Investigadores de la empresa Kaspersky detectaron una campaña activa que usa CAPTCHA falso para inducir a usuarios a ejecutar un comando en su equipo; según la firma, la operación ya afectó a 5 mil 384 víctimas, con 93% de los casos en México.
El método empieza con una verificación aparente: la pantalla solicita ejecutar una instrucción en la consola del sistema. Al pegar y ejecutar ese comando, el equipo descarga e instala Horabot sin mostrar alertas visibles. El malware recopila información del dispositivo, incluida dirección IP, sistema operativo y ubicación, y transmite esos datos a los atacantes.
Posteriormente, Horabot despliega un troyano bancario que presenta ventanas emergentes que imitan las interfaces de bancos reales. El usuario, al creer que accede a su cuenta, introduce credenciales y datos sensibles que quedan en poder de los delincuentes. Kaspersky describió el mecanismo como un engaño sencillo que explota la confianza en procesos habituales de verificación.
El ataque incluye expansión por medio de correo electrónico: el malware extrae correos almacenados en el equipo y los envía a los atacantes. Desde cuentas comprometidas se remiten mensajes con documentos adjuntos (PDFs) o enlaces que anuncian “archivos confidenciales” o “facturas”; al abrir esos archivos, se reinicia el ciclo de infección.
TE PUEDE INTERESAR: Fallece niño de 2 años tras ataque incendiario en Valle de Chalco
“Aunque Horabot ha sido detectado por la comunidad de ciberseguridad durante varios años, la amenaza sigue siendo altamente activa en 2026. Además, el malware continúa evolucionando y adquiriendo nuevas funcionalidades, incluidas actualizaciones en su cifrado y en la lógica de manejo de protocolos. Por ello, es fundamental mantener las soluciones de seguridad actualizadas para permanecer protegidos”, comentó Mateus Salgado, SOC Team Lead en Kaspersky.
Kaspersky entregó recomendaciones para mitigar riesgos en entornos empresariales y personales:
- Capacitar a empleados para reconocer fraudes digitales, en especial correos sospechosos, enlaces desconocidos o archivos adjuntos inesperados.
- Fortalecer controles de seguridad con detección experta e inteligencia global de amenazas.
- Establecer un Centro de Operaciones de Seguridad (SOC) para mejorar detección y respuesta.
- Desconfiar de correos inesperados, incluso si aparentan provenir de bancos o empresas conocidas; verificar antes de abrir archivos o seguir enlaces.
- No abrir archivos ni enlaces de remitentes desconocidos.
- Prestar atención a mensajes que inducen urgencia, como “actúe ahora” o “su cuenta será bloqueada”.
- Mantener soluciones de seguridad actualizadas en dispositivos.
Investigadores señalaron que Horabot no requiere sofisticación técnica por parte del usuario: el paso crítico es la ejecución manual del comando que el CAPTCHA falso solicita. Las instancias forenses muestran que, tras la ejecución, el software permanece activo en segundo plano mientras los atacantes monitorean actividad y despliegan ventanas falsas para captar credenciales bancarias.
Las indagatorias sobre la campaña continúan. Autoridades y empresas de seguridad siguen rastreando variantes de Horabot y actualizaciones en sus técnicas de propagación. Las firmas de ciberseguridad recomiendan verificar procedimientos antes de permitir la ejecución de comandos en equipos y mantener políticas de formación continua para usuarios.
ARIEL HERNÁNDEZ
Si quieres enterarte de más, síguenos en Facebook, YouTube o bien en TikTok.
