La firma de seguridad informática Sophos ha advertido que los ciberdelincuentes están usando mensajes de WhatsApp para propagar malware que va tras las cuentas bancarias.
La nueva modalidad de ataque que aprovecha cuentas comprometidas de WhatsApp Web para distribuir archivos maliciosos. Según un informe de esta compañía, la a amenaza se activa cuando las víctimas reciben un archivo comprimido en formato ZIP que aparenta ser legítimo, pero al abrirlo se ejecutan comandos de PowerShell diseñados para instalar un malware especializado en el robo de credenciales y datos bancarios.
Investigadores de la unidad de amenazas de Sophos revelaron una campaña activa que se propaga por WhatsApp Web y que busca instalar un troyano bancario en computadores de las víctimas. Aunque el foco inicial está en Brasil, la técnica empleada, basada en mensajes que parecen provenir de contactos conocidos, eleva el nivel de riesgo para cualquier país donde WhatsApp Web tenga alta penetración, como Colombia.
Según Sophos, la campaña comenzó el 29 de septiembre de 2025 y ya ha producido actividad temprana en más de 400 entornos corporativos, con más de 1.000 equipos donde se ha detectado la ejecución inicial del ataque. El vector principal es un mensaje recibido en WhatsApp Web que incluye un archivo ZIP con nombres que simulan comprobantes, presupuestos u otros documentos legítimos. Dentro del ZIP se encuentra un archivo LNK (un acceso directo de Windows) que, al abrirse, ejecuta PowerShell en segundo plano para descargar y activar el troyano bancario.
El diseño de la operación aprovecha dos factores humanos: la confianza en un contacto conocido, porque el mensaje proviene de una sesión ya infectada, y la instrucción engañosa de que el archivo “solo puede verse en el computador”, lo que empuja al usuario a abrirlo desde WhatsApp Web sin sospechar. Una vez comprometido el equipo, el malware replica el mismo mensaje a los contactos del usuario y continúa su propagación.
El troyano tiene la capacidad de interceptar credenciales y acceder a transacciones financieras, concentrándose especialmente en entidades bancarias y plataformas de criptomonedas que operan en Brasil. No obstante, su estructura puede adaptarse con facilidad a otros entornos o mercados.
Medidas para disminuir la exposición a este riesgo
1. No abrir archivos ZIP recibidos por WhatsApp, aunque vengan de contactos conocidos.
2. Desconfiar de mensajes que insisten en “abrir desde el computador” o desde WhatsApp Web.
3. Restringir ejecución de PowerShell en equipos no administrados o sin necesidad operativa.
4. Mantener soluciones de seguridad actualizadas y con bloqueo de comportamiento, no solo antivirus tradicional.
5. Capacitar a usuarios sobre ingeniería social vía mensajería instantánea, no solo vía correo electrónico.
El caso expuesto por Sophos confirma que los ciberdelincuentes continúan perfeccionando sus métodos, explotando la confianza digital y los hábitos cotidianos de los usuarios. WhatsApp, por su alcance masivo, se ha convertido en un vehículo ideal para propagar ataques dirigidos, lo que exige mayor conciencia y prevención. La lección es clara: en tiempos donde un simple archivo puede abrir la puerta a un robo financiero, la mejor defensa sigue siendo la información y la prudencia digital.
Comparte esta alerta y ayuda a prevenir nuevos ataques. La ciberseguridad comienza por la información: si tus contactos están advertidos, estarán más protegidos.
#Ciberseguridad #WhatsAppSeguro
_________________________________ 
Foto de apoyo creada por Despejando Dudas con apoyo de ChatGPT
Botón de CTA creado por Grafixpoint en Freepik
