¿Cómo identificar archivos PDF maliciosos?

PorMunicipalidades

Ago 16, 2025
archivos PDF

Para identificar archivos PDF maliciosos, debes analizar su contenido, propiedades y comportamiento de varias maneras. No existe una única forma infalible, pero la combinación de varios métodos aumenta la probabilidad de detectar amenazas.

Análisis estático del archivo

El análisis estático no requiere ejecutar el archivo. Te enfocas en la estructura interna del PDF para buscar signos de manipulación.

  • Encabezados y estructura del PDF: Revisa si el encabezado del archivo () es correcto. Los archivos PDF tienen una estructura clara con objetos, streams, un catálogo y una tabla de referencia cruzada. Un archivo malicioso podría tener una estructura anómala, objetos no estándar o referencias circulares que intentan ofuscar el código.
  • Código JavaScript y objetos incrustados: Los PDFs pueden contener JavaScript para funciones interactivas. Los atacantes a menudo incrustan código JavaScript malicioso para ejecutar comandos o descargar payloads. Busca secuencias de comandos ofuscadas, la ejecución automática de JavaScript al abrir el documento, o la presencia de objetos como /OpenAction y /AA (acción adicional) que activan scripts.
  • Streams comprimidos y ofuscados: Los PDFs usan streams para almacenar datos. Si un stream está comprimido o cifrado de forma sospechosa y no es una imagen o un texto común, podría contener código malicioso. Herramientas de análisis pueden descomprimir y decodificar estos streams para su inspección.
  • Archivos incrustados: Un PDF puede incrustar otros archivos (como ejecutables, archivos ZIP o documentos de Word). La presencia de archivos con extensiones ejecutables como .exe, .bat o .vbs es una señal de alerta.

Análisis de metadatos y propiedades

Los metadatos son información sobre el archivo, como el autor, la fecha de creación y el programa usado para crearlo.

  • Metadatos sospechosos: Analiza los metadatos. Un PDF que supuestamente es una factura podría haber sido creado con un software inusual o tener un autor genérico, lo que podría indicar manipulación.
  • Antivirus y escáneres en línea: Usa un software antivirus actualizado o servicios en línea como VirusTotal para escanear el archivo. Estas herramientas comparan el archivo con bases de datos de firmas de malware conocidas y lo ejecutan en un entorno seguro para observar su comportamiento. Si múltiples motores de antivirus lo marcan como malicioso, es una señal clara de peligro.

Análisis de comportamiento (Análisis dinámico)

El análisis dinámico implica ejecutar el archivo en un entorno controlado para observar su comportamiento.

  • Entornos aislados (Sandboxes): Abre el PDF en un entorno de sandbox (caja de arena) virtualizado y aislado del sistema principal. Observa si el archivo intenta:
    • Descargar archivos: Intenta conectarse a URLs externas para descargar malware adicional.
    • Modificar el registro del sistema: Cambia claves del registro de Windows.
    • Crear nuevos procesos o archivos: Genera archivos ejecutables en el disco.
    • Escalar privilegios: Intenta obtener permisos de administrador.
  • Comportamiento de la aplicación: Un archivo PDF malicioso puede explotar vulnerabilidades en el lector de PDF. Por ejemplo, podría forzar un cierre inesperado del programa o causar un uso anormal de la CPU o la memoria.

Recomendaciones adicionales:

  • Mantén tu software de lectura de PDF actualizado. Las actualizaciones a menudo corrigen vulnerabilidades de seguridad que los atacantes explotan.
  • Deshabilita JavaScript en tu lector de PDF para reducir la superficie de ataque.
  • Desconfía de los PDFs recibidos de fuentes desconocidas o que contengan enlaces y formularios sospechosos.
  • Educa a los usuarios para que reconozcan las tácticas de phishing que a menudo usan PDFs maliciosos como señuelos.