18 de Marzo 2026
La empresa Kamperting y compañía multinacional rusa dedicada a la seguridad informática, detectó y neutralizó en México una amenaza denominada Horabot, el cual es un paquete que incluye un troyano bancario, es decir un tipo de malware malicioso que se disfraza de software legítimo o inofensivo que permite a los atacantes robar datos, espiar o controlar el sistema.
Esta no es la primera vez que se detecta el uso del Horabot en México, pues diversas empresas de seguridad informática han reportado que ciberdelicuentas utilizan este malware desde 2023.
Fornites, empresa mundial de ciberseguridad, reportó en mayo de 2023 que los ataques con Horabot tienen como objetivo a usuarios de América Latina, incluidos México, Guatemala, Colombia, Perú, Chile y Argentina.
¿Qué es Horabot?
Horabot es un malware que se caracteriza por engañar a sus víctimas y que abran archivos adjuntos maliciosos, indica Fortinet.
La empresa mundial de ciberseguridad reporta que Horabot puede robar credenciales de correo electrónico, recopilar listas de contactos e instalar troyanos bancarios, como Delphi, que también se identifica con los nombres Casbaneiro, Ponteiro, Metamorfo y Zusy.
¿Cómo pueden robarme información con Horabot?
Los ciberdelincuentes tienen diversas formas de instalar el Horabot, la más reciente que detectó Karspequit comienza con un CAPTCHA falsa que pide que el usuario abra un cuadro de diálogo de ejecutar, pegar un comando malicioso y luego ejecutarlo.
Con estos pasos, en el dispositivo de la persona se abre una ventana en blanco que descarga y ejecuta una carga útil de JavaScript externa alojada en el dominio del atacante y posteriormente aparece un texto aleatorio y sin sentido que funciona solo como relleno.
Posteriormente, con múltiples capas para ocultar su comportamiento, el Horabot recoge la dirección IP del host, su nombre, nombre del usuario y la versión de sus sistema operativo. Además, crea un archivo LNK y lo coloca en la carpeta de inicio para mantener la persistencia y elimina archivos temporales.
Además, incluye una función para mostrar ventanas emergentes falsas que solicita que las víctimas introduzcan sus credenciales bancarias.
Otra de sus funciones consiste en extraer direcciones de correo electrónico, limpiar la bandeja de salida, filtrar direcciones de correo electrónico exfiltradas comparándolas con una lista de bloque de palabras clave y prepara un correo electrónico de phishing que contiene un archivo PDF malicioso que se distribuye a las direcciones filtradas.
El archivo PDF insta a acceder a un archivo confidencial o factura y al acceder, se activa el mismo proceso descrito por Kapersky.
Kaspersky detectó que de las cinco mil 384 víctimas de la instalación de este Horabot bajo dicho proceso, cinco mil 30 se encontraban en México, es decir el 93 por ciento del total.
empresa Fortinet detectó desde 2025 el uso de este malware a través del correo electrónico.
