Saltar al contenido principal

Qué son las macros en documentos Office y por qué representan un riesgo

· 4 min de lectura
Equipo BrisaMail
Equipo de desarrollo

"Habilitar contenido" es el botón más peligroso de Microsoft Office. Detrás de esa inocente solicitud puede esconderse un macro malicioso que se ejecuta con los permisos de tu usuario y puede comprometer tu equipo por completo.

Macros en documentos Office

¿Qué es una macro?

Una macro es un programa incrustado dentro de un documento de Office (Word, Excel, PowerPoint). Originalmente fueron diseñadas para automatizar tareas repetitivas: formatear tablas, generar reportes, procesar datos. Se escriben en VBA (Visual Basic for Applications), un lenguaje de programación con acceso al sistema de archivos, la red y otros recursos del sistema operativo.

Ese mismo poder que las hace útiles las convierte en un vector de ataque: una macro maliciosa puede hacer todo lo que haría un programa instalado en tu computadora.

¿Qué puede hacer una macro maliciosa?

  • Descargar y ejecutar malware desde internet
  • Robar información del equipo (archivos, credenciales, tokens de sesión)
  • Instalar ransomware que cifre tus documentos
  • Propagarse enviando correos desde tu cuenta a tus contactos
  • Establecer persistencia creando tareas programadas o modificando el registro

Formatos que pueden contener macros

No todos los archivos de Office son iguales. Algunos formatos soportan macros y otros no:

FormatoExtensión¿Soporta macros?
Word documento.docxNo por defecto (pero posible)
Word con macros.docm
Excel libro.xlsxNo por defecto (pero posible)
Excel con macros.xlsm
Excel binario.xlsb
PowerPoint.pptxNo por defecto (pero posible)
PowerPoint con macros.pptm
Formatos legacy.doc, .xls, .ppt
OpenDocument.odt, .ods, .odpPosible (Basic/Scripts)

Una particularidad importante: los formatos OOXML (.docx, .xlsx, .pptx) son archivos ZIP que contienen XML. Aunque no están diseñados para macros, técnicamente pueden contener un componente vbaProject.bin que las incluya.

¿Cómo se distribuyen los macros maliciosos?

El escenario típico:

  1. Recibes un correo con un adjunto Office (generalmente una "factura", "orden de compra" o "documento urgente")
  2. Al abrir el documento, Office muestra una barra amarilla: "Las macros se han deshabilitado"
  3. El documento incluye instrucciones (a veces elaboradas) para convencerte de hacer clic en "Habilitar contenido"
  4. Al hacerlo, la macro se ejecuta y el daño está hecho

Los atacantes son creativos con la ingeniería social: documentos que parecen estar protegidos, instrucciones que imitan interfaces de Office, o mensajes de urgencia para que actúes sin pensar.

Cómo protegerte

  1. Nunca habilites macros en documentos recibidos por correo, salvo que estés absolutamente seguro del origen y la necesidad.
  2. Prefiere formatos sin macros: si alguien te envía un .docm cuando un .docx bastaría, es una señal de alerta.
  3. Revisa la extensión: los formatos que terminan en "m" (.docm, .xlsm, .pptm) están diseñados explícitamente para contener macros.
  4. Usa la vista protegida: Office abre adjuntos de correo en modo protegido por defecto. No desactives esta función.

Cómo lo maneja BrisaMail

BrisaMail implementa inspección de macros en múltiples niveles:

  • Formatos con macros explícitas (.docm, .xlsm, .pptm, .xlsb): se marcan automáticamente con una advertencia porque estos formatos confirman la presencia de macros.
  • Formatos OOXML (.docx, .xlsx, .pptx): BrisaMail abre el archivo como ZIP y busca activamente el componente vbaProject.bin y declaraciones VBA en el manifiesto [Content_Types].xml. Si encuentra macros donde no debería haberlas, la alerta es más severa.
  • Formatos OpenDocument (.odt, .ods, .odp): inspecciona la presencia de directorios Basic/ y Scripts/ dentro del archivo.
  • Formatos legacy (.doc, .xls, .ppt): al ser binarios OLE2, no pueden inspeccionarse de forma segura. BrisaMail informa que el formato podría contener macros y recomienda precaución.

Todo este análisis ocurre de forma automática al visualizar el mensaje, sin necesidad de descargar o abrir el archivo.

Conclusión

Las macros siguen siendo uno de los vectores de ataque más utilizados por su efectividad. La clave está en desconfiar de cualquier documento que pida "habilitar contenido" y usar herramientas que te informen del riesgo antes de que tomes una decisión.