América Latina vuelve a estar en el radar del cibercrimen. Un reciente informe de Kaspersky revela la aparición de JanelaRAT, un malware diseñado específicamente para robar información financiera y de criptomonedas, con especial énfasis en usuarios de la región.

En realidad, JanelaRAT no apareció de la nada. Se trata de una variante modificada de BX RAT, activa desde 2023, pero con mejoras. Ahora es capaz de identificar cuándo una víctima accede a sitios bancarios específicos y actuar en ese preciso momento. Además, se actualiza constantemente, incorporando nuevas funciones y refinando su capacidad de evasión.

Engaño inicial y persistencia sigilosa

La infección inicial no es precisamente la más original. Comienza con un correo que simula ser una factura pendiente y desde ahí el usuario es llevado a descargar archivos aparentemente inofensivos.

En términos simples, se descarga un archivo comprimido, se ejecutan scripts ocultos y, finalmente, se instala el malware real en el sistema. Las versiones más recientes han simplificado este proceso, reduciendo pasos para hacer la infección más rápida y difícil de detectar.

Una vez dentro del sistema, JanelaRAT se asegura de ejecutarse cada vez que el usuario inicia sesión, sin levantar sospechas.

Además, utiliza técnicas para ocultarse:

• Nombres de archivos disfrazados

• Uso de programas legítimos para cargar código malicioso

• Redirecciones a páginas “normales” para simular que todo funciona correctamente

Espionaje, control en tiempo real, engaños sofisticados y comunicación constante

Aquí es donde la amenaza se vuelve más seria. JanelaRAT no solo roba datos, también vigila activamente lo que hace el usuario.

Algunas de sus capacidades:

• Monitorear actividad en el equipo

• Detectar cuándo el usuario entra a su banco

• Registrar teclas y movimientos del mouse

• Tomar capturas de pantalla

• Ejecutar comandos de forma remota

Incluso puede interactuar en tiempo real con la sesión bancaria, lo que va más allá del robo de contraseñas (ya de por sí muy peligroso).

Uno de los aspectos más sofisticados es su sistema de “pantallas falsas”.

Cuando detecta que el usuario está en su banco, el malware puede mostrar ventanas que imitan interfaces bancarias, simular actualizaciones de Windows o directamente bloquear la interacción real del usuario.

El objetivo es robar credenciales, tokens y códigos de autenticación, incluso aquellos protegidos con doble factor.

Mientras todo esto ocurre, el malware mantiene contacto con servidores remotos que cambian constantemente, lo que dificulta su bloqueo.

En estos contactos se reporta información del sistema infectado, se indica si hay software de seguridad bancaria instalado y se permite a los atacantes decidir cuándo intervenir. Incluso detecta si el usuario está activo o no, lo que facilita ataques en momentos estratégicos.

Brasil y México, los principales objetivos

Los datos son contundentes sobre los países más afectados:

• 14.739 ataques detectados en Brasil en 2025

• 11.695 ataques en México en el mismo período

Aunque estas cifras se concentran en esos países, el enfoque del malware es claramente regional, lo que pone en alerta a toda América Latina.

De hecho, uno de los aspectos más destacados de JanelaRAT es que no es estático. Cada nueva versión muestra mejoras en métodos de infección, técnicas de evasión y capacidades de control remoto.

Y en cada una de esas nuevas versiones, puede que los objetivos también se actualicen. El cibercrimen en la región se está profesionalizando y especializando, por lo que la alerta debe tomarse a nivel continental.

Conclusión: una amenaza seria

JanelaRAT representa una amenaza seria porque combina ingeniería social, sigilo técnico y manipulación en tiempo real. No se limita a robar datos, busca controlar la experiencia del usuario para maximizar el fraude.

Para las organizaciones, una de las recomendaciones de Kaspersky es bloquear servicios de DNS dinámico, ya que es una de las vías que utiliza este malware para comunicarse con sus operadores.

Para los usuarios, recordar una y otra vez que la primera línea de defensa sigue siendo la precaución frente a correos sospechosos y descargas indeseadas.