Windows tiene un nuevo malware que amenaza con robarse tus mensajes y contraseñas cuando conectas el móvil a tu ordenador. Conocido como CloudZ, este troyano de acceso remoto lleva activo desde enero de 2026 y se aprovecha de una aplicación de Microsoft para interceptar los mensajes de tu teléfono. Tal vez lo más interesante es que el atacante no necesita vulnerar el móvil, sino solo tu PC.
De acuerdo con BleepingComputer, investigadores de Cisco Talos descubrieron una nueva versión de CloudZ que afecta a usuarios de Windows. El troyano se apoya en un plugin hasta ahora desconocido llamado Pheno, que aprovecha la aplicación Phone Link de Microsoft, esa que viene instalada por defecto en Windows 10 y 11 y que te permite ver notificaciones, SMS y llamadas del teléfono directamente desde el ordenador.
Pheno monitoriza si hay una sesión activa de Phone Link y, cuando la detecta, accede a su base de datos local, donde se almacenan esos mensajes sincronizados, incluidos los códigos OTP que recibes por mensaje de texto para verificar tu identidad. Además de leer tus SMS y contraseñas temporales, CloudZ puede extraer datos almacenados en navegadores web, ejecutar comandos de forma remota, gestionar archivos, grabar la pantalla e instalar o eliminar plugins adicionales.
La clave del asunto es que el atacante no necesita comprometer tu teléfono en ningún momento. El puente entre tu móvil y el PC ya lo establece la aplicación de Microsoft, y el malware simplemente lo explota desde el ordenador infectado. Si tienes Phone Link activo y tu equipo está comprometido, cualquier código temporal que llegue a tu móvil puede acabar en manos del atacante.
Así infecta CloudZ a tu PC con Windows 11 o Windows 10
Según los investigadores, la infección de CloudZ empieza con una actualización falsa de ScreenConnect, una herramienta legítima de acceso remoto. Cuando el usuario ejecuta ese archivo, se despliega un cargador desarrollado en Rust que a su vez instala un segundo en .NET, y este último es el que implanta el troyano CloudZ y asegura su permanencia en el sistema mediante una tarea programada.
El cargador de .NET también incluye varios mecanismos para dificultar el análisis. Por ejemplo, comprueba si hay herramientas como Wireshark, Fiddler o Procmon en ejecución, detecta entornos de máquinas virtuales y aplica técnicas de evasión basadas en el tiempo para esquivar los entornos de análisis automatizado.
Lamentablemente, Cisco Talos no ha identificado cómo llega la actualización falsa hasta el equipo de la víctima. Ese punto de la cadena de infección sigue sin aclararse, aunque el uso de una herramienta de soporte técnico como señuelo sugiere que podría llegar a través de correos de phishing o páginas web comprometidas.
Mientras se descubre el modo de infección, los investigadores sugieren una serie de pasos para protegerse. El más importante es dejar de usar mensajes de texto como segundo factor de autenticación cuando sea posible. Los códigos que llegan por SMS son vulnerables porque dependen de un canal que puede interceptarse de varias formas, y este malware es un ejemplo.
La recomendación es usar una aplicación de autenticación que no dependa de notificaciones push. Para cuentas o servicios críticos, considera el uso de llaves de seguridad físicas resistentes al phishing. Cisco Talos también ha publicado indicadores de compromiso con dominios, hashes y direcciones IP asociadas a CloudZ enfocadas a los equipos de seguridad.