En México, de acuerdo con la “Encuesta Nacional sobre Disponibilidad y Uso de Tecnologías de la Información en los Hogares (ENDUTIH) 2023” del Instituto Nacional de Estadística y Geografía (INEGI), más del 76% de la población usuaria de internet realiza actividades en línea, incluyendo operaciones financieras. Este nivel de adopción de la banca digital convierte al país en un objetivo atractivo para campañas de fraude bancario.
En este contexto, una nueva generación de malware está redefiniendo el ataque. Ahora ya no se limita a robar contraseñas, los atacantes intervienen directamente las sesiones bancarias en tiempo real, incluso después de que el usuario ha iniciado sesión de forma legítima. Una de las amenazas más representativas de esta evolución cibercrímenes de fraude financiero es JanelaRAT.
El objetivo principal del JanelaRAT, es ejecutar transacciones fraudulentas sin levantar sospechas, manipulando lo que el usuario ve en pantalla. A diferencia del malware tradicional, que se limita al robo de credenciales, este malware permite a los atacantes tomar el control de la sesión bancaria en tiempo real. Esto les brinda la capacidad de manipular operaciones directamente y, en muchos casos, evadir mecanismos de autenticación multifactorial (MFA), lo que eleva considerablemente el nivel de riesgo.
A lo largo de este artículo, exploraremos cómo funciona este malware, qué técnicas utiliza para evadir controles como la autenticación multifactorial, por qué México es un objetivo prioritario y qué medidas pueden ayudar a los usuarios individuales y a las empresas a reducir el riesgo de fraude.
¿Qué es JanelaRAT? Lo que hay que saber del malware de fraude financiero
JanelaRAT es un troyano de acceso remoto (RAT), es decir, un software malicioso que permite a un atacante controlar tu computadora a distancia. A diferencia del malware tradicional (que roba contraseñas y se retira), JanelaRAT permanece activo durante tu sesión bancaria.
Esto le permite hacer algo mucho más peligroso: manipular lo que ves en pantalla mientras ejecuta operaciones fraudulentas en segundo plano.
Por ejemplo, un usuario entra a su banca en línea para revisar su saldo… introduce su contraseña y valida un código SMS. Desde su perspectiva, todo funciona correctamente, todo parece normal. Sin embargo, en segundo plano, el atacante está realizando una transferencia. La víctima no detecta nada hasta que el dinero ya salió de su cuenta.
Recapitulando, los RAT modernos permiten al atacante controlar el dispositivo de la víctima en tiempo real. Esto implica que, mientras una persona accede a su banca en línea:
- El atacante puede observar la sesión en vivo.
- Interactuar con el navegador.
- Ejecutar transacciones sin interrumpir la experiencia visible del usuario.
Capacidades clave de JanelaRAT: cómo opera este malware bancario
Las técnicas utilizadas por este tipo de malware JanelaRAT combina múltiples técnicas avanzadas que lo convierten en una amenaza crítica:
1.- Secuestro de sesión (Session Hijacking): el atacante “se cuela” en tu sesión activa sin necesidad de volver a iniciar sesión.
2.- Web injects (inyección en navegador): modificación del contenido de una página web en tiempo real. Por ejemplo, puede cambiar el número de cuenta destino sin que lo notes.
3.- Overlay fraud (pantallas superpuestas): muestra una pantalla falsa encima de la original para ocultar actividades maliciosas.
4.- Keylogging: registro de todo lo que escribes en el teclado.
5.- Robo de cookies y tokens: captura de archivos que mantienen tu sesión activa sin pedir contraseña.
6.- Control remoto completo del equipo (endpoint): el atacante opera tu dispositivo como si estuviera frente a él.
7.- Evasión de MFA (autenticación multifactorial): intercepta o reutiliza códigos SMS o tokens.
¿Cómo se propaga JanelaRAT?
El uso de estos vectores está alineado con el informe Cost of a Data Breach 2024 de IBM Security, que identifica al phishing como uno de los principales puntos de entrada en incidentes de seguridad:
- Phishing dirigido: Correos electrónicos diseñados para parecer legítimos (facturas, paquetería o software).
- Archivos maliciosos: Incluidos dentro de los correos como archivos comprimidos (.ZIP) con scripts maliciosos (como VBS) de descarga y ejecución involuntaria.
- DLL Sideloading: Técnica donde el malware se oculta dentro de programas legítimos. El antivirus confía en la aplicación, pero ejecuta código malicioso sin detectarlo.
- Ingeniería social avanzada: Se refiere a la manipulación del usuario mediante instrucciones engañosas, como, por ejemplo, el uso de CAPTCHAs falsos (pruebas diseñadas para verificar que eres humano) que en realidad inducen a ejecutar comandos peligrosos paso a paso.
- Descargas maliciosas: Software pirata, cracks o sitios web comprometidos que instalan el malware sin que el usuario lo perciba.
Ciberataques financieros en México 2026: campañas activas, tendencias y riesgos
México se ha consolidado como uno de los principales objetivos de malware financiero en América Latina, impulsado por el crecimiento de la banca digital y los pagos móviles. De acuerdo con reportes recientes de Kaspersky, el país registró 11 mil 695 intentos de infección vinculados a malware bancario tipo JanelaRAT durante 2025, una cifra que confirma la intensidad de las campañas activas y su continuidad hacia 2026.
A nivel regional, la tendencia es clara: los troyanos bancarios no solo siguen presentes, sino que evolucionan hacia ataques más dirigidos, automatizados y difíciles de detectar. En su informe de predicciones, Kaspersky advierte que para 2026 veremos campañas más sofisticadas, con malware capaz de adaptarse dinámicamente, distribuirse por canales cotidianos como WhatsApp y enfocarse en sistemas de pago digitales.
Las campañas de malware financiero activas en México no solo han aumentado en volumen, sino también en nivel de sofisticación. Esta evolución refleja un cambio importante en el panorama de la ciberseguridad: ya no se trata únicamente de robar credenciales, sino de tomar control del proceso completo.
A continuación, se presentan algunas de las principales tendencias que están marcando estos ataques:
- Presencia activa de variantes como JanelaRAT v33: Estas versiones ofrecen control remoto avanzado del dispositivo, permitiendo a los atacantes monitorear y ejecutar acciones en tiempo real sin ser detectados fácilmente.
- Uso de overlays en tiempo real: Se superponen interfaces falsas que imitan la banca legítima, engañando al usuario para capturar credenciales y datos sensibles.
- Robo de tokens de autenticación multifactorial (MFA): El malware intercepta o solicita estos códigos en el momento exacto, permitiendo validar accesos o transacciones fraudulentas.
- Control remoto durante sesiones bancarias: Los atacantes aprovechan sesiones activas para ejecutar operaciones directamente, haciendo que parezcan legítimas ante el banco.
Ciberataques financieros en México 2026: malware bancario e inteligencia artificial
JanelaRAT no opera de forma aislada; forma parte de un ecosistema más amplio de amenazas financieras que combinan distintas herramientas, vectores de ataque y, cada vez más, el uso de inteligencia artificial. Esta convergencia permite a los ciberdelincuentes escalar sus operaciones y hacerlas más creíbles y efectivas, como lo advierten análisis recientes del Foro Económico Mundial en su informe Global Cybersecurity Outlook 2026.
Por su parte, investigaciones recientes de Kaspersky y análisis reportados en medios especializados como Expansión han documentado campañas activas de Horabot, un malware bancario con fuerte presencia en América Latina, incluido México. De acuerdo con sus reportes técnicos, esta amenaza destaca por su capacidad de propagación automática y por el uso de cuentas legítimas para expandirse, lo que incrementa significativamente su efectividad.
Horabot se distribuye a través de correos electrónicos comprometidos, se reenvía a contactos reales de la víctima (incrementando su credibilidad) y permite a los atacantes extraer credenciales bancarias y datos financieros sensibles, consolidándose como una amenaza especialmente efectiva en entornos corporativos y personales.
Aunque tanto Horabot como JanelaRAT pueden parecer malwares con una operación técnica similar, JanelaRAT responde a una lógica de ataque más sofisticada y dirigida. Mientras Horabot se enfoca en la propagación masiva y el acceso inicial, JanelaRAT actúa como una herramienta de control avanzado: permite monitorear la actividad del usuario, registrar pulsaciones, capturar pantallas y manipular sesiones bancarias en tiempo real, incluso mediante técnicas como overlays y secuestro de sesión.
En términos prácticos, la diferencia es clara: Horabot abre la puerta del ataque (expandiéndose rápidamente a través del correo electrónico), mientras que JanelaRAT entra y opera dentro del sistema, ejecutando el fraude directamente durante la sesión bancaria.
Uso de inteligencia artificial en ataques
El uso de inteligencia artificial en ciberataques está creciendo de forma acelerada. El Foro Económico Mundial señala que la IA se ha convertido en un factor clave para la evolución del fraude digital, facilitando ataques más sofisticados, automatizados y difíciles de detectar.
Entre las principales tendencias destacan:
- Correos de phishing altamente personalizados y sin errores gramaticales.
- Suplantación de identidad más convincente (bancos, fintech, proveedores).
- Ataques dirigidos con información contextual del usuario.
¿Cómo protegerte de JanelaRAT? Guía 2026 con medidas clave para usuarios y empresas
La mejor defensa contra amenazas como JanelaRAT combina prevención, monitoreo y hábitos digitales seguros. Debido a que este malware suele propagarse mediante correos fraudulentos, archivos adjuntos maliciosos y descargas engañosas, tanto usuarios como empresas deben fortalecer sus controles de seguridad.
A continuación, te damos una serie de recomendaciones para usuarios finales:
Los ciberdelincuentes suelen aprovechar el sentido de urgencia para engañar a las víctimas. Por ello, es importante adoptar medidas básicas pero efectivas como:
- Evita abrir archivos adjuntos sospechosos, incluso si aparentan provenir de paqueterías, bancos o instituciones conocidas.
- No descargues programas desde sitios no oficiales o enlaces enviados por correo o mensajería.
- Utiliza aplicaciones bancarias oficiales en lugar del navegador web cuando sea posible.
- Activa las alertas en tiempo real para movimientos bancarios, transferencias o accesos inusuales.
- Mantén actualizado tu sistema operativo, navegador y antivirus para reducir vulnerabilidades explotables.
- Usa contraseñas robustas y autenticación multifactorial (MFA) en cuentas sensibles.
- Desconfía de mensajes alarmistas que exijan acciones inmediatas.
Por ejemplo, si recibes un correo de una supuesta empresa de mensajería indicando que tu paquete fue retenido y debes abrir un archivo ZIP para liberar la entrega, no lo abras de inmediato. Ingresa manualmente al sitio oficial de la compañía y verifica el estatus del envío. Ese simple paso puede evitar la instalación de malware bancario.
Cómo proteger a las empresas frente a JanelaRAT
En entornos corporativos, una sola infección puede derivar en robo de credenciales, fraude financiero o acceso no autorizado a sistemas críticos. Por ello, las organizaciones deben adoptar una estrategia de defensa en capas.
- Implementar soluciones EDR o XDR para detectar comportamientos anómalos y responder rápidamente.
- Bloquear scripts no autorizados, como archivos VBS, macros maliciosas y ejecuciones indebidas de PowerShell.
- Monitorear eventos sospechosos, como:
- Inyecciones en navegadores.
- Conexiones hacia servidores desconocidos.
- Creación de procesos inusuales.
- Robo de credenciales.
- Segmentar la red corporativa para limitar movimientos laterales del atacante.
- Aplicar un modelo Zero Trust, validando continuamente identidad, dispositivo y contexto.
- Capacitar al personal en phishing, ingeniería social y manejo seguro del correo electrónico.
- Respaldar información crítica y probar planes de respuesta a incidentes.
