Horabot, el troyano bancario que afecta a usuarios en México

México se convirtió en el principal foco de una nueva campaña de Horabot, un malware de origen brasileño que combina un troyano bancario, un mecanismo de propagación por correo electrónico y una cadena de ataque diseñada para robar información y credenciales financieras.

Analistas de Kaspersky identificaron una base de datos expuesta de los atacantes con registros desde mayo del 2025. En ese conjunto aparecieron 5,384 víctimas, de las cuales 5,030 estaban ubicadas en México, equivalente a 93% del total.

La entrada del ataque

La operación arranca con una trampa que aprovecha una rutina cotidiana de navegación. La víctima llega a una página falsa de verificación CAPTCHA en español que le pide abrir la ventana Ejecutar de Windows, pegar un comando y presionar Enter. Ese paso, presentado como una comprobación normal para continuar, dispara la descarga de un archivo HTA que después llama scripts externos alojados en dominios controlados por los atacantes. La secuencia avanza mediante varias capas de código ofuscado y versiones cambiantes del mismo recurso, una táctica que dificulta el rastreo y alarga la vida de la campaña.

Una vez dentro del equipo, Horabot empieza a recolectar datos del sistema. Los investigadores observaron que el malware obtiene dirección IP, nombre del equipo, usuario y versión del sistema operativo, y envía esa información a servidores remotos.

En la siguiente etapa descarga componentes de AutoIt, un archivo cifrado y artefactos para mantener persistencia en el arranque del sistema. También ejecuta comandos de PowerShell y limpia rastros temporales. Ese comportamiento muestra que la operación no depende de un solo archivo malicioso, sino de una arquitectura escalonada que reparte funciones entre cargadores, scripts y módulos posteriores.

El corazón del ataque es un troyano bancario en Delphi que distintos motores de seguridad detectan bajo nombres como Casbaneiro, Ponteiro, Metamorfo y Zusy. Kaspersky advirtió que el módulo descifrado incluye comandos SQL orientados a extraer credenciales desde navegadores y que además se comunica con infraestructura remota mediante HTTPS.

La investigación documenta páginas señuelo diseñadas para empujar al usuario a abrir enlaces maliciosos y materiales que luego también son usados como adjuntos PDF en la fase de distribución por correo. La campaña, en otras palabras, mezcla engaño visual, robo de datos y replicación para ampliar rápidamente su alcance.

México como objetivo

El caso también exhibe una escala poco usual para un malware bancario dirigido a un solo país. Al revisar la rutina de exfiltración, los analistas encontraron una página expuesta donde los operadores listaban a sus víctimas y hasta incorporaban coordenadas geográficas en la columna de localización.

La evidencia sugiere que México no apareció como una parada marginal en la campaña, sino como su mercado central. Eso eleva la relevancia del hallazgo para bancos, comercios, empresas y usuarios locales, sobre todo porque la infección se apoya en hábitos muy extendidos como abrir correos, descargar facturas y confiar en páginas que parecen rutinarias.

La investigación añade otro dato relevante para el entorno defensivo. Horabot usa cifrado y una lógica propia para proteger cadenas y tráfico, aunque esa misma regularidad puede facilitar la detección en red con firmas específicas. Al mismo tiempo, el malware conserva recursos para desplegar ventanas falsas que imitan interfaces bancarias y empujan al usuario a entregar sus credenciales.

La persistencia de Horabot en 2026 refuerza una lección incómoda para el mercado mexicano. Los atacantes no necesitan vulnerabilidades espectaculares cuando pueden explotar la mezcla de ingeniería social, correos de phishing y confianza del usuario en procesos aparentemente legítimos.

rodrigo.riquelme@eleconomista.mx