10/17/2025
Archivos PDF y Word que espían: cómo abrir documentos sin correr riesgos:
Lo que muchos desconocen sobre documentos con macros o scripts ocultos
Los archivos PDF y Word no son simples “documentos”. Son contenedores capaces de ejecutar instrucciones: JavaScript en PDF, macros y enlaces dinámicos en Word, cargas remotas de plantillas y objetos incrustados. Por eso un archivo aparentemente inocente puede leer tu información, robar sesiones, instalar malware o redirigirte a sitios falsos. Entender cómo atacan y cómo abrirlos de forma segura evita la mayoría de incidentes sin depender de un técnico.
Cómo te puede atacar un PDF
Un PDF moderno admite funciones avanzadas:
JavaScript embebido: automatiza acciones, abre enlaces, ejecuta formularios. Atacantes lo usan para lanzar páginas maliciosas, extraer datos del sistema o explotar fallas del lector.
Lanzadores de archivos/URLs: botones o adjuntos que abren programas externos o sitios que simulan inicios de sesión.
Adjuntos dentro del PDF: un ZIP o EXE escondido en la “barra de adjuntos” del lector.
Acciones al abrir o cerrar: guiones que corren apenas visualizas el documento.
Si el lector permite JavaScript o acciones automáticas, el “solo abrí el PDF” ya es suficiente para exponerte.
Cómo te puede atacar un Word
Un archivo de Office es un paquete con múltiples componentes:
Macros VBA: automatizan tareas. Si se habilitan, pueden descargar malware, leer tu correo o extraer contraseñas guardadas.
DDE (Dynamic Data Exchange): vincula contenido “en vivo” a otros programas; puede ejecutar comandos.
Plantillas remotas: el documento carga una plantilla (.dotm) desde internet; allí viaja el código malicioso.
Objetos OLE: archivos incrustados que se ejecutan al activarlos.
“Mark of the Web” (MoTW): etiqueta invisible que marca que el archivo viene de internet. Atacantes intentan eliminarla (por ejemplo, comprimiendo en ZIP o ISO) para que Office no lo bloquee.
La mayoría de infecciones se producen cuando el usuario habilita macros o acepta contenido sin revisarlo.
Señales de riesgo antes de abrir
El remitente te urge: “abre esto ya”, “habilita contenido para ver”.
El archivo llega comprimido en ZIP/RAR/ISO para saltarse bloqueos.
La extensión es inusual: .docm (macro), .rtf, o el PDF pide “permitir funciones avanzadas”.
El nombre del archivo no coincide con el contexto real del mensaje.
El proveedor “conocido” usa un dominio casi idéntico al legítimo.
Cómo abrir PDF y Word sin exponerte
Aísla por origen
Los archivos que llegan por correo, descarga o mensajería deben considerarse no confiables. No los abras desde tu cuenta principal ni con sesión de administrador.
Usa visores que no ejecuten código
Para PDF: prefiera visores con JavaScript deshabilitado por defecto. Si tu lector lo permite, apágalo en configuración. También puedes previsualizar en un visor web (por ejemplo, abriendo desde la nube) que renderiza como imagen sin ejecutar scripts locales.
Para Word: abre primero en Modo protegido (Protected View). Si solo necesitas leer, no habilites edición. Alternativa segura: Office en la web, que procesa el archivo del lado del servidor.
Nunca habilites macros salvo que estés 100 % seguro
Si el documento pide habilitar contenido para “ver la factura” o “activar el formato”, es una señal clásica de ataque. En entorno doméstico, lo más seguro es bloquear todas las macros o permitir únicamente macros firmadas digitalmente por remitentes de confianza.
Bloquea plantillas y contenido externo
En Word, desactiva la carga de plantillas remotas y de vínculos automáticos. Esto impide que el documento busque código en internet.
Abre fuera de tu entorno principal
Cuando tengas dudas reales:
Ábrelo en un perfil de usuario secundario sin privilegios.
O usa una máquina virtual/entorno desechable para ver el contenido sin riesgo para tus datos reales.
Verifica la etiqueta de internet (MoTW)
En Windows, un archivo descargado suele quedar marcado como proveniente de internet. Si no ves advertencias y el archivo llegó por correo o web, sospecha de compresión previa para borrar esa marca.
Desconfía de archivos “autoextraíbles” o múltiples capas
PDF con adjuntos, ZIP dentro de otro ZIP, o ISO con documentos que exigen “habilitar contenido” son patrones comunes de ataques.
Configuraciones recomendadas que reducen el riesgo
Word/Office
Bloquea macros de internet y permite solo macros firmadas.
Mantén Vista protegida activada para archivos de correo y web.
Desactiva actualización automática de vínculos y contenido activo por defecto.
PDF
Deshabilita JavaScript y “acciones al abrir/cerrar”.
No permitas lanzar archivos externos desde el lector.
Sistema
Mantén el navegador, lector PDF y Office actualizados.
Usa un antivirus bien configurado con análisis de documentos y protección web, sin módulos redundantes.
Qué hacer si ya abriste y algo “raro” ocurrió
Cierra el documento sin habilitar contenido y desconecta internet momentáneamente para cortar comunicaciones de control.
Ejecuta un análisis completo con tu protección y una segunda opinión bajo demanda.
Revisa programas de inicio, extensiones del navegador y agendas de tareas por elementos nuevos.
Cambia contraseñas desde un equipo confiable si el documento pedía inicios de sesión o abrió páginas dudosas.
Un documento no es “solo texto”. Es un contenedor que puede ejecutar acciones. Abrir de forma segura significa ver el contenido sin ejecutar el código. Si necesitas editar, hazlo luego de validar el origen, bloquear macros y desactivar contenido externo. Con estas medidas, leerás facturas, CVs o contratos sin convertir tu equipo en la puerta de entrada de un atacante.
