Qué es GhostFrame, el kit de phishing 'fantasma' que burla a los antivirus y se propaga a velocidad récord en tu PC

Qué es GhostFrame
Qué es GhostFrameGenerada con IA
Noticia

Un nuevo tipo de phishing se está saltando todo tipo de antivirus y filtros de seguridad. Se llama GhostFrame y ya se mueve por internet como un fantasma.

Tal y como se ha podido conocer, no hay mes en el que un nuevo tipo de virus, cada vez más sofisticado, aparezca para poner todos en vilo. Eso es justo lo que está ocurriendo con GhostFrame, un kit de phishing que ha conseguido algo bastante extraño: pasar desapercibido para muchos sistemas de seguridad mientras se propaga.

Detrás de esta alerta está Barracuda Research, una de las firmas de ciberseguridad más conocidas, que ha detectado más de un millón de intentos de ataque vinculados a GhostFrame desde septiembre de 2025

Como ves, no es un malware cualquiera, que usa una técnica muy concreta para esconderse y sembrar el caso. Tal y como explican los expertos, GhostFrame no es que sea especialmente complejo a primera vista.

De hecho, su poder está justo en lo contrario: una estructura sencilla, bien pensada y creada para confundir tanto a usuarios como a herramientas de detección. Y ahí está el problema, porque lo que no se ve, no se bloquea.

El objetivo final es el de siempre: robar credenciales, colarse en cuentas corporativas o personales y abrir la puerta a estafas de gran calado. La diferencia es el camino que usa para llegar hasta ahí, mucho más sigiloso que lo que existe actualmente.

La gran novedad de GhostFrame es que está construido casi por completo alrededor de 'iframes'

Para comprenderlo, explicar que un iframe es como una pequeña ventana dentro de una página web que muestra contenido cargado desde otro lugar. Es algo muy común y normal en internet… y justo por eso resulta perfecto para los atacantes.

En este caso, el usuario llega a una página que parece totalmente inofensiva. El archivo HTML no tiene formularios raros ni textos que te hagan sospechar de estafa. A ojos de un antivirus no hay nada raro. Pero dentro de esa página se carga, mediante un iframe, el contenido malicioso.

Es en ese iframe donde ocurre todo lo importante. Ahí se esconden los formularios que roban contraseñas, camuflados.

Además, tal y como explican, GhostFrame genera subdominios nuevos para cada víctima. Eso significa que cada ataque parece único, lo que hace ya directamente casi imposible que se bloqueen las páginas a tiempo. Cuando una URL se marca como peligrosa, el kit ya está usando otra distinta.

Una vez que la víctima hace clic, el kit se encarga de poner todo tipo de problemas a cualquier intento de análisis. Bloquea el clic derecho, deja  muerta la tecla F12 y evita que puedas hacer combinaciones como Ctrl o Cmd, que permiten inspeccionar el código. 

Para la marca de ciberseguridad, el peligro es claro. Para ellos, comentan, GhostFrame marca un antes y un después. 

"GhostFrame es el primer ejemplo que hemos visto de una plataforma de phishing basada casi exclusivamente en iframes, y los atacantes aprovechan al máximo esta característica para aumentar la flexibilidad y evadir la detección", comenta Saravanan Mohankumar, director del equipo de análisis de amenazas de Barracuda.

A medio plazo, los expertos esperan que aparezcan más kits que recogen de alguna forma la manera de actuar de GhostFrame. Técnicas invisibles, modulares y fáciles de camuflarse y mimetizarse sea donde sea.