Expertos de Kaspersky detectaron la operación, que utiliza páginas falsas y correos de phishing para iniciar una compleja cadena de infección e instalar troyanos bancarios, con una fuerte concentración de víctimas en México.
Expertos de Kaspersky descubrieron una campaña dirigida que involucra a Horabot, una amenaza de origen brasileño que combina un troyano bancario, un propagador de correos electrónicos y una cadena de ataque notablemente compleja. Durante la investigación, los analistas identificaron una página web expuesta por el actor de la amenaza que contenía una base de datos con registros desde mayo de 2025, en la que se identificaron 5.384 víctimas, de las cuales el 93% se encuentran en México.
El engaño comienza con una página falsa de verificación (CAPTCHA) que le pide al usuario realizar una acción inusual: abrir la ventana “Ejecutar” del computador, pegar un comando y ejecutarlo. Cuando la persona sigue estas instrucciones, sin saberlo inicia el proceso de infección. A partir de ese momento se activa una cadena de acciones ocultas en el sistema que permiten que el malware se instale sin que el usuario lo note.
Una vez dentro del dispositivo, el malware recopila información del equipo y del usuario, como la dirección IP, datos del sistema operativo y la ubicación, y envía estos datos a servidores controlados por los atacantes. Además, instala un troyano bancario que puede mostrar ventanas emergentes falsas que imitan a las de bancos conocidos, con el objetivo de engañar a la víctima y hacer que ingrese sus credenciales bancarias.
La amenaza también intenta propagarse a otras personas. Para ello, extrae direcciones de correo electrónico desde los equipos infectados y las envía a los servidores de los atacantes. Posteriormente, desde cuentas comprometidas se envían correos de phishing con archivos PDF maliciosos, que invitan a los destinatarios a abrir un supuesto “archivo confidencial” o una “factura”. Al hacer clic en el documento o en el botón que contiene, el proceso de infección comienza nuevamente en el nuevo dispositivo.
“Aunque Horabot ha sido detectado por la comunidad de ciberseguridad durante varios años, la amenaza sigue siendo altamente activa en 2026. Además, el malware continúa evolucionando y adquiriendo nuevas funcionalidades, incluidas actualizaciones en su cifrado y en la lógica de manejo de protocolos. Por ello, es fundamental mantener las soluciones de seguridad actualizadas para permanecer protegidos”, afirma Mateus Salgado, SOC Team Lead en Kaspersky.
Para mitigar el riesgo de amenazas como Horabot, los expertos de Kaspersky recomiendan a las empresas:
- Capacitar a los empleados para reconocer fraudes digitales, especialmente correos sospechosos, enlaces desconocidos o archivos adjuntos inesperados. Muchos ataques comienzan con un simple error humano, por lo que la concienciación es una de las primeras líneas de defensa.
- Fortalecer los controles de seguridad existentes con detección liderada por expertos y acceso a inteligencia global de amenazas mediante soluciones como Kaspersky Managed Detection and Response (MDR), que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.
- Establecer o fortalecer un Centro de Operaciones de Seguridad (SOC) para mejorar la capacidad de detección y respuesta frente a incidentes. Kaspersky ofrece servicios de consultoría para ayudar a las organizaciones a construir un SOC desde cero o mejorar sus operaciones de seguridad existentes.
Asimismo, los expertos de Kaspersky recomiendan a los usuarios:
- Desconfíe de correos inesperados, incluso si parecen venir de un banco, una tienda o una empresa conocida. Si el mensaje le pide abrir un archivo, descargar algo o hacer clic en un enlace, tómese un momento para verificar si realmente lo esperaba.
- No abra archivos ni enlaces de personas que no conoce. Muchos virus se esconden en documentos que prometen ser facturas, comprobantes o archivos “confidenciales”. Si no está seguro de quién lo envió, es mejor no abrirlo.
- Tenga cuidado con los mensajes que generan urgencia, por ejemplo, los que dicen “actúe ahora”, “su cuenta será bloqueada” o “pago pendiente”. Los estafadores usan estas frases para que las personas reaccionen rápido sin pensar.
- Mantenga sus dispositivos protegidos con una solución de seguridad confiable, como Kaspersky Premium, que ayuda a detectar y bloquear programas maliciosos antes de que puedan causar daño.
Para conocer más detalles técnicos y los indicadores de compromiso (IoCs) de la nueva campaña, consulte el informe completo en Securelist.com.
