No se trata de una hipótesis ni de un análisis de laboratorio: es una sesión real contra un servidor de comando y control. Los datos que compartió permiten entender con bastante claridad cómo está operando este malware en la práctica.

La campaña, identificada con el tag DINERO, apunta directamente a usuarios de banca digital en la región. Entre los objetivos aparecen entidades como Bancolombia, Davivienda, BBVA, Banco de Bogotá, Itaú, Pichincha, además de plataformas como Mercado Libre y Mercado Pago, junto con al menos otras 28 instituciones financieras de Colombia y Latinoamérica. Durante la sesión, el operador envió a la víctima un archivo comprimido de unos 6.2 MB que contenía 71 imágenes correspondientes a 36 bancos distintos. Ese detalle no es menor: habla de un kit preparado, mantenido y claramente orientado a múltiples objetivos.

A nivel técnico, el funcionamiento es tan simple como efectivo. El malware monitorea qué aplicación está utilizando el usuario en cada momento mediante funciones como GetForegroundWindow(). Cuando detecta que se abre una app bancaria, compara el contexto con una lista interna de objetivos y, si hay coincidencia, ejecuta un overlay utilizando ventanas superpuestas con propiedades como HWND_TOPMOST y WS_EX_LAYERED. Traducido: espera a que abras tu banco y se coloca por encima, imitando la interfaz real.

Ese es el núcleo del ataque. Y también la razón por la que funciona tan bien.

Qué es NexusRAT

NexusRAT es un troyano bancario para Android con capacidades de acceso remoto completo. No se limita a robar credenciales; toma control del dispositivo y puede operar en nombre del usuario. Para lograrlo, abusa de funcionalidades legítimas del sistema operativo, especialmente los servicios de accesibilidad, que le permiten observar e interactuar con lo que sucede en pantalla.

Además de los ataques por superposición, puede interceptar mensajes SMS, incluyendo códigos de autenticación de dos factores, y ejecutar acciones de forma remota. En la práctica, esto significa que el atacante no solo obtiene acceso, sino que puede realizar operaciones como si fuera la víctima, desde su propio teléfono.

No es un malware nuevo, pero sí es uno que está evolucionando con rapidez y adaptándose a contextos específicos. La campaña en Colombia es una prueba clara de eso.

Cómo funciona el ataque

El punto de entrada suele ser bastante común. El usuario recibe un mensaje por email, SMS o WhatsApp con un enlace, o instala una aplicación falsa que aparenta ser legítima. Puede ser una app bancaria, una actualización o incluso un servicio cualquiera. No hay nada particularmente sofisticado en esta etapa; funciona porque alguien confía y hace clic.

Una vez instalado, el malware solicita permisos críticos. Entre ellos, acceso a servicios de accesibilidad, lectura de SMS y ejecución en segundo plano. Si el usuario los concede, el atacante obtiene un nivel de control que cambia completamente el escenario.

A partir de ahí, NexusRAT no actúa de inmediato. Se mantiene en espera, observando el comportamiento del usuario. Cuando detecta que se abre una aplicación de interés, como una app bancaria, activa el mecanismo de ataque. Utiliza los recursos previamente cargados, esas decenas de imágenes específicas para cada banco, y despliega una interfaz falsa que se superpone a la original.

Desde el punto de vista del usuario, no hay señales evidentes de que algo esté mal. La app se ve igual, responde igual y solicita los mismos datos. Pero todo lo que se ingresa va directo al atacante.

En ese momento, el control ya está perdido. Con credenciales y acceso al dispositivo, el malware puede interceptar códigos de verificación y ejecutar operaciones sin necesidad de intervención adicional.

El punto clave: el banco no está comprometido

Este tipo de ataque expone un problema que muchas veces se pasa por alto. El banco puede tener una infraestructura segura, controles robustos y buenas prácticas implementadas, y aun así el cliente puede perder todo.

NexusRAT no ataca servidores ni vulnera sistemas bancarios. Ataca el dispositivo del usuario. Y desde ahí, opera como si fuera legítimo.

Eso cambia completamente el modelo mental. Ya no se trata solo de proteger sistemas, sino de entender que el punto más débil está fuera del perímetro tradicional.

Por qué funciona tan bien

La efectividad de este tipo de malware no depende de técnicas avanzadas ni de vulnerabilidades desconocidas. Depende de algo mucho más predecible: el comportamiento humano.

El usuario confía en lo que ve. Si la interfaz es convincente, si el flujo es el esperado, no hay una razón evidente para sospechar. A eso se suma que muchas personas instalan aplicaciones fuera de tiendas oficiales sin evaluar los riesgos, o conceden permisos sin entender su impacto.

Pero hay otro factor que se vuelve cada vez más evidente. Este tipo de malware está siendo desarrollado y operado con lógica de producto. La cantidad de bancos soportados, el nivel de personalización, la segmentación geográfica y hasta el uso de etiquetas de campaña indican que no estamos frente a ataques aislados, sino frente a operaciones organizadas que iteran, mejoran y escalan.

Latinoamérica como campo de pruebas

No es casual que este tipo de campañas aparezcan con fuerza en países de Latinoamérica. La combinación de alta adopción de banca móvil, menor nivel de concientización en seguridad y menor control sobre los dispositivos crea un entorno ideal para este tipo de ataques.

En muchos casos, la región funciona como un laboratorio donde los atacantes prueban técnicas, ajustan estrategias y perfeccionan sus herramientas antes de escalar a otros mercados.

Qué implica esto

El problema ya no es únicamente técnico. Es estructural.

Para las empresas, especialmente las financieras, implica aceptar que el riesgo no termina en su infraestructura. El dispositivo del cliente forma parte del modelo de amenaza, aunque no esté bajo su control directo. Y eso obliga a repensar mecanismos de autenticación, monitoreo y detección.

Para los usuarios, implica entender que la seguridad no depende solo del banco. Decisiones aparentemente simples, como instalar una aplicación o conceder un permiso, pueden abrir la puerta a este tipo de ataques.

No hackean al banco, te hackean a vos

NexusRAT no es relevante por una innovación técnica revolucionaria. Es relevante porque refleja un cambio de enfoque.

Ya no hace falta comprometer sistemas complejos cuando se puede operar desde el dispositivo del usuario.

Y en ese contexto, la pregunta deja de ser si la infraestructura es segura.

La pregunta real es qué tan expuesto está el usuario que la utiliza.