrar mi dispositivo sea inseguro. Se trata de la ilusión de la seguridad a nivel de dispositivo en un mundo conectado a la nube.

La seguridad de tu teléfono es tan fuerte como:

La seguridad de tu PC (el malware puede robar cookies de sesión)

La autenticación de tu cuenta (el tipo de 2FA importa enormemente)

La detección de anomalías de tu proveedor en la nube (la mayoría no tiene)

Tu estrategia de respaldo (los borrados remotos pueden ocurrir sin tu consentimiento)

Tu conocimiento de las cadenas de ataque (la ingeniería social es el punto de entrada)

Ya no podemos pensar en asegurar dispositivos individuales. Debemos pensar en asegurar todo el ecosistema de dispositivos, cuentas, sesiones y servicios en la nube que constituyen nuestra vida digital.

El grupo KONNI demostró que, con paciencia, ingeniería social y entendimiento de cómo funcionan los servicios en la nube, actores estatales pueden voltear tus propias herramientas de seguridad en tu contra.

La seguridad de tu teléfono comienza con la seguridad de tu PC. En la era de la computación conectada a la nube, no hay dispositivos aislados. Solo vulnerabilidades interconectadas.