96 red seguridad segundo trimestre 2026 opinión El panorama de la ciberseguridad en España continúa bajo el acecho de actores de amenazas altamente especializados en el sector financiero. Entre ellos, el grupo detrás del troyano bancario Casbaneiro (también conocido como Metamorfo) ha demostrado una persistencia y capacidad de adaptación notables. Recientemente, varios investigadores han detectado un repunte significativo en una campaña de malspam que utiliza un señuelo clásico, pero efectivo, mediante la suplantación de notificaciones judiciales. España, punto de mira España ha sido históricamente un laboratorio de pruebas y un objetivo prioritario para los troyanos bancarios de origen latinoamericano. Casbaneiro no es una excepción. Lo que diferencia a esta última campaña, analizada por el laboratorio de Ontinet, no es solo el uso de la ingeniería social basada en el miedo (el “pánico” ante una citación judicial), sino la sofisticación de sus métodos de entrega y evasión. A diferencia de otras estafas que buscan un pago directo mediante el engaño de la víctima para que esta introduzca datos privados en un formulario preparado para tal efecto, el objetivo aquí es el compromiso total del sistema para el posterior robo de credenciales bancarias y manipulación de sesiones de banca online. Del correo al compromiso La campaña se articula a través de correos electrónicos con un cuerpo de mensaje minimalista. Los atacantes confían ciegamente en la potencia del asunto: “Notificación Judicial Urgente”. Este enfoque reduce las sospechas al evitar textos largos que podrían contener errores gramaticales detectables por filtros de spam o por el propio usuario. El señuelo del PDF El vector de ataque inicial es un archivo PDF adjunto que imita una comunicación oficial, incluyendo el escudo de España para otorgar una falsa legitimidad. Sin embargo, los atacantes han introducido una variante actualizada que consiste en la inclusión de un código QR junto al botón de “Consultar expediente” que contiene el enlace malicioso. El uso de códigos QR (o quishing) es una táctica en auge. Permite a los atacantes mover la interacción del ordenador personal –donde pueden existir soluciones de EDR robustas– al dispositivo móvil del usuario o, simplemente, saltarse el análisis de URL de los sistemas de seguridad de correo tradicionales que no siempre procesan imágenes dentro de documentos PDF. ‘Geofencing’ y ‘sandboxes’ Una de las características más técnicas y relevantes para los profesionales de seguridad es el uso de técnicas de geofencing. Los servidores de descarga de Casbaneiro están configurados para servir el payload malicioso únicamente a direcciones IP geolocalizadas en el país al que van dirigidas las campañas, en este caso, España. Además, el proceso de descarga incluye verificaciones para asegurar que el visitante no es un bot o un sistema de análisis automatizado. Esta capa de protección dificulta algo, pero no impide, la labor de los analistas de malware y de las sandboxes automatizadas, intentando que la muestra solo llegue a víctimas reales. La cadena de infección Una vez que la víctima supera la verificación en la web de descarga o el captcha, se descarga un archivo comprimido. La estructura de este archivo revela la metodología del grupo: Ficheros HTA: el uso de aplicaciones HTML (.hta) es recurrente en Casbaneiro. Estos archivos permiten ejecuCasbaneiro, la evolución del troyano bancario en España Josep Albors Responsable de Investigación y Concienciación de ESET España
RkJQdWJsaXNoZXIy MTI4MzQz