La Amenaza que Finge ser Humana: Herodotus, el Troyano que Imita Patrones de Comportamiento para Vaciar Cuentas
En el ámbito de la ciberseguridad, creíamos haber desarrollado defensas sólidas. Hemos construido murallas digitales y sistemas biométricos que analizan nuestras huellas, rostros e incluso la cadencia de nuestro tecleo.
Confiábamos en una inteligencia artificial guardiana, capaz de diferenciar la acción de un script automático de la intervención legítima de un usuario. Pero estábamos equivocados.
El 2025 será recordado como el año en que los depredadores digitales no solo aprendieron a forzar la cerradura, sino que aprendieron a replicar nuestros patrones de comportamiento, llegando incluso a simular nuestra forma de escribir.
Un nuevo actor ha entrado en escena, un troyano bancario para Android bautizado con el nombre de Herodotus. Y no es un caso aislado; representa la vanguardia de una nueva filosofía criminal que busca humanizar el fraude, convirtiendo nuestras herramientas de defensa más avanzadas en sus cómplices involuntarios.
La noticia, revelada por los investigadores de ciberseguridad de la firma holandesa ThreatFabric, es un informe de batalla desde trincheras activas. Herodotus ya está en plena campaña, con operaciones confirmadas dirigidas a usuarios bancarios en Italia y Brasil, y con la mira puesta en un horizonte mucho más amplio. Lo que estamos presenciando va más allá de un simple robo de credenciales; es el perfeccionamiento del ataque de toma de control total del dispositivo (DTO, por sus siglas en inglés), ejecutado con una paciencia y un sigilo alarmantes.
Este análisis profundiza en la anatomía de Herodotus, su inquietante linaje, su modelo de negocio criminal y, fundamentalmente, la técnica que lo distingue: su capacidad para simular el comportamiento humano y engañar a los guardianes biométricos que debían protegernos.
La Génesis de un Depredador: El Modelo MaaS y la Sombra de Brokewell
Lejos de ser la obra de un lobo solitario, Herodotus es un producto comercial, un arma disponible para alquilar. Su aparición se registró por primera vez en foros clandestinos el 7 de septiembre de 2025, empaquetado bajo el prolífico modelo de “Malware como Servicio” (MaaS). Esto democratiza el cibercrimen de alto nivel. Ya no se requiere ser un genio de la codificación para lanzar un ataque devastador; solo se necesita tener los fondos para alquilar la infraestructura de Herodotus y su soporte técnico.
Los creadores de Herodotus, que operan bajo seudónimos en la dark web, promocionan su creación con una lista de características alarmante: compatibilidad total con versiones de Android 9 hasta la entonces futurista versión 16. Esto garantiza un rango de víctimas que abarca desde dispositivos antiguos sin parches hasta los más modernos.
Pero Herodotus no nació de la nada. Los analistas de ThreatFabric señalan que, si bien carece de una evolución directa, comparte un ADN inconfundible con otro infame troyano bancario que causó estragos a principios de 2024: Brokewell. Las similitudes son demasiado evidentes para ser coincidencias.
Utilizan técnicas de ofuscación de código similares, y, lo más revelador, se han encontrado referencias directas como “BRKWL_JAVA” dentro del código de Herodotus.
Esto pinta un cuadro de un ecosistema criminal que itera, que aprende y que practica el “código abierto” delictivo. Los desarrolladores de Herodotus probablemente tomaron la base de Brokewell —conocido por sus capacidades avanzadas de superposición (overlay) y control remoto— y la refinaron, añadiendo la capa de mimetismo humano que lo hace tan peligroso. Es la evolución natural del malware: una versión más inteligente y sigilosa, diseñada para un nuevo tipo de guerra.
El Vector de Infección: El Abuso de Confianza y el “Permiso Total”
Como la mayoría de las infecciones móviles exitosas, la puerta de entrada de Herodotus trasciende la mera vulnerabilidad de día cero para enfocarse en el eslabón más débil de cualquier cadena de seguridad: el usuario.
La campaña comienza con un clásico, aunque efectivo, SMiShing (phishing por SMS). La víctima recibe un mensaje de texto que infunde urgencia: un problema con su cuenta bancaria, una actualización de seguridad crítica o, irónicamente, una advertencia de actividad sospechosa.
El enlace dirige al usuario a descargar una aplicación (un archivo APK) fuera de la tienda oficial de Google Play.
Aquí es donde la ingeniería social brilla. El malware se disfraza de algo confiable. En Italia, se ha hecho pasar por una supuesta app de seguridad llamada “Banca Sicura” (Banco Seguro).
En Brasil, adoptó la identidad de “Modulo Seguranca Stone”, pretendiendo ser un módulo de seguridad para un popular proveedor de pagos local. En otros casos, simplemente se disfraza de una actualización de Google Chrome (con el nombre de paquete “com.cd3.app”).
Una vez instalada, la aplicación solicita un único permiso que es la llave maestra del reino de Android: los Servicios de Accesibilidad.
Esta es la vulnerabilidad de diseño fundamental del ecosistema de seguridad de Android. Diseñados con la noble intención de ayudar a usuarios con discapacidades (permitiendo a las apps leer la pantalla, interpretar gestos o automatizar clics), estos servicios son, en manos de un atacante, el equivalente a un “modo dios” sobre el sistema.
Cuando un usuario, presionado por la falsa sensación de urgencia, otorga este permiso, la partida ha terminado, aunque aún no lo sepa. En ese instante, Herodotus despliega una superposición de pantalla opaca, a menudo una simple pantalla de “cargando” o “actualizando”, para ocultar sus acciones. Tras bambalinas, el troyano usa el permiso de accesibilidad recién adquirido para hacerse clic a sí mismo en “Aceptar” en una cascada de solicitudes de permisos adicionales: acceso a SMS, a la lista de contactos, a la cámara, al micrófono y la capacidad de instalar otros paquetes.
A partir de este punto, el troyano tiene el control total. Puede leer todo lo que se muestra en la pantalla, interceptar cada SMS (incluidos los códigos de autenticación de dos factores, 2FA), grabar el PIN o patrón de desbloqueo de la pantalla y, lo más importante, ejecutar el ataque de toma de control (DTO).
El Asesino Silencioso: El Ataque DTO y la Superposición Perfecta
El modus operandi tradicional de los troyanos bancarios era el robo de credenciales estáticas. Mostraban una pantalla de inicio de sesión falsa (un overlay) sobre la aplicación bancaria real, capturaban el usuario y la contraseña, y los enviaban a un servidor de Comando y Control (C2). Luego, el atacante usaba esas credenciales desde su propio dispositivo, a menudo activando alertas de fraude por inicio de sesión desde una ubicación desconocida.
Herodotus es mucho más sofisticado. Su objetivo va mucho más allá de simplemente robar las llaves; busca entrar en la casa y hacerse pasar por el dueño mientras este mira para otro lado, vaciando sus cuentas y fondos sin que este lo note.
Cuando la víctima abre su aplicación financiera legítima, Herodotus lo detecta. En lugar de limitarse a robar la contraseña, espera. Permite que el usuario inicie sesión, complete la autenticación biométrica y acceda a sus cuentas. El usuario ve su saldo, quizás inicia una consulta.
Entonces, el operador remoto de Herodotus toma el control. El troyano utiliza su poder de accesibilidad para interactuar con la pantalla. El atacante, desde su propia consola, puede ver la pantalla del usuario en tiempo real y enviar comandos: “hacer clic en Transferir”, “seleccionar beneficiario”, “ingresar monto”.
Para el banco, todo parece legítimo. El inicio de sesión provino del dispositivo correcto, en la ubicación habitual y pasó la autenticación biométrica inicial. La sesión es válida. El atacante ahora está “dentro” de una sesión en vivo y autenticada. Aquí es donde los sistemas antifraude tradicionales comenzarían a buscar anomalías, y es precisamente aquí donde Herodotus despliega su arma secreta.
La Innovación de Herodotus: El Fantasma en la Máquina Aprende a Esperar
Los bancos modernos, especialmente en Europa y América, han invertido millones en biometría del comportamiento. Estos sistemas de IA no solo verifican qué haces, sino cómo lo haces. Miden la velocidad con la que escribes tu contraseña, la forma en que deslizas el dedo y la presión que aplicas.
Un script automatizado o un atacante remoto operando a la velocidad de una máquina es una bandera roja inmediata. Cuando un troyano completa un formulario de transferencia complejo en 1.5 segundos, rellenando campos que un humano tardaría 30 segundos en leer y completar, las alarmas se disparan y la transacción se bloquea.
Herodotus está diseñado explícitamente para derrotar esto.
En su panel de control, el atacante tiene una opción para “humanizar el fraude”. Al iniciar acciones remotas, como la escritura de texto en el dispositivo de la víctima (por ejemplo, el monto de la transferencia o el número de cuenta del destinatario), el troyano introduce retrasos aleatorios.
ThreatFabric analizó esta función y descubrió que el retraso especificado oscila entre 300 y 3.000 milisegundos (0,3 a 3 segundos) entre cada evento de entrada.
Esto es brillante y aterrador. El malware no escribe “50000” instantáneamente. Escribe “5”… (pausa de 0.8 segundos)… “0”… (pausa de 1.2 segundos)… “0”… (pausa de 0.5 segundos)… “0”… (pausa de 2.1 segundos)… “0”.
Esta aleatorización imita perfectamente la cadencia de un usuario real que podría estar dudando, verificando la cuenta de destino o simplemente escribiendo con cautela. Al retrasar deliberadamente la entrada a intervalos aleatorios, los actores de amenazas evitan ser detectados por las soluciones antifraude basadas en el comportamiento que buscan velocidades de entrada mecánicas.
El troyano se convierte en un operador remoto, y el teléfono de la víctima, en su terminal. El atacante puede navegar por la aplicación, realizar la transferencia y, para colmo de males, usar el poder de accesibilidad para interceptar y ocultar cualquier SMS o notificación de confirmación del banco, borrándola antes de que el usuario pueda verla.
La expansión de este arsenal es una prueba irrefutable de su éxito y su creciente sofisticación. Lo que inicialmente pareció una campaña regional, con sus primeras víctimas documentadas en Italia y América Latina, ha demostrado ser solo la fase de prueba de una operación mucho más ambiciosa.
Esos primeros ataques, probablemente dirigidos a objetivos más blandos, permitieron a los operadores perfeccionar sus herramientas y tácticas antes de lanzarse a mercados de mayor envergadura y con defensas potencialmente más robustas.
El punto de inflexión ha sido confirmado por la firma de ciberseguridad ThreatFabric, que ya ha obtenido el arsenal completo de superposiciones (overlays) asociado al troyano bancario Herodotus. Esta capacidad de “superposición” es la clave de su peligrosidad: el malware detecta cuándo el usuario abre una aplicación financiera legítima y, en milisegundos, despliega una pantalla de inicio de sesión falsa, idéntica a la original. El usuario, sin saberlo, introduce sus credenciales directamente en manos de los atacantes.
La adquisición de este arsenal por parte de los investigadores revela la escala industrial de la amenaza. La lista de objetivos se ha diversificado drásticamente y ahora incluye importantes organizaciones financieras en mercados clave como Estados Unidos, Turquía, el Reino Unido y Polonia. Este salto geográfico no es casual; demuestra una capacidad logística y de adaptación significativas, apuntando a centros bancarios estratégicos para maximizar el retorno de la inversión.
Paralelamente, Herodotus ha puesto en su mira el sector de los activos digitales, con un enfoque específico en una amplia gama de billeteras e intercambios de criptomonedas. Este doble enfoque en la banca tradicional (TradFi) y en el mercado cripto (DeFi) maximiza su potencial de monetización, aprovechando la irreversibilidad de las transacciones de blockchain.
La operación, en definitiva, se está globalizando activamente, convirtiéndose en una amenaza financiera transnacional que evoluciona más rápido que muchas defensas convencionales.
El Ecosistema Paralelo: GhostGrab y la Doble Fuente de Ingresos
Herodotus no debe verse como un caso aislado, sino como el síntoma de una tendencia más amplia de amenazas híbridas. Casi simultáneamente a la revelación de Herodotus, la firma de inteligencia de amenazas CYFIRMA detalló un malware avanzado para Android dirigido a usuarios en la India: GhostGrab.
GhostGrab es un depredador diferente, pero igualmente ilustrativo de la nueva economía del cibercrimen. Es una amenaza híbrida diseñada para una doble fuente de ingresos, asegurando que el atacante gane dinero de una forma u otra.
Distribuido suplantando a aplicaciones financieras (como “BOM FIXED DEPOSIT.apk”), GhostGrab también solicita permisos de alto riesgo. Su primer objetivo es el robo financiero clásico. Utiliza páginas WebView falsas que imitan formularios KYC (Conozca a su Cliente), engañando a las víctimas para que ingresen su información personal completa, incluyendo datos de tarjetas de débito y crédito, PIN de cajero automático de cuatro dígitos e identificaciones oficiales como el número Aadhaar (el sistema de identificación biométrica de la India). Al igual que Herodotus, intercepta los SMS para robar las contraseñas de un solo uso (OTP) y completar las transacciones fraudulentas.
Pero aquí es donde GhostGrab introduce su giro: ¿qué pasa si la víctima tiene poco dinero en su cuenta? Para GhostGrab, el dispositivo en sí sigue siendo un activo valioso.
Su segunda función es la criptominería encubierta.
El malware instala de forma silenciosa un minero de criptomonedas, específicamente para Monero (una criptomoneda centrada en la privacidad), utilizando la CPU y la GPU del dispositivo infectado. El teléfono de la víctima comienza a trabajar para el atacante 24/7, minando monedas que se envían a la billetera del ciberdelincuente.
Esto crea una doble fuente de ingresos: el robo directo de las cuentas bancarias y el ingreso pasivo de la criptominería.
Para el usuario, el impacto es doble: no solo corre el riesgo de que le vacíen la cuenta, sino que su dispositivo sufre una degradación inmediata del rendimiento y un agotamiento extremo de la batería, lo que a su vez provoca un sobrecalentamiento peligroso. Es la máxima expresión de la explotación de activos.
El Nuevo Campo de Batalla: Cuando la Amenaza Finge ser Tú
El surgimiento de Herodotus y GhostGrab marca un punto de inflexión. El paradigma de la seguridad móvil ha cambiado irrevocablemente. Ya no podemos confiar únicamente en sistemas que buscan anomalías evidentes. Los atacantes han entendido que, para robar en un sistema vigilado por IA, la mejor estrategia no es la fuerza bruta, sino el artificio.
Herodotus es la encarnación de esto. Es un troyano en desarrollo activo, que toma prestado de sus predecesores y está diseñado para persistir dentro de sesiones en vivo, en lugar de simplemente realizar un robo estático. Su capacidad para “humanizar” el fraude es un ataque directo al corazón de la biometría conductual.
Nos obliga a hacernos preguntas difíciles. Si un troyano puede imitar la forma en que un humano escribe, ¿qué sigue? ¿Imitar patrones de deslizamiento? ¿Simular la ligera vacilación antes de hacer clic en “Confirmar”?
La industria de la seguridad se encuentra ahora en una carrera armamentista no solo contra el código, sino contra el comportamiento. Las soluciones antifraude deberán volverse aún más sofisticadas, buscando capas de intención y contexto que una máquina, por muy paciente que finja ser, no pueda replicar.
La amenaza más peligrosa ha dejado de ser el atacante de fuerza bruta; ahora es el software malicioso que se infiltra y aprende a imitar nuestra firma de comportamiento.
Marcelo Lozano – General Publisher de IT CONNECT LATAM
Lea más sobre Ciberseguridad en:
Encrucijada Digital 2026 la IA promete un avance histórico igual que un ciberriesgo
Zangi 2025: la herramienta del horror auténtico
Malware Habilitado por LLM: el juguete eficaz de APT28
NPM y Seguridad en 2025: El Riesgo Silencioso para las Cripto Billeteras
VS Code 2025: ¿(In) seguridad de la Cadena de Suministro de Software?
Herodotus, Herodotus, Herodotus