Virus Maverick: el troyano que controla WhatsApp Web y roba datos bancarios

Alerta ciberseguridad: virus Maverick afecta a miles de ordenadores vía WhatsApp Web

Un nuevo virus informático de gran sofisticación está en circulación y representa una amenaza real para quienes utilizan la versión de escritorio de WhatsApp —conocida como WhatsApp Web— en sus ordenadores. Bajo el nombre de Maverick, este troyano bancario ha sido detectado en Brasil y ya acumula decenas de miles de intentos de infección.

Qué se sabe hasta ahora

La empresa de ciberseguridad Kaspersky ha revelado que su sistema de detección bloqueó más de 62.000 intentos de infección de Maverick durante los primeros diez días de octubre de 2025 en Brasil. El ataque se dirige a usuarios de ordenador con teclado en portugués brasileño, sistema configurado con formato de fecha típico de Brasil —lo que indica una selección geográfica especializada.

El vector de propagación es doble: por un lado, se envía a través de WhatsApp Web un archivo comprimido (.zip) que contiene un acceso directo (.lnk) malicioso; por otro, el propio archivo infectado, una vez ejecutado, hace uso de la sesión de WhatsApp Web del usuario para reenviar-se automáticamente a todos los contactos de la víctima, lo que multiplica su difusión.

Una vez instalado, el troyano monitoriza el ordenador: captura pulsaciones, realiza capturas de pantalla, carga páginas falsas de bancos o de plataformas de criptomonedas para robar credenciales, y dirige transmisiones automáticas desde el navegador que infecta.

Según el análisis, el malware se basa en el proyecto open-source WPPConnect para manipular la sesión de WhatsApp Web, lo que le permite enviar los mensajes infectados desde la cuenta de la víctima como si fuera un usuario legítimo.

También se ha identificado que Maverick comparte líneas de código con otro troyano brasileño llamado Coyote, lo que sugiere que podría tratarse de un desarrollo de la misma autoría o de un grupo estrechamente conectado.

¿Por qué es relevante para usuarios en España?

Aunque el ataque se haya detectado principalmente en Brasil, la incidencia de este tipo de amenazas hace que cualquier persona que use versiones de escritorio de aplicaciones de mensajería quede expuesta. Además, en España se observa una creciente integración entre tecnología, salud digital y bienestar psicológico: la seguridad online tiene implicaciones tanto en lo técnico como en lo emocional.

El hecho de que un malware pueda propagarse utilizando la cuenta de un usuario conocido aumenta la confianza tácita del receptor del archivo y reduce las barreras de cautela. Desde el punto de vista psicológico, la llamada “autoridad” o “confianza” que se deposita en un contacto cercano puede facilitar que se abra un archivo no previsto. Si un usuario incumple esta precaución, no solo puede perder datos bancarios: también puede sufrir estrés, ansiedad o miedo al uso de la tecnología, lo que repercute en su salud digital.

Asimismo, en un contexto donde muchas personas trabajan desde casa o combinan ocio, banca y comunicación en un mismo ordenador, la convergencia de usos aumenta la vulnerabilidad: un ataque que antes podía afectar únicamente al ámbito tecnológico, ahora se extiende al psicológico (por la sensación de vulnerabilidad) y al de la salud (por el impacto del robo de identidad, pérdidas económicas o necesidad de restaurar sistemas).

Cómo funciona el ataque línea a línea

1. El usuario recibe un mensaje en WhatsApp Web de un contacto ya conocido (o al menos de su lista de contactos) con un archivo adjunto con extensión .zip, acompañado de un texto que suele indicar algo como “Visualización permitida sólo en ordenadores” u otra frase que invite a la curiosidad o urgencia.
2. El archivo zip contiene un acceso directo con extensión .lnk que, al ser ejecutado, inicia el malware. En el caso de Maverick, se verifica que el sistema esté configurado en Brasil: idioma, teclado, formato de fecha, etc. Si no cumple estos requisitos, el malware simplemente no se activa.
3. Una vez activado, el malware se instala en memoria (sin dejar huella en disco en muchos casos) y hace: captura de pantalla, registro de teclas, control del navegador, bloqueo de pantallas o aparición de páginas falsas que imitan bancos o exchanges de criptomonedas. El objetivo es robar credenciales y tokens de acceso.
4. Luego, mediante el uso de la sesión del usuario en WhatsApp Web (o la funcionalidad automatizada sobre ella), el malware envía el mismo archivo infectado a todos los contactos de la víctima, lo que convierte la cuenta comprometida en un punto de propagación.
5. Finalmente, los atacantes pueden acceder a cuentas bancarias, operar con criptomonedas o vender los datos recopilados en mercados ilícitos. También pueden usar las credenciales para secuestro de cuentas, suplantación de identidad o fraude.

Medidas de prevención y salud digital

Para usuarios en España y en cualquier entorno con conexión a mensajería web, estas son las principales recomendaciones:

• No abrir de inmediato archivos .zip o accesos directos .lnk recibidos por mensajería, incluso si provienen de un contacto conocido. Confirme directamente con la persona que lo envió que era intencionado.
• Desactive la descarga automática de archivos en versiones web de mensajería, o al menos asegúrese de desactivar la ejecución automática de accesos directos.
• Mantenga actualizado el sistema operativo, navegador y software antivirus con firmas recientes. En entornos de salud digital, la actualización es clave para mitigar vulnerabilidades emergentes.
• Revise las sesiones activas de WhatsApp Web (en la versión de escritorio) y cierre aquellas que no reconozca.
• Active la verificación en dos pasos (2FA) en servicios bancarios, de criptomonedas, correo electrónico y mensajería, incrementando la barrera de acceso indevido.
• En el ámbito psicológico, conviene reconocer que un ataque informático puede generar ansiedad o sensación de vulnerabilidad: si se sufre una incidencia, es recomendable hacer pausas, buscar asesoramiento técnico y, si procede, apoyo emocional.
• Si se sospecha de infección: desconecte el ordenador de Internet, cierre sesión de WhatsApp Web, cambie contraseñas desde un dispositivo limpio y póngase en contacto con su entidad bancaria para bloquear movimientos sospechosos.

Conclusión

La aparición del troyano Maverick evidencia que los ciberdelincuentes están perfeccionando sus métodos: no sólo usan ingeniería social (mediante WhatsApp), sino que explotan la confianza del usuario, las versiones web de aplicaciones populares y mecanismos automáticos de propagación. Aunque por ahora la mayoría de los datos disponibles se refieren a Brasil, la naturaleza del ataque debe alertar a usuarios en España y otros países sobre la necesidad de mantener una higiene digital rigurosa y una salud digital consciente. El uso seguro de la tecnología pasa por una combinación de herramientas (antivirus, sistemas actualizados), procesos (cierre de sesiones, doble autenticación) y, sobre todo, por una actitud de atención y prevención frente a lo inesperado.