Tu PC puede robar los códigos de tu móvil: así funciona el malware CloudZ
El troyano aprovecha una aplicación oficial de Microsoft para interceptar mensajes y códigos OTP desde Windows
El problema no está en tu móvil. Está en tu ordenador.
Un nuevo malware llamado CloudZ está utilizando una aplicación oficial de Microsoft para interceptar mensajes SMS y códigos de autenticación directamente desde Windows. El objetivo principal: romper el segundo factor de autenticación sin tocar el teléfono.
La amenaza afecta a equipos con Windows 10 y Windows 11 que utilizan Phone Link, la herramienta integrada que sincroniza llamadas, notificaciones y mensajes entre el móvil y el PC.
Según una investigación de Cisco Talos, el malware incorpora un plugin llamado Pheno capaz de acceder a la base de datos local donde Windows almacena los mensajes sincronizados desde el smartphone.
Cómo funciona CloudZ
El malware monitoriza constantemente si existe una sesión activa de Phone Link.
Cuando detecta sincronización entre el móvil y el ordenador, extrae mensajes SMS directamente desde Windows, incluyendo códigos OTP utilizados para autenticación bancaria y acceso a servicios online.
Dato clave: el atacante no necesita acceso físico al teléfono ni comprometer Android o iPhone.
Esto convierte al ordenador en el punto más débil de toda la cadena de seguridad.
Lo que nadie está explicando
CloudZ no explota un fallo de Phone Link. Explota su funcionamiento legítimo.
Ese es el verdadero problema.
El malware aprovecha una integración diseñada para mejorar la productividad y la convierte en un puente directo entre el móvil y el atacante.
Cuanto más conectados están los dispositivos, mayor es la superficie de ataque.
Qué puede hacer el malware
Además de interceptar mensajes y códigos temporales, CloudZ incorpora funciones avanzadas:
- Extracción de credenciales del navegador
- Control remoto del sistema
- Ejecución de comandos
- Grabación de pantalla
- Instalación de módulos adicionales
Esto lo convierte en una amenaza mucho más amplia que un simple ladrón de SMS.
Así se instala en Windows
La infección comienza mediante una falsa actualización de ScreenConnect, una herramienta legítima de acceso remoto utilizada en entornos profesionales.
Cuando la víctima ejecuta el archivo malicioso, se instala un cargador desarrollado en Rust que despliega posteriormente el troyano en .NET.
El malware también incluye técnicas avanzadas para dificultar su detección:
- Detección de máquinas virtuales
- Comprobación de herramientas de análisis
- Retrasos temporales anti-sandbox
Contexto: Cisco Talos detectó comprobaciones específicas contra herramientas como Wireshark, Procmon o Fiddler.
Los SMS vuelven a ser el problema
El caso de CloudZ vuelve a dejar en evidencia las limitaciones del SMS como segundo factor de autenticación.
Aunque sigue siendo masivo, este sistema depende de canales vulnerables a interceptación, sincronización o secuestro.
El malware demuestra que ya no hace falta atacar directamente el teléfono para robar códigos temporales.
Los expertos recomiendan sustituir los SMS por aplicaciones de autenticación o llaves físicas resistentes al phishing.
Cómo protegerte
Para reducir el riesgo frente a amenazas como CloudZ:
- Evita instalar actualizaciones fuera de fuentes oficiales
- Desactiva Phone Link si no lo utilizas
- No dependas de SMS como único sistema 2FA
- Usa llaves físicas o apps autenticadoras
- Mantén Windows y el antivirus actualizados
Conclusión: CloudZ demuestra cómo las funciones diseñadas para mejorar la experiencia del usuario también pueden convertirse en herramientas para los atacantes. El problema ya no es solo proteger el móvil, sino todo el ecosistema conectado alrededor. ¿Tiene sentido seguir usando SMS como segundo factor en 2026?
