El engaño comienza con una página falsa de verificación (CAPTCHA) que le pide al usuario realizar una acción inusual: abrir la ventana “Ejecutar” de la computadora, pegar un comando y ejecutarlo. Cuando la persona sigue estas instrucciones, sin saberlo inicia el proceso de infección.

Nueva campaña del malware Horabot roba información y credenciales bancarias a usuarios en México Expertos de Kaspersky detectaron la operación, que utiliza páginas falsas y correos de phishing para instalar troyanos bancarios; el 93% de las víctimas identificadas se encuentra en el país.

Expertos de Kaspersky descubrieron una campaña dirigida que involucra a Horabot, una amenaza de origen brasileño que combina un troyano bancario, un propagador de correos electrónicos y una cadena de ataque compleja. Durante la investigación, los analistas identificaron una página web expuesta por los atacantes que contenía una base de datos con registros desde mayo de 2025, en la que se identificaron 5,384 víctimas, de las cuales el 93% se encuentran en México.El engaño comienza con una página falsa de verificación (CAPTCHA) que le pide al usuario realizar una acción inusual: abrir la ventana “Ejecutar” de la computadora, pegar un comando y ejecutarlo. Cuando la persona sigue estas instrucciones, sin saberlo inicia el proceso de infección. A partir de ese momento se activa una cadena de acciones ocultas en el sistema que permiten que el malware se instale sin que el usuario lo note.Una vez dentro del dispositivo, el malware recopila información del equipo y del usuario, como la dirección IP, datos del sistema operativo y la ubicación, y envía estos datos a servidores controlados por los atacantes. Además, instala un troyano bancario que puede mostrar ventanas emergentes falsas que imitan a las de bancos conocidos, con el objetivo de engañar a la víctima y hacer que ingrese sus credenciales bancarias.La amenaza también intenta propagarse a otras personas. Para ello, extrae direcciones de correo electrónico desde los equipos infectados y las envía a los servidores de los atacantes. Posteriormente, desde cuentas comprometidas se envían correos de phishing con archivos PDF maliciosos, que invitan a los destinatarios a abrir un supuesto “archivo confidencial” o una “factura”. Al hacer clic en el documento o en el botón que contiene, el proceso de infección comienza en el nuevo dispositivo.

Ejemplos de archivos adjuntos maliciosos utilizados en la campaña de Horabot, editados en español

“Aunque Horabot ha sido detectado por la comunidad de ciberseguridad durante varios años, la amenaza sigue siendo altamente activa en 2026. Además, el malware continúa evolucionando y adquiriendo nuevas funcionalidades, incluidas actualizaciones en su cifrado y en la lógica de manejo de protocolos. Por ello, es fundamental mantener las soluciones de seguridad actualizadas para permanecer protegidos”, afirma Mateus Salgado, SOC Team Lead en Kaspersky.Para mitigar el riesgo de amenazas como Horabot, los expertos de Kaspersky recomiendan a las empresas:Capacitar a los empleados para reconocer fraudes digitales, especialmente correos sospechosos, enlaces desconocidos o archivos adjuntos inesperados. Muchos ataques comienzan con un simple error humano, por lo que la concienciación es una de las primeras líneas de defensa.Fortalecer los controles de seguridad existentes con detección liderada por expertos y acceso a inteligencia global de amenazas, mediante soluciones como Kaspersky Managed Detection and Response (MDR), que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.Establecer un Centro de Operaciones de Seguridad (SOC) para mejorar la capacidad de detección y respuesta frente a incidentes. Kaspersky ofrece servicios de consultoría para ayudar a las organizaciones a construir un SOC desde cero o mejorar sus operaciones de seguridad existentes.Asimismo, los expertos de Kaspersky recomiendan a los usuarios:Desconfiar de correos inesperados, incluso si parecen venir de un banco, una tienda o una empresa conocida. Si el mensaje te pide abrir un archivo, descargar algo o hacer clic en un enlace, tómate un momento para verificar si realmente lo esperabas.No abrir archivos ni enlaces de personas que no conoces. Muchos virus se esconden en documentos que prometen ser facturas, comprobantes o archivos “confidenciales”. Si no estás seguro de quién lo envió, es mejor no abrirlo.Tener cuidado con los mensajes que generan urgencia, por ejemplo, los que dicen “actúe ahora”, “su cuenta será bloqueada” o “pago pendiente”. Los estafadores usan estas frases para que las personas reaccionen rápido sin pensar.Mantener sus dispositivos protegidos con una solución de seguridad confiable, como Kaspersky Premium, que ayuda a detectar y bloquear programas maliciosos antes de que puedan causar daño.Para conocer más detalles técnicos y los indicadores de compromiso (IoCs) de la nueva campaña, consulta el informe completo en Securelist.com.Para más información sobre cómo proteger la seguridad empresarial, visita nuestro blog.

Acerca de KasperskyKaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de mil millones de dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques dirigidos, la profunda inteligencia sobre amenazas y experiencia en seguridad de Kaspersky se transforma constantemente en soluciones y servicios innovadores para proteger a individuos, empresas, infraestructuras críticas y gobiernos en todo el mundo. El completo portafolio de seguridad de la empresa incluye protección líder para la vida digital de dispositivos personales, productos y servicios de seguridad especializados para empresas, así como soluciones Cyber Immune para combatir amenazas digitales sofisticadas y en evolución. Ayudamos a millones de personas y a cerca de 200,000 clientes corporativos a proteger lo que más valoran. Más información en: http://www.kaspersky.com