En 2025 ya no se necesita un hacker: el virus Horabot envía correos desde tu cuenta por sí solo
Primero una factura, luego una ventana de inicio de sesión falsa — y tus credenciales vuelan directo a Brasil.
Ciberdelincuentes han intensificado una campaña maliciosa dirigida a usuarios de Windows en países de América Latina. La nueva ola del malware Horabot fue detectada en abril de 2025 y representa una operación meticulosamente planificada, enfocada en el público hispanohablante de México, Guatemala, Colombia, Perú, Chile y Argentina.
El ataque comienza con correos de phishing disfrazados de documentos financieros o facturas. A la víctima se le invita a abrir un archivo ZIP que supuestamente contiene un PDF. En realidad, dentro se encuentra un documento HTML malicioso con un script codificado que se comunica con un servidor remoto y descarga la siguiente fase de la cadena de infección. El segundo archivo contiene un HTA que ejecuta un script, el cual inserta un VBScript externo que verifica si el sistema tiene instalado el antivirus Avast o si se está ejecutando en un entorno virtual, finalizando la ejecución en caso de detectar protección.
Tras superar estas comprobaciones, el script recopila información básica del sistema, la envía a los atacantes y descarga componentes adicionales. Entre ellos hay un script en AutoIt que ejecuta un troyano bancario a través de una DLL maliciosa, y un comando de PowerShell encargado de propagar aún más la campaña de phishing. Para ello, el malware automatiza el uso de Outlook mediante COM, enviando correos desde las cuentas de los usuarios ya infectados, lo que da la apariencia de una conversación legítima y potencia el efecto de reacción en cadena.
Horabot presta especial atención al robo de credenciales e información confidencial. El malware es capaz de extraer datos de navegadores populares como Chrome, Edge, Opera, Brave, Yandex, Cent y otros. No solo copia contraseñas y sesiones guardadas, sino que también analiza el comportamiento del usuario y sustituye las ventanas de inicio de sesión por interfaces falsas. Así, la víctima introduce sus credenciales en formularios visualmente idénticos a los reales, sin darse cuenta de que están siendo enviadas directamente a los atacantes.
Horabot fue detectado por primera vez en 2023, aunque su actividad ha sido monitoreada al menos desde finales de 2020. Los analistas vinculan la campaña con un grupo que presumiblemente opera desde Brasil. En 2024, Trustwave SpiderLabs registró una ola de phishing similar, con un notable parecido en técnicas y base de código con Horabot.
La campaña actual continúa la tendencia de ataques híbridos, que combinan ingeniería social, descarga en múltiples etapas, evasión de medidas de seguridad y automatización del movimiento lateral. El uso de herramientas comunes de Windows como VBScript, AutoIt y PowerShell permite que el malware pase desapercibido y complique su detección mediante soluciones de seguridad tradicionales.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!