Un troyano bancario brasileño llamado se atrevieron va tras los usuarios de Windows que realizan operaciones bancarias en España y Portugal. FortiGuard Labs de Fortinet identificó la campaña en mayo de 2026.
Se abre con un PDF de phishing disfrazado de archivo corrupto, comprueba que el visitante se encuentra realmente en España o Portugal y oculta su carga útil real dentro de una imagen.
El objetivo es el habitual: robar inicios de sesión bancarios y hacerse cargo de cuentas.
Ousaban se sienta tranquilamente en una PC con Windows y espera a que el usuario abra un sitio bancario. Cuando se carga un banco objetivo, puede capturar capturas de pantalla y pulsaciones de teclas, alterar el portapapeles, mostrar mensajes falsos y darle control remoto al atacante.
Juntas, esas son las herramientas para secuestrar una sesión bancaria en vivo y apoderarse de una cuenta. Ousaban vigila a más de dos docenas de bancos en los dos países, entre ellos Banco Santander, BBVA, CaixaBank, Bankinter y Caixa Geral de Depósitos.
Cómo funciona el ataque
Comienza con un PDF de phishing disfrazado de archivo corrupto. El PDF muestra un mensaje que le indica a la víctima que presione el botón “Actualizar”, lo que abre una página web maliciosa.
El JavaScript oculto en el PDF puede abrir la misma página por sí solo. La página se hace pasar por un portal de instaladores y documentos fiscales mientras examina a los visitantes. Fortinet dice que una versión anterior ejecutó estas comprobaciones en el navegador: analizó la dirección IP, el idioma y la zona horaria del visitante, bloqueó a cualquiera que ingresara a través de una VPN y filtró las herramientas de seguridad automatizadas verificando detalles como el tamaño de la pantalla y las fuentes instaladas.
La versión actual traslada esa detección al servidor del operador, por lo que las reglas exactas están ocultas. De cualquier manera, los visitantes fuera de España o Portugal reciben un aviso de “acceso denegado” en español en lugar de malware.
Borre la marca y comenzará la descarga. Un script descarga una imagen que parece un ícono de PDF pero oculta un archivo ZIP en su interior, un truco llamado esteganografía. El script descomprime Ousaban de ese ZIP, lo ejecuta y luego elimina la imagen, el ZIP y a sí mismo para dejar menos contenido. Una vez que se ejecuta, Ousaban agrega una entrada de registro llamada Financeiro (en portugués, “finanzas”) para que se inicie con Windows.
El servidor de mando de Ousaban, la máquina que lo controla, es deliberadamente difícil de encontrar. Lleva un enlace Pastebin que apunta a una dirección de servidor, pero Fortinet dice que esa dirección es un señuelo.

Ocultar estos detalles en los servicios web es una vieja costumbre de Ousaban: campañas anteriores ocultaban la configuración en Google Docs. Esta vez, el servidor real se mueve todos los días. El malware lee la fecha actual de una página de Google, crea una dirección web a partir de esa fecha más un secreto fijo y la busca. Bloquear la dirección de ayer no sirve de nada.
Un libro de jugadas brasileño familiar
Nada de esto es nuevo. Ousaban, también identificado como Javali, forma parte de un grupo de troyanos bancarios brasileños que Kaspersky denominó hace años “Tetrade”, junto con Grandoreiro, Guildma y Melcoz.
Estas familias comenzaron en Brasil y avanzaron hacia España y Portugal, tomando prestados códigos unos de otros a medida que avanzaban; El cifrado de cadenas de Ousaban es el mismo esquema personalizado utilizado por otra familia, Casbaneiro.
Grandoreiro, el más conocido del grupo, demuestra lo duradero que es el libro de jugadas. Sobrevivió a un derribo coordinado por Interpol en enero de 2024 y regresó a los pocos meses, y sus cargadores recurrieron al mismo hábito de ocultar las descargas detrás de señuelos que parecen PDF y verificaciones de países.
Sigue activo contra objetivos ibéricos, y este año se informó de una campaña que siguió afectando a los bancos portugueses. Fortinet vincula la misma infraestructura a la actividad de Ousaban a finales de 2025 que utilizó otros puntos de entrada, incluido “ClickFix”, una estafa que hace que la víctima pegue un comando malicioso mientras piensa que está solucionando un error.
que hacer
El primer lugar para atraparlo es el señuelo. Trate cualquier PDF o correo electrónico que afirme que un archivo está dañado y le indique que presione “Actualizar” como hostil. Lo mismo ocurre con las indicaciones que indican a los usuarios que peguen un comando para corregir un “error”. El PDF puede incluso abrir la página maliciosa por sí solo.
Trate los adjuntos inesperados de facturas, facturas o documentos fiscales como sospechosos, especialmente en España y Portugal.
La evaluación del lado del servidor significa que una zona de pruebas automatizada que simplemente recupera el enlace puede obtener solo la página de error en español en lugar del malware. La detonación de la puerta de enlace por sí sola puede evitarlo. La campaña sólo afecta a Windows.
El informe de Fortinet enumera dominios, direcciones IP y hashes de archivos para bloquear. Los defensores deben estar atentos a la clave Ejecutar del registro de Financeiro y a los archivos colocados en C:SysMain_5874288. Fortinet dice que su antivirus FortiGuard marca las muestras y su producto FortiMail marca los correos electrónicos de phishing.
El troyano en sí es antiguo y Fortinet dice que su cifrado personalizado se ha mantenido eficaz contra la detección durante años. La parte más nueva es el envoltorio: geofencing, una carga útil oculta y una dirección diaria desechable, todo creado para mostrar el malware a víctimas reales en dos países y a nadie más.