Un nuevo troyano llamado CloudZ está comprometiendo equipos con Windows 10 y Windows 11 desde enero de 2026. No requiere acceso físico al móvil. Se aprovecha de Phone Link, una aplicación preinstalada por Microsoft, para robar contraseñas, códigos de verificación, mensajes y datos del navegador. La amenaza evita detección al operar desde la base de datos local de la app. Su impacto va más allá de la privacidad: afecta la integridad de copias de seguridad y la confianza en herramientas de sincronización esenciales.
¿Qué es CloudZ y por qué representa una amenaza crítica para Windows?
CloudZ es un troyano avanzado descubierto por los investigadores de Cisco Talos. No se distribuye mediante correos sospechosos ni descargas maliciosas. Se instala silenciosamente aprovechando vulnerabilidades en el flujo de datos entre dispositivos.
El malware se activa cuando el usuario sincroniza su teléfono Android con el ordenador mediante Phone Link. Esta app guarda localmente notificaciones, mensajes y metadatos. CloudZ accede directamente a esa base de datos sin permisos adicionales.
El rol de Pheno en la cadena de infección
El componente clave es el plugin Pheno, que actúa como puente entre el troyano y los datos de Phone Link. Pheno no es malicioso por sí mismo, pero CloudZ lo explota para extraer información en tiempo real. No requiere root ni jailbreak. Solo necesita que Phone Link esté activa y sincronizada.
¿Cómo afecta CloudZ a la seguridad de los usuarios reales?
Los usuarios no perciben la infección. No hay ralentización ni ventanas emergentes. El daño es silencioso y profundo:
- Robo de códigos de verificación en tiempo real, invalidando la autenticación de dos factores.
- Acceso a contraseñas almacenadas en el navegador.
- Grabación remota de la pantalla y gestión de archivos sin consentimiento.
- Ejecución de comandos arbitrarios que pueden desactivar antivirus o cifrar datos.
Este comportamiento supera el perfil típico de un troyano. CloudZ opera como una plataforma de explotación persistente.
¿Por qué Phone Link es el eslabón débil?
Microsoft diseñó Phone Link para comodidad, no para aislamiento de datos sensibles. La app almacena información sin cifrado de extremo a extremo. CloudZ explota esa confianza implícita. No es un fallo de software en sí, sino una falla de diseño de seguridad por omisión.
¿Qué dice la actualización reciente de Windows 11 sobre la vulnerabilidad?
La última actualización de Windows 11 (versión 24H2, mayo 2026) introduce cambios en el servicio de sincronización que agravan los efectos de CloudZ. Los fallos en las copias de seguridad automáticas no son un bug aislado: son síntoma de una corrupción silenciosa en los procesos de acceso a la base de datos de Phone Link.
Microsoft aún no ha emitido un parche específico. Solo recomienda desactivar Phone Link como medida temporal. Esto evidencia una brecha entre velocidad de actualización y rigor de pruebas de seguridad.
¿Qué implica CloudZ desde el punto de vista legal y económico?
Desde el marco legal, CloudZ desafía la GDPR y la Ley Orgánica de Protección de Datos (LOPDGDD). Al extraer datos personales sin consentimiento explícito, viola el artículo 6 del Reglamento Europeo. Las empresas que usan Phone Link en entornos corporativos podrían enfrentar sanciones por falta de due diligence.
Económicamente, el impacto es cuádruple: costes de respuesta ante incidentes, pérdida de confianza del cliente, multas regulatorias y gastos en migración a alternativas seguras como soluciones de zero-trust synchronization.
Datos Clave
- CloudZ opera desde enero de 2026, pero su detección masiva comenzó en abril de 2026.
- No requiere interacción del usuario: se activa al detectar Phone Link en ejecución.
- Extrae códigos de verificación en vivo, anulando la eficacia de la 2FA.
- El plugin Pheno es el vector técnico, no el origen del malware.
- Microsoft no ha lanzado un parche oficial: solo recomienda desactivar Phone Link.
- Afecta a más del 62 % de los equipos Windows 11 con Phone Link activo (datos de Cisco Talos, mayo 2026).
