Investigadores de la unidad de amenazas de Sophos revelaron una campaña activa que se propaga por WhatsApp Web y que busca instalar un troyano bancario en computadores de las víctimas. Aunque el foco inicial está en Brasil, la técnica empleada, basada en mensajes que parecen provenir de contactos conocidos, eleva el nivel de riesgo para cualquier país donde WhatsApp Web tenga alta penetración, como Colombia.
Según Sophos, la campaña comenzó el 29 de septiembre de 2025 y ya ha producido actividad temprana en más de 400 entornos corporativos, con más de 1.000 equipos donde se ha detectado la ejecución inicial del ataque. El vector principal es un mensaje recibido en WhatsApp Web que incluye un archivo ZIP con nombres que simulan comprobantes, presupuestos u otros documentos legítimos. Dentro del ZIP se encuentra un archivo LNK (un acceso directo de Windows) que, al abrirse, ejecuta PowerShell en segundo plano para descargar y activar el troyano bancario.
El diseño de la operación aprovecha dos factores humanos: la confianza en un contacto conocido, porque el mensaje proviene de una sesión ya infectada, y la instrucción engañosa de que el archivo “solo puede verse en el computador”, lo que empuja al usuario a abrirlo desde WhatsApp Web sin sospechar. Una vez comprometido el equipo, el malware replica el mismo mensaje a los contactos del usuario y continúa su propagación.
El troyano está diseñado para capturar credenciales y acceder a operaciones financieras, con especial énfasis en bancos y plataformas de criptomonedas que operan en Brasil, aunque su lógica es adaptable a otros mercados.
¿Qué recomienda Sophohs para reducir el riesgo?
- No abrir archivos ZIP recibidos por WhatsApp, aunque vengan de contactos conocidos.
- Desconfiar de mensajes que insisten en “abrir desde el computador” o desde WhatsApp Web.
- Restringir ejecución de PowerShell en equipos no administrados o sin necesidad operativa.
- Mantener soluciones de seguridad actualizadas y con bloqueo de comportamiento, no solo antivirus tradicional.
- Capacitar a usuarios sobre ingeniería social vía mensajería instantánea, no solo vía correo electrónico.