Cómo detectar un archivo adjunto con doble extensión
Recibir un archivo llamado factura.pdf.exe debería encender todas las alarmas. La técnica de doble extensión es uno de los trucos más antiguos y efectivos que usan los atacantes para disfrazar archivos ejecutables como documentos inofensivos.
¿Qué es la doble extensión?
Un archivo con doble extensión tiene dos extensiones separadas por un punto, por ejemplo:
reporte.docx.exefoto_vacaciones.jpg.scrfactura_marzo.pdf.bat
El sistema operativo ejecuta el archivo según la última extensión. Así, factura.pdf.exe no es un PDF: es un ejecutable. Pero muchos sistemas ocultan las extensiones conocidas por defecto, así que el usuario solo ve factura.pdf y cree que es un documento seguro.
¿Por qué es peligroso?
Cuando abres un archivo .exe, .bat, .scr o .cmd, estás dando permiso al programa para ejecutarse en tu computadora. Eso significa que podría:
- Instalar malware o ransomware
- Robar contraseñas almacenadas
- Abrir una puerta trasera para el atacante
- Cifrar tus archivos y pedir un rescate
Todo esto ocurre con un solo doble clic sobre lo que parecía ser un simple documento.
Extensiones peligrosas que debes conocer
Estas son algunas de las extensiones que representan un riesgo real si llegan como adjunto en un correo:
| Extensión | Tipo |
|---|---|
.exe | Ejecutable de Windows |
.bat, .cmd | Scripts de línea de comandos |
.scr | Protector de pantalla (ejecutable) |
.pif | Archivo de información de programa |
.msi | Instalador de Windows |
.ps1 | Script de PowerShell |
.js, .vbs | Scripts que el sistema puede ejecutar |
.lnk | Acceso directo (puede apuntar a cualquier comando) |
.iso | Imagen de disco (puede montar contenido ejecutable) |
.jar | Ejecutable de Java |
Cómo detectar el engaño manualmente
- Activa la visualización de extensiones en tu sistema operativo. En Windows: Explorador de archivos > Vista > marca "Extensiones de nombre de archivo".
- Lee el nombre completo del archivo antes de abrirlo. Si ves dos puntos en el nombre (ej.
archivo.pdf.exe), sospecha. - Desconfía de archivos inesperados, incluso si vienen de contactos conocidos. Las cuentas comprometidas envían adjuntos maliciosos.
Cómo lo maneja BrisaMail
BrisaMail analiza automáticamente cada adjunto cuando abres un mensaje. Cuando detecta un archivo con doble extensión donde la extensión real es peligrosa, muestra una alerta clara:
- Identifica la extensión aparente (la que el atacante quiere que veas, como
.pdf) y la extensión real (la que el sistema ejecutaría, como.exe). - Clasifica la amenaza como peligrosa y muestra un banner rojo en la vista del mensaje.
- Bloquea la descarga por defecto, requiriendo que el usuario tome una decisión consciente antes de acceder al archivo.
Este análisis no solo aplica a archivos sueltos: BrisaMail también inspecciona el contenido de archivos ZIP y RAR para detectar ejecutables disfrazados dentro de archivos comprimidos.
Conclusión
La doble extensión es una técnica simple pero sorprendentemente efectiva. La mejor defensa es la combinación de educación del usuario y herramientas que automaticen la detección. No importa cuánta experiencia tengas: un buen cliente de correo debería advertirte antes de que cometas un error.