El 20 de enero de 2026, el desarrollador del antivirus eScan, la empresa india MicroWorld Technologies, confirmó un ataque a la cadena de suministro de software que afectó a uno de sus servidores regionales de actualizaciones. A través de este nodo comprometido se distribuyó un paquete malicioso a una parte de sus clientes.
Compromiso del servidor de actualizaciones de eScan y respuesta del proveedor
Según la versión oficial de MicroWorld, en cuanto se detectó actividad sospechosa el servidor de actualizaciones afectado fue aislado de la infraestructura principal. La compañía reconstruyó por completo ese segmento, rotó todas las credenciales asociadas y reconfiguró el servicio de actualización para minimizar el riesgo de un nuevo acceso no autorizado.
Como medida de contención, el fabricante publicó además una herramienta de limpieza específica para los clientes potencialmente comprometidos. Esta utilidad detecta automáticamente los artefactos maliciosos, elimina los componentes introducidos por los atacantes, restablece el mecanismo legítimo de actualización y exige un reinicio del sistema para completar la remediación.
Cómo se ejecutó la ataque a la cadena de suministro de eScan
En paralelo, la firma de seguridad Morphisec difundió un informe técnico en el que clasifica el incidente como una comprometida crítica de la cadena de suministro. De acuerdo con su análisis, los atacantes accedieron a la configuración de un servidor regional de actualizaciones y sustituyeron un archivo legítimo de update por un ejecutable malicioso.
La pieza central de la operación fue una versión modificada del componente Reload.exe. El binario estaba firmado con un certificado de eScan, lo que buscaba dotarlo de apariencia legítima. Sin embargo, tanto Windows como el servicio VirusTotal marcaban la firma como no válida, demostrando que la presencia de una firma digital no es una garantía absoluta de seguridad cuando el certificado se ha visto comprometido o se usa de forma incorrecta.
Comportamiento de Reload.exe malicioso y backdoor CONSCTLX.exe
El Reload.exe alterado proporcionaba a los atacantes persistencia en el sistema, capacidad para ejecutar comandos arbitrarios y modificación del archivo HOSTS de Windows. Entre otras entradas, se añadían líneas para bloquear el acceso a los servidores de actualización de eScan, impidiendo que el equipo recibiera correcciones y dificultando la detección del incidente.
Este componente establecía comunicación con la infraestructura de mando y control (C2) de los atacantes y descargaba cargas adicionales. El payload final identificado fue CONSCTLX.exe, un backdoor completo que actuaba como cargador persistente. Para mantenerse en el tiempo, el malware creaba tareas programadas con nombres aparentemente legítimos, como “CorelDefrag”, lo que complica su detección en revisiones superficiales.
Indicadores de compromiso para usuarios de eScan
Los clientes afectados podían observar varios síntomas: fallos recurrentes en el servicio de actualización, imposibilidad de descargar nuevas firmas de virus, ventanas emergentes indicando indisponibilidad de los servidores de update y modificaciones inesperadas en el archivo HOSTS. La aparición conjunta de estos indicios es motivo suficiente para realizar una revisión forense y contactar de inmediato con el soporte del proveedor.
Disputa entre MicroWorld y Morphisec por el descubrimiento del incidente
El incidente también ha generado fricción en el plano de la comunicación. MicroWorld rechaza la afirmación de Morphisec de haber sido la primera en descubrir y divulgar el ataque. Portavoces de eScan señalaron a The Register que las anomalías se detectaron internamente mediante monitorización propia y avisos de clientes, y que los investigadores externos se habrían puesto en contacto después de que la compañía publicara advertencias en su blog y redes sociales.
El proveedor sostiene, además, que los usuarios potencialmente afectados fueron notificados de forma proactiva vía correo electrónico, WhatsApp, llamadas telefónicas y el portal de soporte. MicroWorld ha manifestado su intención de recurrir a acciones legales por lo que considera “afirmaciones técnicas claramente falsas” en la publicación de Morphisec, lo que podría trasladar el conflicto al terreno jurídico.
eScan en el contexto del auge de los ataques a la cadena de suministro
Este caso se inserta en un patrón creciente de ataques a la cadena de suministro de software, en los que los criminales apuntan a proveedores de soluciones y servicios en lugar de atacar directamente a cada organización objetivo. Episodios como SolarWinds o CCleaner demostraron que, mediante actualizaciones comprometidas, se puede llegar simultáneamente a miles de sistemas.
Las soluciones de seguridad son un objetivo especialmente sensible, ya que los usuarios confían de forma implícita en sus actualizaciones. En el caso de MicroWorld, existe además un precedente: en 2024, según investigaciones públicas, grupos vinculados a Corea del Norte habrían explotado la infraestructura de actualizaciones de eScan para propagar el malware GuptiMiner, instalando backdoors y criptomineros en redes corporativas.
Recomendaciones para reducir el riesgo en la seguridad de la cadena de suministro
Para los usuarios de eScan, especialmente en entornos empresariales, resulta esencial aplicar las últimas actualizaciones del producto y ejecutar la herramienta oficial de limpieza. Es recomendable verificar manualmente el contenido del archivo HOSTS, revisar las tareas programadas en busca de entradas sospechosas y comprobar la presencia de ejecutables desconocidos en rutas de sistema.
A nivel organizativo, conviene replantear el modelo de confianza en las actualizaciones automáticas de cualquier proveedor. Algunas buenas prácticas para fortalecer la seguridad de la cadena de suministro de software incluyen: desplegar soluciones EDR y análisis de comportamiento complementarias al antivirus tradicional; auditar y registrar todos los cambios en servidores de actualización y proxies; implementar controles de integridad sobre archivos críticos (incluyendo HOSTS y binarios de sistema); y aplicar el principio de mínimo privilegio y la segmentación de red en la infraestructura asociada a actualizaciones.
La brecha en el servidor de actualizaciones de eScan refuerza una conclusión clave: la seguridad de la cadena de suministro se ha convertido en un elemento central de la ciberresiliencia. Ningún proveedor está completamente a salvo de ataques dirigidos, por lo que la transparencia, la respuesta rápida, la colaboración con la comunidad de investigación y unos procesos de gestión de incidentes maduros en los clientes son factores decisivos. Las organizaciones que dependen críticamente de sus sistemas deben revisar hoy mismo su exposición a las actualizaciones de terceros e incorporar controles de confianza en proveedores dentro de su estrategia global de ciberseguridad.
