- Un troyano bancario llamado GoPix usa anuncios falsos de WhatsApp y Google Chrome para infectar dispositivos.
- El malware realiza ataques man-in-the-middle y manipula transferencias bancarias y operaciones con criptomonedas.
- GoPix se distribuye mediante malvertising en plataformas como Google Ads y emplea técnicas avanzadas para esquivar la detección.
- Evitar anuncios sospechosos, usar solo fuentes oficiales y mantener sistemas y antivirus actualizados reduce notablemente el riesgo.
Un nuevo tipo de virus financiero está aprovechando anuncios falsos que se hacen pasar por servicios tan extendidos como WhatsApp y Google Chrome para colarse en los dispositivos de los usuarios. Bajo una apariencia totalmente legítima, este código malicioso es capaz de observar lo que haces en línea y terminar vaciando tus cuentas sin que te des cuenta a simple vista.
El malware, conocido como GoPix y de origen brasileño, ha ido ganando protagonismo desde 2023 gracias a campañas de publicidad engañosa en internet. Firmas especializadas como Kaspersky han registrado cerca de 90.000 intentos de infección hasta marzo, una cifra que evidencia que no se trata de casos aislados, sino de una operación a gran escala que también preocupa en Europa.
El virus que se esconde en anuncios de WhatsApp y Google Chrome
El corazón de esta operación es el llamado malvertising o publicidad maliciosa, una táctica en la que los ciberdelincuentes pagan o logran colar anuncios en plataformas legítimas, incluidos buscadores y redes publicitarias muy conocidas. Estos anuncios imitan a la perfección las páginas de descarga o acceso a WhatsApp, Google Chrome o incluso servicios postales, lo que hace que muchas personas pinchen sin sospechar.
En lugar de llevar al usuario al sitio oficial, los anuncios redirigen a páginas fraudulentas que copian el diseño de los servicios reales. Desde el logotipo hasta los textos, todo está pensado para que parezca una web de confianza. Sin embargo, en segundo plano se prepara la instalación del troyano bancario.
Antes de lanzar el ataque, GoPix realiza una comprobación técnica: analiza la dirección IP y otros datos del visitante mediante herramientas de reputación y verificación usadas también por empresas legítimas. Si percibe que puede tratarse de un sistema automatizado, como los entornos que utilizan los laboratorios de ciberseguridad o motores de análisis, el código se detiene y no hace nada.
Cuando confirma que está ante una víctima real, el malware sí entra en acción. El troyano se carga directamente en la memoria del dispositivo, sin dejar prácticamente archivos visibles en el disco duro, lo que complica mucho la labor de soluciones que dependen de reglas de identificación clásicas, como las firmas estáticas o detecciones basadas en YARA.
Responsables del equipo de investigación de Kaspersky en América y Europa han señalado que GoPix alcanza un nivel de sofisticación inusual para un malware originado en Brasil. La combinación de técnicas de amenazas avanzadas (APT) con campañas masivas de anuncios hace que esta familia sea especialmente preocupante para bancos, casas de cambio de criptomonedas y usuarios finales.
Qué persiguen los atacantes: control total del dinero
Una vez que el sistema ha sido comprometido, GoPix pasa a su objetivo principal: interceptar y manipular el tráfico relacionado con operaciones financieras. Para lograrlo, emplea ataques del tipo man-in-the-middle, colocándose literalmente entre el usuario y las plataformas que utiliza para gestionar su dinero.
Este enfoque le permite vigilar en tiempo real las transacciones bancarias, pagos digitales y movimientos con criptomonedas. En el contexto latinoamericano, se ha observado un especial interés por operaciones con el sistema Pix y comprobantes Boleto, pero el mismo método puede adaptarse a servicios europeos de banca en línea y pasarelas de pago habituales.
Mientras el usuario cree que está realizando una operación normal, el troyano puede modificar los datos de la transferencia, cambiar cuentas de destino o alterar importes antes de que la orden llegue al banco o al servicio de criptomonedas. El resultado es que el dinero termina en manos de los atacantes sin que el afectado lo perciba de inmediato.
Además de reorientar fondos, el malware tiene la capacidad de capturar información financiera y credenciales de acceso. Esto abre la puerta a fraudes posteriores, robos de identidad digital y venta de datos en mercados clandestinos, un escenario que preocupa particularmente a entidades financieras con presencia en Europa.
El auge de este tipo de ataques se explica por la combinación de dos factores: la creciente dependencia de servicios bancarios y de mensajería en línea, y la confianza casi automática que generan marcas reconocidas. Ese binomio facilita que el usuario baje la guardia cuando se encuentra con un anuncio que parece oficial en la página de resultados de un buscador.
Cómo logra escapar de los antivirus y otras defensas
Uno de los rasgos que más inquietan a los analistas es la capacidad de GoPix para esquivar herramientas de detección tradicionales. El hecho de ejecutarse principalmente en memoria reduce la huella que deja en el sistema, complicando tanto el análisis forense como la identificación temprana por parte de motores antivirus.
El troyano incorpora rutinas que distinguen entre un usuario real y un entorno controlado de laboratorio. Si percibe que se trata de un sistema de análisis automatizado o un sandbox, se mantiene inactivo, de modo que los especialistas obtienen la falsa impresión de estar ante un archivo inofensivo.
A ello se suma el uso de técnicas asociadas a amenazas persistentes avanzadas, como la descarga de módulos adicionales bajo demanda, la inyección de código en procesos legítimos y mecanismos de limpieza que eliminan rastros de su actividad. Todo esto hace que, una vez dentro, pueda operar durante más tiempo sin levantar sospechas.
Desde el punto de vista de la víctima, el dispositivo puede seguir funcionando con normalidad: no hay pantallas extrañas ni comportamientos claramente anómalos, más allá de alguna posible ralentización puntual. La discreción es una de las claves de su efectividad, ya que el usuario no tiene razones evidentes para pensar que algo va mal hasta que detecta movimientos irregulares en sus cuentas.
Este tipo de enfoque avanzado encaja con una tendencia más amplia del cibercrimen: aprovechar infraestructuras legítimas como la publicidad en línea y combinarla con malware de alto nivel para maximizar el impacto y reducir la probabilidad de ser detenido a tiempo.
Impacto y expansión de GoPix en el panorama internacional
Los datos recopilados por empresas de seguridad muestran que GoPix lleva activo desde 2023 y continúa en expansión. Solo hasta marzo se han documentado decenas de miles de intentos de infección, y todo apunta a que los operadores detrás del troyano siguen ajustando sus campañas para llegar a nuevos mercados.
En América Latina ya se ha consolidado como una de las amenazas financieras más relevantes del entorno brasileño, especialmente por su interés en sistemas de pago de uso masivo. No obstante, la técnica utilizada —malvertising sobre marcas globales como WhatsApp y Google Chrome— facilita que el mismo esquema pueda replicarse en Europa con apenas ligeros cambios.
Para los usuarios de la Unión Europea, el riesgo no se limita al robo directo de dinero. La filtración de datos personales y bancarios puede acarrear problemas añadidos, como la apertura de líneas de crédito fraudulentas, suplantación de identidad o intentos de extorsión posteriores.
Las entidades financieras europeas y plataformas de intercambio de criptomonedas ya vigilan con atención este tipo de campañas. El uso de anuncios en buscadores como puerta de entrada obliga también a las grandes tecnológicas a reforzar sus filtros de verificación para evitar que páginas maliciosas se cuelen entre los resultados patrocinados.
En este contexto, expertos en ciberseguridad insisten en que una parte esencial de la defensa pasa por mejorar la educación digital de los usuarios, ya que buena parte de los ataques se siguen apoyando en pequeños descuidos al hacer clic en enlaces que parecen fiables pero no lo son.
Claves para no caer en el fraude de los anuncios con virus
Frente a una amenaza tan sigilosa, la primera recomendación es aplicar cierto escepticismo ante cualquier anuncio que prometa descargas rápidas, versiones especiales o ventajas poco creíbles de servicios como WhatsApp o Google Chrome. Si algo suena demasiado bien, lo más prudente es desconfiar.
Los especialistas insisten en que las aplicaciones deben descargarse siempre desde fuentes oficiales: la tienda de aplicaciones del sistema operativo, la web corporativa del proveedor o canales verificados. Instalar programas desde páginas de aspecto dudoso o enlaces acortados procedentes de anuncios aumenta de forma notable el riesgo.
Otra medida básica, pero efectiva, es mantener el sistema operativo, el navegador y el resto de aplicaciones al día. Las actualizaciones corrigen vulnerabilidades que los ciberdelincuentes aprovechan para ejecutar código malicioso, por lo que posponerlas indefinidamente deja la puerta entreabierta a infecciones de este tipo.
También resulta recomendable contar con soluciones de seguridad confiables y correctamente actualizadas, que incorporen módulos específicos para proteger operaciones bancarias y transacciones en línea. Aunque ninguna defensa es infalible, estas herramientas añaden capas adicionales de protección frente a troyanos financieros avanzados.
Por último, conviene verificar cuidadosamente la dirección web antes de introducir datos sensibles. Un ligero cambio en el nombre de dominio, errores de ortografía o la ausencia de certificados válidos pueden delatar una página falsa. Tomarse unos segundos para revisar estos detalles puede marcar la diferencia entre una sesión segura y un acceso comprometido.
La combinación de anuncios falsos que imitan a WhatsApp o Google Chrome, técnicas avanzadas de evasión y un enfoque directo al dinero ha convertido a GoPix en uno de los ejemplos más claros de cómo evoluciona el fraude digital. Adoptar hábitos de navegación prudentes, desconfiar de los atajos y apoyarse en herramientas de seguridad actualizadas se ha vuelto imprescindible para mantener a salvo tanto el bolsillo como la información personal.
