Una campaña activa del malware Horabot posiciona a México como su principal foco de operación, concentrando el 93% de sus víctimas identificadas. El ataque combina robo de credenciales, propagación por correo electrónico y técnicas de ingeniería social para escalar su alcance, con un enfoque directo en información financiera.
La relevancia del caso no está solo en el volumen, sino en el tipo de operación: no depende de vulnerabilidades técnicas complejas, sino de hábitos cotidianos como navegar, abrir correos o interactuar con interfaces aparentemente legítimas. Esto eleva el riesgo para usuarios individuales, empresas y el sistema financiero en su conjunto.
Evidencia y escala del ataque
Kaspersky identificó una base de datos expuesta utilizada por los atacantes con registros activos desde mayo de 2025. En ese conjunto se contabilizan 5,384 víctimas totales, de las cuales 5,030 se ubican en México.
Los datos reflejan una concentración geográfica inusual para este tipo de amenazas, que suelen dispersarse en múltiples países. Además, la infraestructura de los atacantes incluye listados detallados de víctimas, con información que llega a incorporar coordenadas geográficas.
Entre los elementos verificables del caso:
- 5,384 víctimas registradas en la campaña.
- 5,030 ubicadas en México (93% del total).
- Registros activos desde mayo de 2025.
- Uso de bases de datos expuestas por los propios atacantes.
- Inclusión de datos de localización dentro de la operación.
- Enfoque en robo de credenciales financieras y datos del sistema.
Cómo entra y opera el malware
El acceso inicial se basa en una técnica de engaño que simula una acción rutinaria. La víctima llega a una página falsa de verificación CAPTCHA en español, donde se le indica abrir la ventana “Ejecutar” de Windows, pegar un comando y presionar Enter. Ese paso activa la descarga de un archivo HTA que inicia la cadena de infección.
El proceso no depende de un solo archivo, sino de una arquitectura escalonada que distribuye funciones en diferentes capas. Esto dificulta el rastreo y prolonga la vida útil de la campaña.
Las etapas principales del ataque incluyen:
- Descarga inicial mediante archivo HTA tras interacción del usuario.
- Ejecución de scripts externos alojados en dominios controlados por atacantes.
- Uso de código ofuscado y versiones cambiantes para evadir detección.
- Recolección de datos del sistema: IP, nombre del equipo, usuario y sistema operativo.
- Envío de información a servidores remotos mediante conexiones cifradas.
- Instalación de mecanismos de persistencia y limpieza de rastros temporales.
En fases posteriores, el malware descarga componentes adicionales, incluyendo herramientas basadas en AutoIt y ejecuta comandos de PowerShell para consolidar su presencia en el sistema.
El núcleo: troyano bancario y robo de credenciales
El componente central de Horabot es un troyano bancario desarrollado en Delphi. Este módulo es detectado por distintos motores de seguridad bajo nombres como Casbaneiro, Ponteiro, Metamorfo y Zusy, lo que refleja su evolución y reutilización en distintas campañas.
El malware incorpora funciones específicas para extraer credenciales almacenadas en navegadores mediante comandos SQL. Además, puede desplegar interfaces falsas que imitan plataformas bancarias con el objetivo de inducir al usuario a introducir sus datos.
La operación se completa con un sistema de propagación por correo electrónico que reutiliza materiales engañosos, incluyendo archivos que se distribuyen como adjuntos. Esto permite ampliar rápidamente el alcance del ataque sin depender de un único vector de entrada.
A quién afecta y qué cambia en la práctica
El impacto se concentra en usuarios en México, pero también alcanza a empresas, comercios y entidades financieras que dependen de la seguridad de credenciales digitales.
El riesgo se materializa en varios niveles:
- Acceso no autorizado a cuentas bancarias mediante robo de credenciales.
- Exposición de información del sistema que facilita ataques posteriores.
- Propagación interna en organizaciones a través de correos electrónicos.
- Incremento de fraudes apoyados en interfaces falsas y suplantación visual.
En la práctica, el ataque transforma acciones comunes —como verificar un CAPTCHA o abrir un archivo— en puntos de entrada para comprometer sistemas completos. No se requiere conocimiento técnico por parte de la víctima, lo que amplía el universo de afectados.
Qué sigue en la evolución de la amenaza
La persistencia de Horabot en 2026 muestra que este tipo de campañas mantiene vigencia mediante la combinación de técnicas conocidas: phishing, ingeniería social y malware modular. El uso de cifrado y patrones propios en su comunicación también introduce un doble efecto: protege la operación, pero genera firmas que pueden ser detectadas en redes.
El foco en México sugiere una estrategia dirigida más que aleatoria, lo que incrementa la presión sobre el ecosistema local. Bancos, empresas y usuarios enfrentan un escenario donde la seguridad no depende solo de sistemas técnicos, sino de la interacción cotidiana con herramientas digitales.
La campaña continúa activa con una lógica de actualización constante en sus componentes, lo que le permite adaptarse y sostener su alcance en el tiempo.
