En los últimos años se ha visto un aumento sostenido de campañas dirigidas contra entidades financieras en América Latina, y uno de los actores más destacados en ese escenario es un troyano de acceso remoto conocido como JanelaRAT. Se trata de una evolución de una herramienta previa llamada BX RAT, y su modus operandi combina técnicas tradicionales de infección con capacidades muy avanzadas de espionaje y control remoto para interceptar operaciones bancarias y datos de criptomonedas.
JanelaRAT no es un malware bruto, sino un conjunto de componentes que actúan de forma orquestada. Sus campañas han empleado desde archivos ZIP con scripts en Visual Basic, hasta instaladores MSI que se hacen pasar por software legítimo alojado en plataformas de confianza. En varios análisis se describe una secuencia en varias etapas: un archivo inicial (por ejemplo un ZIP o un instalador) descarga componentes adicionales, entre ellos un ejecutable legítimo y una DLL maliciosa, y utiliza la técnica de DLL side‑loading para ejecutar el código malicioso sin levantar sospechas inmediatas.
Los vectores de entrada han variado con el tiempo. Investigaciones públicas señalan que en las primeras detecciones se usaron VBScript integrados en adjuntos comprimidos; después las campañas evolucionaron hacia instaladores MSI que actúan como “droppers” y que además buscan persistencia creando accesos directos en la carpeta de inicio de Windows. También se ha documentado el uso de extensiones maliciosas para navegadores basados en Chromium, instaladas de forma silenciosa al modificar los parámetros de lanzamiento del navegador para incluir el interruptor --load-extension. Esa extensión actúa como una capa adicional para capturar cookies, historial, extensiones instaladas y metadatos de pestañas, y para ejecutar acciones cuando el usuario visita páginas concretas.
Una de las señas de identidad del malware es su interés por las ventanas activas del sistema. El código obtiene el título de la ventana que está en primer plano y lo compara con una lista preconfigurada de instituciones financieras. Cuando detecta una coincidencia espera un breve período —informes técnicos mencionan alrededor de doce segundos— y entonces establece un canal dedicado con su servidor de mando y control (C2) para recibir órdenes. Esa lógica permite al atacante centrarse exclusivamente en las interacciones relevantes, reduciendo el ruido y la probabilidad de ser detectado.
Las capacidades remotas de JanelaRAT son amplias y orientadas a eludir controles. Entre las órdenes que puede ejecutar se encuentran la captura de pantalla completa o de zonas específicas, la presentación de ventanas falsas que imitan diálogos bancarios para robar credenciales, el registro de pulsaciones de teclado, la simulación de movimientos y clics del ratón e incluso la inyección de teclas para navegar interfaces. El malware puede forzar el apagado del equipo, ejecutar comandos mediante cmd.exe o PowerShell, y manipular herramientas del sistema como el Administrador de tareas para tratar de permanecer oculto. También incorpora rutinas para identificar soluciones antifraude, entornos sandbox o mecanismos de automatización, y ajustar su comportamiento si detecta esas defensas.
Un detalle operativo interesante es que JanelaRAT monitoriza la actividad del usuario: calcula el tiempo transcurrido desde la última interacción y notifica al C2 si el equipo ha permanecido inactivo más de diez minutos, volviendo a informar cuando se reanuda la actividad. Esa táctica permite a los atacantes elegir el momento más oportuno para ejecutar operaciones visibles y minimizar las probabilidades de ser sorprendidos por el propietario del equipo.
Las métricas de telemetría que han publicado firmas de seguridad muestran la escala del fenómeno en la región. Por ejemplo, proveedores que analizan estas campañas han reportado decenas de miles de intentos de ataque en países como Brasil y México durante un período concreto, mientras que otras campañas han afectado con especial intensidad a naciones como Chile y Colombia. Es importante subrayar que no todas las tentativas implican un compromiso exitoso, pero la presencia y la persistencia de este actor dejan claro que los bancos y sus clientes son objetivos constantes.
El investigador y lector interesado puede profundizar en estas dinámicas en los análisis técnicos que publican las empresas de ciberseguridad; por ejemplo, el equipo de investigación de Zscaler registró las primeras apariciones de esta familia de malware en 2023 y ha documentado su evolución, y grupos como Kaspersky y otras firmas han publicado evaluaciones complementarias sobre variantes y estadísticas de incidencia. Para entender las técnicas que utiliza, como la captura de entradas o la toma de pantallas, conviene consultar recursos técnicos de referencia en los que se clasifican estas capacidades y sus contramedidas (Zscaler Research, Kaspersky Lab, y las descripciones de tácticas en la base de conocimiento de MITRE Input Capture y Screen Capture).
Para usuarios y responsables de seguridad en entidades financieras las implicaciones son claras: es necesario un enfoque en capas que incluya educación para detectar correos de phishing (por ejemplo, facturas falsas que inducen a descargar archivos), controles rigurosos sobre la procedencia e integridad de instaladores, el endurecimiento de navegadores y extensiones, y la monitorización de comportamiento inusual en endpoints y tráfico de salida. Las organizaciones también deben revisar sus políticas de despliegue de software para evitar que instaladores no verificados se propaguen desde repositorios aparentemente legítimos.
No hay una única cura milagrosa, pero sí medidas prácticas que reducen mucho el riesgo. Mantener sistemas y navegadores actualizados, comprobar firmas digitales de instaladores, usar multifactor para accesos sensibles, aplicar soluciones EDR/antimalware con detección de comportamiento y segmentar redes para limitar lo que un agente malicioso puede alcanzar son pasos concretos. Si se sospecha de una infección, la respuesta temprana —aislar el equipo, analizar la persistencia y los canales de comunicación y, si procede, reimprimir el sistema— reduce el impacto.
Lo que deja en evidencia la trayectoria de JanelaRAT es que los atacantes latinoamericanos y globales invierten en la sofisticación de sus herramientas y en la adaptabilidad de sus cadenas de infección. La combinación de técnicas de ingeniería social, abuso de mecanismos legítimos del sistema y extensiones maliciosas crea una superficie de ataque amplia. Mantenerse informado mediante fuentes especializadas y adoptar defensas basadas en comportamiento es hoy la mejor forma de proteger tanto a las instituciones bancarias como a sus clientes frente a esta amenaza.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...