Seguramente esta situación resulta familiar: tienes un archivo PDF y necesitas convertirlo en .doc para editarlo en Word. Una opción sería pagar la versión Premium de Adobe Acrobat, que permite hacerlo, pero lo más probable es que busquemos "convertir PDF a Word" en Google, accedamos a una herramienta online y le subamos el PDF sin la más mínima prevención. Pues esta acción, tan inocente en apariencia, puede acabar regular, tal y como han advertido desde el FBI.

Qué ha pasado. La oficina del FBI en Denver ha emitido un comunicado oficial en el que afirman que sus agentes "están detectando cada vez más estafas relacionadas con herramientas gratuitas de conversión de documentos en línea". El modus operandi es relativamente sencillo: "los delincuentes utilizan herramientas gratuitas de conversión de documentos en línea para cargar malware en los ordenadores de las víctimas, dando lugar a incidentes como el ransomware".

Cómo lo hacen. Desde el organismo explican que los ciberdelicuentes están usando herramientas gratuitas de conversión o descarga de archivos. Aunque no dan nombres concretos, sí citan que el vector de ataque puede ser una web que promete convertir un PDF a Word o combinar varias imágenes en PDF, o una herramienta para descargar vídeos y/o convertir MP4 en MP3. Es fácil imaginar ejemplos de estas herramientas.

Funcionan, pero van con bicho. Estas herramientas pueden funcionar y cumplir con lo prometido, pero nada garantiza que el archivo devuelto no esté infectado. Los PDFs pueden contener malware, como un código JavaScript que explote una vulnerabilidad o lance un proceso mediante comandos en nuestro PC. Un MP3 también puede estar infectado, aunque no infectar por sí mismo, sino explotar una vulnerabilidad en un reproductor, por ejemplo. Es decir, que las opciones son variadas.

En un conversor de archivos online hay que tener en cuenta qué archivos nos devuelve y qué hace con los que hemos subido

Quién más está mirando. Más allá de devolver un archivo infectado, estas herramientas pueden obtener información valiosa de nosotros de otra forma: viendo los archivos que hemos subido. Si hemos subido un PDF con nuestro correo y número de teléfono (pensemos en un CV), es posible que quien esté detrás de la web maliciosa use esta información con fines poco lícitos. No hablemos ya de información bancaria, contraseñas, fotos en las que salgamos nosotros, etc.

La importancia de ir con ojo. Cabe destacar que no todas las herramientas online son maliciosas, ni muchísimo menos. Que una web tenga una política de privacidad donde expliquen claramente qué hacen con tus archivos, información de contacto y que sea conocida ya es un buen indicativo. Ante la duda, siempre es buena idea pasar los archivos generados por una plataforma como VirusTotal.

Imagen de portada | Nao Triponez y Markus Spiske editada por Xataka

