Durante los últimos meses, México se ha convertido en el epicentro de una sofisticada campaña de malware que ha puesto en alerta a expertos en ciberseguridad.Se trata de Horabot, un troyano bancario de origen brasileño que ha logrado comprometer a miles de usuarios en territorio nacional, representando una de las amenazas más serias para el sector financiero digital del país. Los números son contundentes y preocupantes: de más de cinco mil víctimas identificadas, prácticamente la totalidad se encuentra en suelo mexicano.Una trampa disfrazada de verificación rutinariaLa metodología de ataque de Horabot demuestra un conocimiento profundo de los hábitos digitales de los usuarios promedio. Todo comienza con una página fraudulenta que simula ser un sistema de verificación CAPTCHA en español, esos controles que habitualmente nos piden identificar semáforos o cruces peatonales.Sin embargo, en este caso, la falsa verificación solicita al usuario abrir la ventana «Ejecutar» de Windows, pegar un comando específico y presionar Enter. Lo que aparenta ser un procedimiento de seguridad normal, en realidad desencadena la descarga de un archivo HTA que posteriormente invoca scripts maliciosos alojados en servidores controlados por los atacantes.La cadena de infección está diseñada con múltiples capas de código ofuscado que van cambiando constantemente, una estrategia que dificulta enormemente su detección por parte de los sistemas de seguridad tradicionales.Esta arquitectura modular permite a los operadores del malware mantener la campaña activa durante períodos prolongados, adaptándose continuamente para evadir las defensas. Cabe destacar que esta técnica de ingeniería social resulta particularmente efectiva porque explota la confianza que los usuarios han desarrollado hacia los sistemas CAPTCHA legítimos.El arsenal completo de un troyano modernoUna vez que Horabot logra infiltrarse en el sistema, despliega un conjunto de capacidades verdaderamente alarmante. El malware comienza recopilando información fundamental del equipo comprometido: dirección IP, nombre del dispositivo, usuario activo y versión del sistema operativo.Esta información es enviada inmediatamente a servidores remotos donde los atacantes mantienen una base de datos detallada de sus víctimas. Los investigadores de Kaspersky descubrieron que esta base de datos incluso contenía coordenadas geográficas de cada víctima, evidenciando el nivel de organización detrás de la operación.En la fase siguiente, el malware descarga componentes adicionales de AutoIt, archivos cifrados y establece mecanismos de persistencia que garantizan su ejecución cada vez que el sistema se inicia.También ejecuta comandos de PowerShell para realizar tareas específicas y elimina rastros temporales que podrían delatar su presencia. El núcleo del ataque es un troyano bancario desarrollado en Delphi, conocido en la industria bajo diversos nombres como Casbaneiro, Ponteiro, Metamorfo y Zusy.Este componente incluye comandos SQL especialmente diseñados para extraer credenciales almacenadas en navegadores web, además de comunicarse con infraestructura remota mediante conexiones HTTPS cifradas.México como objetivo prioritarioLos datos recopilados por Kaspersky revelan una concentración sin precedentes en el mercado mexicano. De las 5,384 víctimas registradas en la base de datos expuesta de los atacantes, 5,030 se encontraban en México, lo que representa un abrumador 93% del total.Esta focalización no parece ser accidental ni marginal, sino que evidencia una estrategia deliberada de los ciberdelincuentes para explotar el ecosistema financiero digital mexicano. La campaña ha estado activa desde mayo de 2025, según los registros encontrados, demostrando una operación sostenida y bien financiada.A decir verdad, lo más preocupante es que los atacantes no dependen de vulnerabilidades técnicas complejas, sino que explotan algo mucho más difícil de parchear: el comportamiento humano.La campaña combina páginas señuelo convincentes, archivos PDF adjuntos en correos electrónicos que parecen legítimos y una cadena de distribución que aprovecha la confianza de los usuarios en procesos aparentemente rutinarios.Por otro lado, el malware también despliega ventanas falsas que imitan con precisión las interfaces de instituciones bancarias mexicanas, presionando a las víctimas para que entreguen voluntariamente sus credenciales de acceso.Implicaciones para el sector financiero nacionalLa persistencia de Horabot en 2026 representa una llamada de atención para todo el ecosistema digital mexicano. Bancos, empresas de comercio electrónico, corporativos y usuarios individuales enfrentan una amenaza que ha demostrado capacidad de adaptación y alcance masivo.El hecho de que los atacantes mantengan una infraestructura tan organizada, con bases de datos detalladas y sistemas de geolocalización de víctimas, sugiere que se trata de una operación criminal profesional con recursos significativos.Sin embargo, no todo está perdido en esta batalla. Aunque Horabot utiliza cifrado y lógica propietaria para proteger sus comunicaciones, estas mismas regularidades pueden facilitar su detección mediante firmas de red específicas.Los expertos recomiendan mantener el software actualizado, utilizar soluciones de seguridad robustas y, fundamentalmente, desarrollar un escepticismo saludable ante solicitudes inusuales, incluso cuando parezcan provenir de sistemas de verificación conocidos.La educación del usuario final sigue siendo la primera línea de defensa contra este tipo de amenazas que explotan la ingeniería social más que las vulnerabilidades técnicas.Fuente: KasperskyThe post Horabot: el troyano bancario que tiene en la mira a usuarios mexicanos first appeared on PasionMóvil.