Doctor Web: informe de la actividad de virus en el I trimestre de 2026

1 de abril de 2026

Según las estadísticas de detecciones del antivirus Dr.Web, en el I trimestre de 2026 el número total de amenazas detectadas disminuyó un 6,77 % en comparación con el IV trimestre del año pasado. El número de amenazas únicas se redujo un 11,98 %. En los dispositivos protegidos se detectaron con mayor frecuencia adware y troyanos publicitarios, malware descargador, así como backdoors.

En el tráfico de correo, lo más habitual fueron scripts maliciosos, backdoors y diversas aplicaciones troyanas. A través de correos electrónicos, los atacantes también distribuían documentos de phishing y exploits.

Los usuarios cuyos archivos se vieron afectados por troyanos cifradores se enfrentaron con mayor frecuencia a los cifradores Trojan.Encoder.35534, Trojan.Encoder.29750 y Trojan.Encoder.41868.

En el I trimestre de 2026, los analistas de internet de la empresa Doctor Web detectaron nuevos sitios de phishing, incluidos recursos falsos de entidades de crédito y marketplaces, así como una serie de otros sitios no deseados.

En el segmento de los dispositivos móviles se observó un aumento de la actividad de los troyanos bancarios. Al mismo tiempo, nuestros analistas de virus señalaron un incremento de la popularidad de la técnica de protección del malware frente a la detección por parte del software antivirus, que consiste en añadirles código basura.

En enero, los expertos de Doctor Web informaron sobre los troyanos clicker Android.Phantom, que utilizan aprendizaje automático y retransmisiones de vídeo para inflar artificialmente los clics en sitios web. Además, durante los últimos 3 meses hemos registrado la aparición de nuevo malware en el catálogo de Google Play, así mismo, de troyanos que suscribían a los usuarios a servicios de pago.

Según los datos del servicio de estadísticas Doctor Web

Las amenazas más populares del I trimestre de 2026

Trojan.Siggen31.34463

Un troyano creado en el lenguaje de programación Go y destinado a descargar en el sistema objetivo varios mineros y adware. El malware es un archivo DLL y se encuentra en %appdata%\utorrent\lib.dll. Para su ejecución explota una vulnerabilidad de la clase DLL Search Order Hijacking en el cliente torrent uTorrent.

Adware.Downware.20655

Adware.Downware.20766

Un adware que actúa como instalador intermedio de programas pirata.

Trojan.BPlug.4268

Detección de un componente malicioso de la extensión de navegador WinSafe. Este componente es un script JavaScript que muestra publicidad intrusiva en los navegadores.

Adware.Siggen.33379

Falso bloqueador de publicidad para navegador Adblock Plus, que se instala en el sistema mediante otro malware con el fin de mostrar publicidad.

Estadísticas de malware en el tráfico de correo

Las amenazas más populares del I trimestre del año 2026 en el tráfico de correo

JS.DownLoader.1225

Detección heurística para archivos ZIP que contienen scripts JavaScript con nombres sospechosos.

W97M.DownLoader.2938

Familia de troyanos descargadores que utilizan vulnerabilidades de documentos de Microsoft Office. Están destinados a descargar otro malware en el ordenador atacado.

Exploit.CVE-2017-11882.123

Exploit.CVE-2018-0798.4

Exploits para aprovechar vulnerabilidades en software de Microsoft Office, que permiten ejecutar código aleatorio.

JS.Redirector.514

Script malicioso que redirige al usuario a una página web controlada por los atacantes.

Cifradores

En el I trimestre de 2026, el número de solicitudes de descifrado de archivos afectados por programas troyanos cifradores se redujo un 31,51 % en comparación con el IV trimestre del año anterior. El descenso se produjo en el contexto de las vacaciones de Año Nuevo y los largos días festivos relacionados con ellas, durante los cuales algunos ciberdelincuentes podían suspender su actividad e irse de vacaciones. Al mismo tiempo, los usuarios que sí resultaron afectados por ataques de troyanos cifradores en ese periodo podían no reaccionar inmediatamente ante los incidentes ocurridos.

Dinámica de recepción de solicitudes de descifrado en el Servicio de Soporte Técnico de Doctor Web:

Cifradores más populares del I trimestre de 2026

• Trojan.Encoder.35534 — 15,59% de solicitudes de usuarios
• Trojan.Encoder.29750 — 3,23% de solicitudes de usuarios
• Trojan.Encoder.41868 — 3,23% de solicitudes de usuarios
• Trojan.Encoder.26996 — 1,62% de solicitudes de usuarios
• Trojan.Encoder.44383 — 1,61% de solicitudes de usuarios

Fraudulencias en la red

Durante los últimos 3 meses, los analistas de internet de la empresa Doctor Web detectaron una serie de nuevos sitios falsos de marketplaces. En ellos, los atacantes ofrecen participar en una «liquidación» de supuestos pedidos no recogidos. El esquema fraudulento es el siguiente: los artículos «no reclamados» de los pedidos se dividen en distintas categorías (electrónica, ropa, calzado, cosmética, etc.) y supuestamente se colocan en las correspondientes cajas sorpresa. Se desconoce su contenido y este puede incluir, entre otras cosas, artículos caros. Al mismo tiempo, a las potenciales víctimas se les ofrece comprar esas cajas por un precio relativamente bajo, lo que constituye el principal gancho.

Un sitio falso del marketplace promete una «liquidación de pedidos no reclamados» que supuestamente están desbordando los almacenes

Cuando el usuario elige una de las cajas, se le propone tramitar el pedido e indicar los datos personales, que pueden incluir nombre y apellidos, número de teléfono móvil y dirección de correo electrónico. Después se le redirige a una página de pago a través del Sistema de Pagos Instantáneos. Como resultado, la víctima pierde dinero y entrega la información confidencial a los estafadores.

Una vez tramitado el «pedido», se propone a la víctima pagarlo a través del Sistema de Pagos Instantáneos

Nuestros expertos también detectaron múltiples sitios de servicios que ofrecen varios servicios financieros, por ejemplo, la posibilidad de obtener bastante un micropréstamo, un crédito bastante rápido o pasar por un procedimiento de quiebra. Tales servicios no prestan por sí mismos esos servicios, como esperan los usuarios, y son solo intermediarios entre los clientes y las organizaciones financieras. De pago, dan acceso a una selección de opciones potencialmente adecuadas, mientras que la agregación de este tipo de ofertas financieras está disponible en fuentes gratuitas. Además, estos servicios no garantizan un resultado satisfactorio al presentar la solicitud. Al mismo tiempo, el pago por el acceso no es único, sino que constituye una suscripción de pago con cargos periódicos.

Uno de los sitios web en los que el acceso al servicio de selección de ofertas financieras es de pago y se formaliza en forma de suscripción

En algunos casos, este tipo de recursos puede inducir a error a los usuarios, ofreciendo un servicio, por ejemplo, empleo, pero en realidad proporcionando acceso a las mismas ofertas financieras para la obtención de créditos, micropréstamos, etc mediante suscripción.

Un sitio web promete ayuda en la búsqueda de empleo, pero tras pagar el acceso al servicio, en lugar de una lista de vacantes puede proporcionar ofertas financieras de socios para obtener un crédito, un micropréstamo y similares

Entre los sitios de phishing detectados en el I trimestre había recursos falsos en Internet de la carrera benéfica «Maratón Verde». En ellos se ofrece a los visitantes registrarse para participar en el maratón; sin embargo, estos sitios no guardan relación con el evento y han sido creados para recopilar datos confidenciales de los usuarios.

Uno de los sitios falsos de la carrera «Maratón Verde»

Los analistas de internet de Doctor Web también detectaron nuevos sitios falsos de servicios de inversión, supuestamente relacionados con distintas entidades de crédito. Entre ellos había sitios orientados a público de Rusia, Kazajistán y otros países. Los estafadores prometen a las potenciales víctimas altos beneficios y, para «acceder» a las pseudoplataformas de inversión, les piden completar una breve encuesta y registrar una cuenta, indicando información personal.

Un ejemplo de sitio de phishing que los atacantes hacen pasar por el recurso oficial del servicio de inversión de uno de los bancos rusos

Un ejemplo de sitio de phishing que los atacantes hacen pasar por el recurso oficial del servicio de inversión de una de las entidades de crédito de Kazajistán

Malware y software no deseado para dispositivos móviles

Según los datos de las estadísticas de detecciones de Dr.Web Security Space para dispositivos móviles, en el I trimestre de 2026 continuó el crecimiento de la actividad de los troyanos bancarios Android.Banker, que se había observado en el IV trimestre del año anterior. Los más frecuentes entre ellos fueron representantes de la subfamilia Android.Banker.Mamont. Al mismo tiempo, volvió a reducirse el número de detecciones de los troyanos publicitarios Android.MobiDash y Android.HiddenAds.

Entre el software potencialmente peligroso detectado, encabezaban la lista los programas en los que, mediante herramientas de modding, se había insertado código basura (se detectan como Tool.Obfuscator.TrashCode). Esta técnica se emplea actualmente de forma activa para proteger los troyanos bancarios frente a su detección por los antivirus. Además, seguían siendo frecuentes las aplicaciones modificadas con la utilidad NP Manager (se detectan como Tool.NPMod).

El software no deseado detectado con mayor frecuencia fueron los falsos antivirus Program.FakeAntiVirus, que para «eliminar» las supuestas amenazas detectadas exigen comprar la versión completa. El adware más activo en el I trimestre fueron los programas Adware.Bastion.1.origin y Adware.Opensite.15. Los primeros son aplicaciones optimizadoras que crean notificaciones con mensajes sobre una supuesta falta de memoria y errores del sistema para mostrar publicidad durante la «optimización». Los segundos son falsos programas de trucos para obtener diversos recursos en juegos, pero en realidad solo cargan sitios web con publicidad.

En enero de 2026, nuestro laboratorio antivirus advirtió sobre los troyanos clicker Android.Phantom. Este malware utiliza aprendizaje automático y retransmisiones de vídeo para inflar artificialmente los clics en sitios web. Los ciberdelincuentes lo distribuían de varias maneras a la vez: a través del catálogo GetApps para dispositivos Xiaomi, canales de Telegram, servidores de Discord, recopilaciones de software de terceros y sitios maliciosos.

Durante los últimos 3 meses, los analistas de virus de Doctor Web detectaron en el catálogo de Google Play nuevas amenazas, entre las que había aplicaciones troyanas Android.Joker y Android.Subscription, destinadas a suscribir a los usuarios a servicios de pago.

Los eventos más destacados vinculados a la seguridad “móvil” en el I trimestre

• Los troyanos bancarios Android.Banker se convirtieron en las amenazas más frecuentes para los dispositivos Android
• Los ciberdelincuentes utilizaron con mayor frecuencia utilidades para el modding de aplicaciones Android, con el fin de proteger los troyanos bancarios frente a su detección por los antivirus
• Continuó la tendencia a la disminución de la actividad de los troyanos publicitarios Android.MobiDash y Android.HiddenAds
• Los usuarios estuvieron amenazados por los troyanos Android.Phantom, que utilizan aprendizaje automático y retransmisiones de vídeo para inflar artificialmente los clics en sitios web
• En el catálogo de Google Play volvió a difundirse malware

Lea con más detalle sobre la situación viral para dispositivos móviles en el I trimestre de 2026 en nuestro informe.