Expertos de Kaspersky detectaron la operación, que utiliza páginas falsas y correos de phishing para iniciar una compleja cadena de infección e instalar troyanos bancarios.

Los expertos descubrieron una campaña dirigida que involucra a Horabot, una amenaza de origen brasileño que combina un troyano bancario, un propagador de correos electrónicos y una cadena de ataque notablemente compleja. Durante la investigación, los analistas identificaron una página web expuesta por el actor de la amenaza que contenía una base de datos con registros desde mayo de 2025, en la que se identificaron 5.384 víctimas, de las cuales el 93% se encuentran en México.

El engaño comienza con una página falsa de verificación (CAPTCHA) que le pide al usuario realizar una acción inusual: abrir la ventana “Ejecutar” del computador, pegar un comando y ejecutarlo. Cuando la persona sigue estas instrucciones, sin saberlo inicia el proceso de infección. A partir de ese momento se activa una cadena de acciones ocultas en el sistema que permiten que el malware se instale sin que el usuario lo note.

Una vez dentro del dispositivo, el malware recopila información del equipo y del usuario, como la dirección IP, datos del sistema operativo y la ubicación, y envía estos datos a servidores controlados por los atacantes. Además, instala un troyano bancario que puede mostrar ventanas emergentes falsas que imitan a las de bancos conocidos, con el objetivo de engañar a la víctima y hacer que ingrese sus credenciales bancarias.

La amenaza también intenta propagarse a otras personas. Para ello, extrae direcciones de correo electrónico desde los equipos infectados y las envía a los servidores de los atacantes. Posteriormente, desde cuentas comprometidas se envían correos de phishing con archivos PDF maliciosos, que invitan a los destinatarios a abrir un supuesto “archivo confidencial” o una “factura”. Al hacer clic en el documento o en el botón que contiene, el proceso de infección comienza nuevamente en el nuevo dispositivo.

“Aunque Horabot ha sido detectado por la comunidad de ciberseguridad durante varios años, la amenaza sigue siendo altamente activa en 2026. Además, el malware continúa evolucionando y adquiriendo nuevas funcionalidades, incluidas actualizaciones en su cifrado y en la lógica de manejo de protocolos. Por ello, es fundamental mantener las soluciones de seguridad actualizadas para permanecer protegidos”, afirma Mateus Salgado, SOC Team Lead en Kaspersky.

Para mitigar el riesgo de amenazas como Horabot, los expertos de Kaspersky recomiendan a las empresas:

• Capacitar a los empleados para reconocer fraudes digitales, especialmente correos sospechosos, enlaces desconocidos o archivos adjuntos inesperados. Muchos ataques comienzan con un simple error humano, por lo que la concienciación es una de las primeras líneas de defensa.
• Fortalecer los controles de seguridad existentes con detección liderada por expertos y acceso a inteligencia global de amenazas mediante soluciones como Kaspersky Managed Detection and Response (MDR), que cubren todo el ciclo de gestión de incidentes, desde la identificación de amenazas hasta la protección continua y la remediación.
• Establecer o fortalecer un Centro de Operaciones de Seguridad (SOC) para mejorar la capacidad de detección y respuesta frente a incidentes. Kaspersky ofrece servicios de consultoría para ayudar a las organizaciones a construir un SOC desde cero o mejorar sus operaciones de seguridad existentes.

Asimismo, los expertos de Kaspersky recomiendan a los usuarios:

• Desconfíe de correos inesperados, incluso si parecen venir de un banco, una tienda o una empresa conocida. Si el mensaje le pide abrir un archivo, descargar algo o hacer clic en un enlace, tómese un momento para verificar si realmente lo esperaba.
• No abra archivos ni enlaces de personas que no conoce. Muchos virus se esconden en documentos que prometen ser facturas, comprobantes o archivos “confidenciales”. Si no está seguro de quién lo envió, es mejor no abrirlo.
• Tenga cuidado con los mensajes que generan urgencia, por ejemplo, los que dicen “actúe ahora”, “su cuenta será bloqueada” o “pago pendiente”. Los estafadores usan estas frases para que las personas reaccionen rápido sin pensar.
• Mantenga sus dispositivos protegidos con una solución de seguridad confiable, como Kaspersky Premium, que ayuda a detectar y bloquear programas maliciosos antes de que puedan causar daño.

Origen

Los datos del simulador de phishing de la plataforma Kaspersky Security Awareness muestran que los empleados tienden a no detectar las trampas ocultas en los correos electrónicos cuyo “asunto” son temas corporativos y supuestas notificaciones de avisos de entregas. Casi uno de cada cinco (16% a 18%) hizo clic en el enlace de las plantillas de correo electrónico que imitan estos ataques de phishing.

Según las estimaciones, el 91% de todos los ataques cibernéticos comienzan con un correo electrónico de phishing y las técnicas de phishing están involucradas en el 32% de las violaciones de datos exitosas.

Para brindar más información sobre esta amenaza, Kaspersky analizó los datos recopilados de un simulador de phishing, proporcionado voluntariamente por los usuarios¹. Kaspersky Security Awareness Platform es una herramienta que ayuda a las empresas a verificar si su personal puede distinguir un correo electrónico de phishing de uno real sin poner en riesgo los datos corporativos. Un administrador elige del conjunto de plantillas, imitando escenarios comunes de phishing, o crea una plantilla personalizada, luego la envía al grupo de empleados sin advertirles previamente y realiza un seguimiento de los resultados. El hecho de que una gran cantidad de usuarios haga clic en el enlace, es una clara indicación de que se requiere capacitación adicional en concientización sobre seguridad cibernética.

Según campañas recientes de simulación de phishing, los cinco tipos de correo electrónico de phishing más eficaces son:

• Asunto: Intento de entrega fallido: lamentablemente, nuestro mensajero no pudo entregar su artículo. Remitente: Servicio de entrega de correo. Conversión de clics: 18.5%.
• Asunto: No se entregaron los correos electrónicos debido a servidores de correo sobrecargados. Remitente: El equipo de asistencia de Google. Conversión de clics: 18%.
• Asunto: Encuesta en línea a empleados: ¿Qué mejorarías del trabajo en la empresa? Remitente: Departamento de RRHH. Conversión de clics: 18%.
• Asunto: Recordatorio: Nuevo código de vestimenta en toda la empresa. Remitente: Recursos Humanos. Conversión de clics: 17.5%.
• Asunto: Atención a todos los empleados: nuevo plan de evacuación del edificio. Remitente: Departamento de Seguridad. Conversión de clics: 16%.

Entre los otros correos electrónicos de phishing que obtuvieron una cantidad considerable de clics se encuentran: confirmación de reservaciones de un servicio para ese fin (11%), una notificación sobre la realización de un pedido (11%) y un anuncio de concurso de IKEA (10%).

Por otro lado, los correos electrónicos que amenazan al destinatario u ofrecen beneficios instantáneos parecen ser menos “exitosos”. Una plantilla cuyo asunto era "Le pirateé su computadora y conozco su historial de búsqueda" obtuvo el 2% de los clics, mientras que las ofertas de Netflix gratis y US$1,000 con solo hacer clic en un enlace engañaron solo al 1% de los empleados.

“La simulación de phishing es una de las formas más sencillas de rastrear la resiliencia cibernética de los empleados y evaluar la eficiencia de su capacitación en seguridad cibernética. Sin embargo, hay aspectos importantes que deben tenerse en cuenta al realizar esta evaluación para que sea realmente impactante”, comenta Elena Molchanova, directora de desarrollo comercial de conciencia de seguridad en Kaspersky. “Dado que los métodos utilizados por los ciberdelincuentes cambian constantemente, la simulación debe reflejar las tendencias actualizadas de ingeniería social, junto con los escenarios comunes de ciberdelincuencia. Es crucial que los ataques simulados se lleven a cabo regularmente y se complementen con la capacitación adecuada, de modo que los usuarios desarrollen una fuerte habilidad de vigilancia que les permita evitar caer en ataques dirigidos o el llamado spear-phishing”.

Para evitar filtraciones de datos y cualquier pérdida financiera y de reputación relacionadas a un ataque de phishing, Kaspersky recomienda a las empresas:

• Recuerde a sus empleados las señales básicas de los correos electrónicos de phishing. Un asunto urgente, errores tipográficos y de otro tipo, direcciones irregulares de los remitentes y enlaces sospechosos.
• Si tiene alguna duda sobre el correo electrónico recibido, verifique el formato de los archivos adjuntos antes de abrirlos y la precisión del enlace antes de hacer clic. Esto se puede lograr pasando el cursor sobre estos elementos: asegúrese de que la dirección parezca auténtica y que los archivos adjuntos no estén en un formato ejecutable.
• Denuncie siempre los ataques de phishing. Si detecta un ataque de phishing, informe a su departamento de seguridad de TI y, si es posible, evite abrir el correo electrónico malicioso. Esto permitirá que su equipo de ciberseguridad reconfigure las normas antispam y prevenga un incidente.
• Proporcione a sus empleados conocimientos básicos de ciberseguridad. La educación debe estar orientada a cambiar el comportamiento de los alumnos y enseñarles a enfrentarse a las amenazas. Como uno de los principales proveedores de ciberseguridad, Kaspersky posee una base de información relevante sobre ataques reales y complementa continuamente sus formaciones de Security Awareness Training de acuerdo con el panorama actual de amenazas.

Puesto que los intentos de phishing pueden confundir y no hay garantía de evitar todos los clics accidentales, proteja sus dispositivos de trabajo con una seguridad en la que pueda confiar. Elija una solución que proporcione funciones antispam, rastree comportamientos sospechosos y cree una copia de seguridad de sus archivos en caso de ataques de ransomware. La protección antiphishing está incluida en algunas soluciones de seguridad como Kaspersky Small Office Security, incluso para empresas pequeñas y muy pequeñas.

Para más información sobre Kaspersky Security Awareness Platform y descargar una versión gratuita de esta plataforma por 30 días, haga clic aquí.

Origen

Origen