Alerta en México: malware se propaga vía WhatsApp Web -

Una campaña activa desde el 29 de septiembre de 2025 usa WhatsApp Web para replicarse y robar datos bancarios; usuarios en México deben extremar precauciones.

Emergencia latente

Investigadores de la Sophos Counter Threat Unit (CTU) detectaron una campaña de malware que comenzó el 29 de septiembre de 2025 y cuyo foco inicial se concentró en Brasil. El ataque opera mediante un archivo malicioso enviado como ZIP por WhatsApp Web, que al ejecutarse instala un troyano bancario diseñado para captar credenciales de bancos y plataformas de criptomonedas.

Aunque hasta ahora las principales detecciones se han registrado en Brasil, expertos advierten que la campaña podría extenderse hacia países de América Latina, incluyendo México.

¿Cómo funciona el ataque?

1. Envío de archivo malicioso desde un contacto confiable.
La víctima recibe un mensaje por WhatsApp que parece provenir de un conocido, con un archivo ZIP llamado cosas como “ORCAMENTO_XXXXXXX.zip”, “COMPROVANTE_20251002_XXXXXXX.zip”, o “NEW-20251001_150505-XXX_XXXXXXX.zip”. El mensaje especifica que el archivo “sólo puede abrirse en computadora” para inducir al usuario a usar WhatsApp Web.

2. Ejecución del archivo y carga del malware.
Dentro del ZIP aparece un archivo .LNK de Windows que, al ejecutar, lanza un comando PowerShell que descarga un segundo script desde un servidor de mando y control (por ejemplo “zapgrande[.]com”). Este segundo guion apunta a deshabilitar funciones de seguridad (como UAC o excluirse de Microsoft Defender) para instalar el troyano bancario.

3. Propagación automática vía WhatsApp Web.
Si detecta que hay una sesión de WhatsApp Web activa, el malware se aprovecha y envía el mismo archivo ZIP malicioso a todos los contactos y grupos de la víctima, replicándose rápidamente.

4. Robo de credenciales bancarias y cripto.
El troyano —identificado en algunos casos como “Maverick” y vinculado a campañas anteriores como “Coyote”— monitorea los navegadores activos, detecta conexiones a sitios de bancos o criptomonedas, y despliega superposiciones falsas de formularios para capturar contraseñas o tokens de autenticación.

¿Por qué es preocupante para México?

Aunque la mayor parte de las detecciones registradas se originan en Brasil, la naturaleza del ataque (mensajería masiva, replicación automática, uso de WhatsApp Web) lo hace altamente relevante para usuarios mexicanos que usan la plataforma tanto personal como laboralmente. Además:

La confianza entre contactos conocidos facilita que muchos usuarios abran archivos.
El uso de WhatsApp Web en equipos de escritorio o laptops lo acerca al entorno corporativo o de home-office.
Los ataques que afectan a la banca digital y cripto tienen alto impacto económico.

En la nota de Sophos se reportan más de 400 entornos digitales comprometidos y más de mil dispositivos infectados. Esto sugiere que el actor malicioso ha logrado una propagación significativa.

TAMBIÉN TE PUEDE INTERESAR

Así te protegen tus rastros digitales ↗

Cómo la huella digital ayuda a detectar fraudes sin fricción para el usuario.

Filtraciones en Infonavit e IMSS: soberanía digital en jaque ↗

Riesgos tras exposiciones de datos en instituciones y su impacto en la ciudadanía.

Kiperfy expone a más de 40 mil mexicanos ↗

Falla grave en plataforma inmobiliaria compromete datos bancarios y contraseñas.

Privacidad y datos en la era de la IA ↗

Retos actuales para proteger información personal ante algoritmos y automatización.

Privacidad en riesgo: datos personales sin control ↗

Debate sobre iniciativas que permitirían transferir información sin consentimiento.

Falla en ciberseguridad exhibe fragilidad del nuevo ente ↗

Lecciones tras un incidente que reveló vulnerabilidades y malas prácticas.

Morelia digitaliza su seguridad pública ↗

Cámaras corporales y evidencia digital: avances y puntos críticos a vigilar.

UP será sede del foro nacional de ciberseguridad ↗

La Universidad Panamericana albergará el segundo foro de la Alianza México CiberSeguro.

Recomendaciones clave para protegerte

No abras archivos ZIP, enlaces o documentos que te lleguen por WhatsApp, aunque provengan de un contacto conocido, sin antes verificar la solicitud.
Mantén actualizados tu sistema operativo, navegador, antivirus y la propia aplicación de WhatsApp.
En el ámbito laboral, asegúrate de que los equipos usados para WhatsApp Web no contengan archivos ejecutables desconocidos y tengan controles de seguridad activos.
Capacita a los miembros de tu equipo (o hazlo a ti mismo si eres usuario individual) sobre los riesgos de recibir archivos inesperados en apps de mensajería.
En entornos corporativos, considera limitar el uso de WhatsApp Web para manejar información sensible o implementar herramientas que detecten actividades sospechosas en las computadoras y dispositivos de trabajo.

Amenaza latente

La campaña de malware que utiliza WhatsApp Web como vector de propagación deja claro que los ciberdelincuentes están explotando canales de comunicación cotidiana para amplificar sus ataques. Lo que empezó en Brasil como una operación dirigida ahora representa una amenaza latente para usuarios y organizaciones en México y América Latina. La combinación de confianza digital + archivo aparentemente inofensivo + propagación automática lo convierte en un peligro concreto. Actuar con precaución, educación y buenas prácticas de seguridad es la mejor defensa.

Cultura, tecnología y mexicanos sobresalientes

Alerta en México: malware se propaga vía WhatsApp Web

SuperMexicanos