El troyano bancario Ousaban apunta a usuarios de Windows en España y Portugal con una campaña avanzada
1. Introducción
El panorama de amenazas en la banca online de la península ibérica se ha visto alterado por la reciente detección de una campaña del troyano bancario Ousaban, dirigida específicamente a usuarios de Windows en España y Portugal. Según un informe publicado por Fortinet FortiGuard Labs en mayo de 2026, la operación destaca por su sofisticación y su orientación geográfica, aprovechando técnicas de ingeniería social y mecanismos avanzados de evasión para comprometer credenciales bancarias y facilitar el fraude financiero.
2. Contexto del Incidente
Ousaban, originario de Brasil y activo desde hace varios años en Latinoamérica, ha evolucionado para apuntar a nuevas regiones, centrándose ahora en la banca online europea, particularmente en España y Portugal. La campaña identificada explota la confianza de los usuarios en archivos PDF y recurre a la geolocalización para maximizar la tasa de éxito, evitando la exposición innecesaria del malware fuera de los países objetivo.
La elección de España y Portugal no es casual: ambos países mantienen una alta penetración de banca digital y están experimentando un aumento constante en el número de ataques de malware financiero, especialmente tras la implantación de la normativa PSD2 y el endurecimiento de los controles de autenticación.
3. Detalles Técnicos
Según el análisis de Fortinet, la campaña de Ousaban comienza con el envío masivo de correos electrónicos de phishing conteniendo archivos PDF maliciosos, disfrazados de documentos corruptos o de interés urgente. Al abrir el PDF, la víctima es inducida a descargar o ejecutar un archivo adicional, el cual está alojado de forma encubierta como una imagen (técnica de esteganografía) para eludir las soluciones de seguridad tradicionales.
El malware realiza una comprobación de la localización del sistema, asegurándose de que el usuario está físicamente en España o Portugal, mediante consultas a servicios de geolocalización o el idioma del sistema operativo. Solo si la víctima se encuentra en la región objetivo, se descarga y ejecuta la carga útil real, evitando así la exposición y el análisis innecesario fuera del scope definido.
Ousaban utiliza técnicas de inyección de formularios (form grabbing) y keylogging para interceptar credenciales bancarias antes de su cifrado SSL, así como capturas de pantalla y manipulación del navegador mediante web-injects. Se han identificado variantes que emplean técnicas de persistencia como la creación de tareas programadas y modificación del registro de Windows.
El vector MITRE ATT&CK más relevante es T1566 (Phishing), T1071 (Application Layer Protocol), T1059 (Command and Scripting Interpreter) y T1140 (Deobfuscate/Decode Files or Information). No se han publicado aún CVE específicos para esta campaña, pero se han observado exploits genéricos para vulnerabilidades conocidas en Microsoft Office y Adobe Reader.
Se han detectado indicadores de compromiso (IoC) como hashes de archivos, dominios de comando y control (C2) y patrones de tráfico cifrado poco común en conexiones salientes desde sistemas comprometidos.
4. Impacto y Riesgos
El objetivo principal de Ousaban es la obtención de credenciales de acceso a banca online, permitiendo transferencias fraudulentas, vaciado de cuentas y robo de información financiera sensible. El impacto es especialmente crítico para entidades financieras y usuarios particulares, pero también para empresas cuyos empleados gestionan cuentas corporativas desde dispositivos Windows.
Según estimaciones del sector, el malware bancario es responsable de pérdidas económicas superiores a los 200 millones de euros anuales en la región, y la sofisticación de campañas como la identificada multiplica el riesgo de brechas de seguridad, incumplimientos legales (GDPR, NIS2) y daños reputacionales.
5. Medidas de Mitigación y Recomendaciones
Para mitigar el riesgo de infección por Ousaban, se recomienda:
– Bloquear la recepción de archivos adjuntos sospechosos, especialmente PDFs de remitentes desconocidos.
– Monitorizar indicadores de compromiso (IoC) publicados por Fortinet y otros CERTs.
– Desplegar soluciones EDR y sandboxes capaces de analizar archivos con esteganografía.
– Actualizar de forma prioritaria todos los sistemas y aplicaciones con parches de seguridad recientes.
– Formar a los empleados en el reconocimiento de campañas de phishing dirigidas.
– Implementar autenticación multifactor (MFA) para accesos a banca online y cuentas críticas.
– Revisar logs de acceso y actividad anómala en cuentas bancarias corporativas.
6. Opinión de Expertos
Expertos en seguridad como Chema Alonso (Telefónica) advierten que la focalización geográfica y la sofisticación de técnicas de evasión de Ousaban muestran cómo el cibercrimen internacional está profesionalizando sus operaciones en Europa. Desde Fortinet, se subraya la importancia de compartir inteligencia sobre IoCs y de mantener mecanismos de respuesta rápida ante nuevas campañas.
7. Implicaciones para Empresas y Usuarios
Las organizaciones financieras y sus clientes deben asumir que los troyanos bancarios como Ousaban están en continua evolución y que la combinación de ingeniería social, esteganografía y evasión geográfica dificulta la protección tradicional. A nivel de cumplimiento, una brecha de este tipo puede suponer sanciones bajo GDPR y NIS2, así como la obligación de notificación a la AEPD y clientes afectados.
8. Conclusiones
La campaña de Ousaban contra usuarios de banca online en España y Portugal demuestra que los actores de amenazas latinoamericanos están expandiendo su radio de acción y adaptando sus tácticas al contexto europeo. Solo una defensa en profundidad, combinada con inteligencia actualizada y formación continua, permitirá a las empresas y usuarios mitigar el riesgo ante este tipo de amenazas avanzadas.
(Fuente: feeds.feedburner.com)
