Una nueva campaña de ciberataques detectada por Sophos está utilizando la confianza entre contactos de WhatsApp para propagar malware bancario. El ataque, que comenzó en Brasil a finales de septiembre, ya muestra señales de expansión hacia otros países de Latinoamérica, incluido Colombia, donde el uso de WhatsApp Web es masivo tanto en entornos personales como empresariales.
La operación no llega como un mensaje sospechoso ni con promesas extrañas. Por el contrario, proviene de un contacto conocido y de confianza. El mensaje incluye un archivo comprimido en formato ZIP con nombres aparentemente legítimos: “comprobante”, “presupuesto” o “factura”. La trampa se activa cuando el usuario abre el archivo desde su computador, siguiendo una instrucción que insiste en que “solo puede verse en el PC”.
Dentro del ZIP se esconde un acceso directo (.LNK) que ejecuta en segundo plano una serie de comandos PowerShell. Este proceso descarga e instala un troyano bancario capaz de capturar credenciales financieras, acceder a cuentas y realizar operaciones en línea sin el conocimiento de la víctima. En cuestión de minutos, el malware también replica el mensaje original, enviándolo a los contactos del usuario comprometido y multiplicando la infección.
El informe de Sophos revela que la campaña ya ha afectado más de 1.000 equipos y se ha detectado en 400 entornos corporativos. Aunque los atacantes apuntan especialmente a bancos y plataformas de criptomonedas de Brasil, la técnica puede adaptarse fácilmente a cualquier país donde WhatsApp Web tenga alta penetración. Colombia, donde millones de personas usan la aplicación para coordinar trabajo, pagos y entregas, se encuentra entre los entornos más vulnerables.
Más allá de la sofisticación técnica, el éxito del ataque depende de un viejo punto débil: la confianza humana. No se trata de un correo con un remitente desconocido, sino de un mensaje real enviado desde la cuenta de un amigo o colega que ya fue víctima. Es precisamente ese factor el que reduce las sospechas y hace que el usuario abra el archivo sin pensarlo dos veces.
Te puede interesar: Google Skills: así funciona la nueva plataforma para aprender inteligencia artificial gratis
Sophos advierte que este tipo de campañas marcan un cambio en las estrategias de ingeniería social. Antes, el correo electrónico era el canal más usado para distribuir troyanos bancarios. Ahora, las plataformas de mensajería instantánea como WhatsApp y Telegram se han convertido en el nuevo vehículo de ataque, aprovechando su uso cotidiano y la falta de filtros de seguridad avanzados.
Para reducir el riesgo, la empresa recomienda seguir cinco pasos básicos: no abrir archivos ZIP enviados por WhatsApp, incluso si provienen de conocidos; desconfiar de los mensajes que insisten en “abrir desde el computador”; restringir la ejecución de PowerShell en equipos personales o no administrados; mantener las soluciones de seguridad actualizadas y con protección basada en comportamiento; y reforzar la capacitación de los usuarios sobre fraudes y engaños que ya no llegan solo por correo, sino por los chats de siempre.
Esta alerta recuerda que las amenazas digitales ya no se ocultan tras un correo mal escrito o un enlace dudoso. Hoy pueden venir disfrazadas de un mensaje familiar, una factura pendiente o un simple “mira este archivo”. La nueva frontera del cibercrimen no está en los servidores, sino en las conversaciones más cotidianas.
