La nueva campaña de Horabot, una amenaza de origen brasileño que combina troyano bancario, robo de datos y propagación por correo electrónico, volvió a encender las alarmas en América Latina.
Expertos de Kaspersky detectaron que este malware permanece en 2026 y resaltaron que evolucionó con nuevas funciones para evadir sistemas de seguridad.
Los analistas hallaron una página web expuesta por los atacantes con una base de datos activa desde mayo de 2025.
Allí se identificaron 5.384 víctimas, con un dato que preocupa especialmente: 93% de los casos se concentra en México.
El hallazgo confirmó que Horabot es una amenaza residual y además una operación vigente con foco regional.
En este escenario, las principales keywords son Horabot, malware bancario, Kaspersky, robo de credenciales, phishing y ciberseguridad.
Aunque Horabot fue detectado por la comunidad de ciberseguridad hace varios años, la amenaza muestra actividad sostenida en 2026.
Mateus Salgado, líder del equipo SOC de Kaspersky, explicó que el malware mantiene una evolución constante en su arquitectura.
Los investigadores remarcaron que incorporó cambios en sus métodos de cifrado y en la lógica de manejo de protocolos, dos elementos que complejizan su detección.
Esa capacidad de adaptación le permite mantenerse vigente frente a entornos defensivos más robustos.
Para los especialistas, el punto crítico es que se trata de una amenaza que combina varias funciones maliciosas dentro de una misma cadena de ataque.
Por eso, el caso vuelve a ubicar a Horabot entre las campañas de malware bancario más relevantes de la región.
El engaño comienza con una página falsa de verificación CAPTCHA, una táctica diseñada para parecer legítima ante el usuario.
Allí se le pide a la víctima realizar una acción inusual: abrir la ventana Ejecutar de Windows, pegar un comando y ejecutarlo manualmente.
Ese paso, que parece inofensivo, activa en realidad el inicio del proceso de infección.
A partir de ese momento se despliega una cadena de acciones ocultas que instala el malware sin generar señales evidentes.
Esta técnica es especialmente peligrosa porque usa la propia interacción del usuario como disparador, evitando algunos controles automáticos tradicionales.
En términos de keywords, sobresalen CAPTCHA falso, Windows, cadena de infección, malware, phishing e ingeniería social.
Una vez dentro del equipo, Horabot recopila información del dispositivo y del usuario para perfilar a la víctima.
Entre los datos robados figuran la dirección IP, detalles del sistema operativo, ubicación y otros indicadores técnicos del entorno comprometido.
Esa información es enviada a servidores controlados por los atacantes, algo que les permite gestionar el ataque de manera remota.
Después, el malware instala un troyano bancario capaz de desplegar ventanas emergentes falsas que imitan a bancos reales.
El objetivo es que la víctima crea que interactúa con su entidad financiera y entregue sus credenciales bancarias sin sospechar.
De esta manera, el robo no depende solo de la intrusión técnica, sino también del engaño visual y psicológico.
El comportamiento de Horabot no termina en el robo de información del primer equipo comprometido.
La amenaza también busca expandirse mediante una función de propagación por correo electrónico que aumenta el alcance de la campaña.
Para eso, extrae direcciones de email desde los dispositivos infectados y las envía a la infraestructura de los atacantes.
Luego, desde cuentas ya comprometidas, se distribuyen nuevos correos de phishing con archivos PDF maliciosos.
Esos mensajes suelen presentarse como una "factura", un "archivo confidencial" o un documento urgente para aumentar la tasa de apertura.
Cuando la nueva víctima hace clic, el ciclo de infección vuelve a comenzar y el malware se replica.
La lógica de Horabot encaja con una tendencia más amplia que preocupa a la industria: el crecimiento sostenido de los ataques por correo.
Kaspersky precisó que en 2025 hubo un aumento de 15% en los ataques maliciosos por email, con más de 144 millones de archivos adjuntos maliciosos o no deseados detectados a nivel global.
Además, América Latina concentró 16% de las detecciones de antivirus de correo, algo que refuerza la exposición de la región a campañas de este tipo.
En paralelo, la firma reportó que los intentos de phishing en América Latina crecieron 85% en el último año, con 1.291 millones de bloqueos.
Ese contexto ayuda a explicar por qué amenazas como Horabot encuentran un terreno fértil para operar.
La combinación entre ingeniería social, spam, archivos adjuntos y urgencia sigue siendo uno de los vectores más eficaces del cibercrimen regional.
Los especialistas recomiendan que las empresas refuercen la capacitación de sus empleados para reconocer correos sospechosos, enlaces desconocidos y archivos adjuntos inesperados.
La razón es simple: muchos ataques comienzan con un error humano que podría evitarse con mejores hábitos digitales.
También sugieren fortalecer los controles existentes con soluciones de detección avanzada y servicios gestionados como Managed Detection and Response (MDR).
En paralelo, remarcan la importancia de contar con un Centro de Operaciones de Seguridad (SOC) o mejorar el que ya existe para acelerar la respuesta ante incidentes.
En organizaciones medianas y grandes, esa capacidad puede marcar la diferencia entre una intrusión contenida y una filtración masiva.
En este punto, las keywords centrales son MDR, SOC, detección de amenazas, respuesta a incidentes, ciberdefensa y seguridad empresarial.
Para los usuarios, la recomendación principal es desconfiar de cualquier correo inesperado, incluso si parece provenir de un banco, una tienda o una empresa conocida.
Si el mensaje exige abrir un archivo, descargar un documento o hacer clic en un enlace urgente, lo más prudente es detenerse y verificar.
También conviene evitar archivos o enlaces enviados por contactos desconocidos o remitentes que no se esperaban.
Los ciberdelincuentes suelen usar frases como "actúe ahora", "su cuenta será bloqueada" o "pago pendiente" para forzar decisiones rápidas.
Mantener los dispositivos protegidos con una solución confiable como Kaspersky Premium puede ayudar a bloquear la amenaza antes de que se ejecute.
En un escenario donde el malware bancario se perfecciona, la prevención sigue siendo la defensa más eficaz para personas y empresas.
El caso de Horabot confirma que el cibercrimen latinoamericano no solo sigue activo, sino que también se vuelve más refinado.
La mezcla de phishing, ingeniería social, robo de credenciales bancarias y autopropagación por email convierte a esta campaña en una amenaza especialmente agresiva.
El dato de las 5.384 víctimas registradas y la fuerte concentración en México muestran que el impacto ya es concreto y no meramente teórico.
Para el mercado, la señal es clara: los ataques bancarios regionales están lejos de retroceder y continúan adaptándose al comportamiento de los usuarios.
En 2026, la diferencia entre estar expuesto o protegido depende cada vez más de la actualización tecnológica, la educación digital y la capacidad de reacción.
Por eso, el resurgimiento de Horabot vuelve a poner a la ciberseguridad en el centro de la agenda empresarial y personal en América Latina.