### Nueva campaña de troyano bancario en Brasil integra malware clásico y operadores humanos en tiempo real

#### 1. Introducción

Brasil vuelve a posicionarse como uno de los principales epicentros de la ciberdelincuencia financiera. Una reciente campaña de troyano bancario ha elevado el listón, combinando técnicas de malware tradicional con la intervención directa de operadores humanos en tiempo real. Este enfoque híbrido representa una evolución significativa en la sofisticación de las amenazas del ámbito financiero, poniendo a prueba la eficacia de los sistemas de defensa y la capacidad de respuesta de los equipos de seguridad.

#### 2. Contexto del Incidente o Vulnerabilidad

Desde principios de 2024 se ha observado un aumento en los ataques dirigidos a entidades bancarias y usuarios brasileños. Grupos de ciberdelincuentes, aprovechando la elevada penetración de la banca online en el país, están desplegando nuevas variantes de troyanos bancarios. Estos ataques se caracterizan por la utilización de técnicas clásicas —ingeniería social, phishing y malware—, pero incorporan un componente novedoso: la participación activa de un operador humano que monitoriza la actividad del usuario en tiempo real para maximizar el impacto del fraude.

Este tipo de campañas no son nuevas en la región, pero la integración de operadores humanos representa un salto cualitativo en la capacidad de adaptación y persistencia de la amenaza, dificultando la detección mediante soluciones automatizadas y exigiendo una respuesta inmediata y coordinada por parte de los equipos SOC y los responsables de ciberseguridad.

#### 3. Detalles Técnicos

Las variantes identificadas en esta campaña suelen estar asociadas a familias de troyanos bancarios brasileños como **Grandoreiro**, **Javali** o **Guildma**, que han sido actualizadas para facilitar la toma de control remoto sobre el dispositivo infectado. La infección inicial se produce habitualmente mediante correos electrónicos de phishing con archivos adjuntos maliciosos en formato **.ZIP** o enlaces a descargas de **.MSI** o **.EXE**.

El malware, una vez ejecutado, emplea técnicas de evasión como **code obfuscation**, uso de **packers** y ejecución en memoria para dificultar su análisis forense. El troyano monitoriza la actividad del navegador y detecta cuando el usuario accede a portales bancarios específicos (IoC: hashes de archivos, dominios de C2, direcciones IP asociadas a la infraestructura de mando y control).

Cuando se identifica una sesión bancaria activa, el malware establece una conexión reversa —frecuentemente vía **VNC**, **RATs** personalizados o módulos de acceso remoto implementados en frameworks como **Metasploit**— que permite al operador humano asumir el control total del sistema. En términos de MITRE ATT&CK, la campaña hace uso de técnicas como **T1059 (Command and Scripting Interpreter)**, **T1566 (Phishing)**, **T1071 (Application Layer Protocol)** y **T1219 (Remote Access Software)**.

#### 4. Impacto y Riesgos

Según estimaciones de empresas de ciberseguridad locales, en torno al **12% de las entidades bancarias brasileñas** han sido objeto de intentos de explotación en los últimos tres meses, con un impacto que se traduce en pérdidas económicas superiores a los **20 millones de dólares** en el primer trimestre de 2024. La capacidad del operador humano para actuar en el momento exacto de la transacción permite sortear mecanismos de autenticación multifactor, realizar transferencias fraudulentas y modificar datos de cuentas bancarias en tiempo real.

El riesgo para las empresas reside no solo en la posible pérdida de fondos, sino también en la exposición de datos personales y financieros, lo que puede conllevar sanciones administrativas severas bajo marcos regulatorios como **GDPR** y la próxima **Directiva NIS2**.

#### 5. Medidas de Mitigación y Recomendaciones

Las recomendaciones para mitigar este tipo de amenazas pasan por una estrategia de defensa en profundidad:

– **Actualización continua** de soluciones antimalware y sistemas operativos.
– **Segmentación de red** y restricción de conexiones salientes hacia dominios y direcciones IP sospechosas (monitorización de IoC).
– **Formación continua** a empleados y usuarios sobre los riesgos del phishing y la ingeniería social.
– **Implementación de autenticación multifactor** robusta, preferiblemente con tokens hardware o biometría.
– **Supervisión activa** de sesiones remotas no autorizadas y análisis de anomalías en el comportamiento de los endpoints.
– **Integración de herramientas EDR/XDR** capaces de detectar patrones de acceso remoto y escalada de privilegios.

#### 6. Opinión de Expertos

Analistas de Threat Intelligence como Fabio Assolini (Kaspersky) y Rafael Murillo (Trend Micro) coinciden en que la combinación de automatización y control humano representa “un punto de inflexión en la evolución del cibercrimen financiero en América Latina”. Según sus estudios, la adaptabilidad del operador humano dificulta la respuesta automática y obliga a las organizaciones a reforzar los procesos de monitorización y respuesta ante incidentes.

#### 7. Implicaciones para Empresas y Usuarios

Para las entidades financieras, este escenario exige la revisión exhaustiva de los controles de seguridad en canales digitales y la colaboración estrecha con los CERT nacionales e internacionales. Los usuarios, por su parte, deben extremar la precaución ante correos sospechosos y desconfiar de cualquier solicitud de instalación de software o actualización fuera de canales oficiales.

A nivel corporativo, el refuerzo de los equipos SOC, la inversión en tecnologías de detección avanzada y la revisión de los procesos de respuesta ante incidentes pasan a ser prioritarios para contener amenazas de este tipo. Además, la inminente entrada en vigor de NIS2 en la UE obligará a las entidades con filiales en Europa a elevar sus estándares de resiliencia y reporte de incidentes.

#### 8. Conclusiones

La irrupción de operadores humanos en campañas de troyanos bancarios supone un reto significativo para los profesionales de la ciberseguridad. La detección temprana, la colaboración internacional y la capacitación constante serán esenciales para mitigar el impacto de estas amenazas híbridas, que previsiblemente se seguirán perfeccionando y expandiendo a otros mercados en los próximos meses.

(Fuente: www.darkreading.com)