Una nueva técnica de ciberataque está ganando terreno: ocultar operaciones maliciosas dentro de máquinas virtuales para evadir las defensas tradicionales. Investigadores de Sophos detectaron campañas donde los atacantes utilizan QEMU, una herramienta legítima de virtualización, para crear entornos ocultos dentro de sistemas comprometidos.
Desde estas máquinas virtuales, los ciberdelincuentes pueden operar durante semanas sin ser detectados, robando credenciales, moviéndose dentro de la red y preparando ataques de ransomware. La clave del método es que muchas soluciones de seguridad no inspeccionan lo que ocurre dentro de estos entornos, permitiendo a los atacantes “esconderse a plena vista”.
Sophos identificó al menos dos campañas activas: una que utiliza túneles SSH para acceso remoto encubierto, y otra que explota vulnerabilidades recientes para desplegar un entorno completo de ataque dentro de la máquina virtual, facilitando la escalada de privilegios y la extracción de datos.
El nivel de sigilo es alto, con atacantes usando incluso herramientas básicas del sistema para evitar sospechas. El objetivo final sigue siendo el mismo: desplegar ransomware como PayoutsKing o vender el acceso a terceros.
Para las empresas en Chile, el riesgo es claro: este enfoque no solo evade la detección tradicional, sino que prolonga la presencia del atacante dentro de la red, aumentando el impacto. La recomendación es reforzar la visibilidad, monitorear comportamientos anómalos y detectar el uso no autorizado de herramientas de virtualización

