Sophos alerta: malware bancario se propaga por mensajes de WhatsApp Web

La unidad de investigación de amenazas de Sophos emitió una alerta global sobre una nueva campaña de malware bancario que se propaga mediante WhatsApp Web, utilizando mensajes enviados desde cuentas previamente comprometidas.

El ataque inicia cuando la víctima recibe un archivo ZIP con apariencia legítima, como comprobantes o cotizaciones, que contiene un acceso directo (.LNK). Al ejecutarlo, se activan comandos de PowerShell que descargan e instalan un troyano bancario especializado en el robo de credenciales financieras.

Según Sophos, la campaña comenzó el 29 de septiembre de 2025 y ya ha sido detectada en más de 400 entornos corporativos y 1.000 equipos afectados, con Brasil como principal epicentro, aunque Colombia figura entre los países con mayor riesgo debido a la alta penetración de WhatsApp Web.

El engaño: confianza y urgencia, las armas del atacante

El ataque combina ingeniería social y suplantación de confianza: los mensajes provienen de sesiones reales de WhatsApp infectadas, lo que hace que parezcan auténticos para los contactos de la víctima.

Además, los criminales incluyen la instrucción “solo puede verse desde el computador”, lo que empuja al usuario a abrir el archivo desde WhatsApp Web y facilita la ejecución del malware.

Una vez el equipo está comprometido, el troyano reenvía automáticamente el mismo mensaje a otros contactos, replicando el ciclo de infección. El malware está diseñado para robar credenciales bancarias y de plataformas de criptomonedas, pero su estructura modular permite adaptarlo a nuevos objetivos y mercados.

Cinco medidas clave para evitar la infección

Sophos recomienda a empresas y usuarios seguir una estrategia preventiva combinada entre tecnología y capacitación:

1. No abrir archivos ZIP o adjuntos recibidos por WhatsApp, incluso si provienen de contactos conocidos.

2. Desconfiar de mensajes que insisten en abrir archivos desde el computador o desde WhatsApp Web.

3. Restringir la ejecución de PowerShell en equipos no administrados o sin requerimientos técnicos.

4. Mantener las soluciones de seguridad actualizadas, con detección basada en comportamiento y no solo en firmas.

5. Capacitar a los colaboradores frente a técnicas de ingeniería social por mensajería instantánea, no solo vía correo electrónico.

Una amenaza que se expande por confianza

La investigación subraya que el ataque no explota vulnerabilidades del sistema operativo o de WhatsApp, sino comportamientos humanos, lo que lo hace especialmente difícil de mitigar sin conciencia digital.

“Los usuarios tienden a confiar en lo que reciben de sus contactos. Este tipo de amenazas aprovecha esa confianza y la transforma en el vector principal de infección”, explicó el equipo de Sophos.

Sophos instó a las organizaciones a reforzar la cultura de ciberseguridad y actualizar sus políticas de mensajería y archivos compartidos ante el crecimiento de los ataques basados en plataformas sociales empresariales.