{"id":32281,"date":"2026-06-30T11:33:01","date_gmt":"2026-06-30T09:33:01","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=32281"},"modified":"2026-06-30T11:33:01","modified_gmt":"2026-06-30T09:33:01","slug":"hola-browser-supply-chain-attack-cryptominer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/hola-browser-supply-chain-attack-cryptominer\/32281\/","title":{"rendered":"Ciberdelincuentes secuestraron Hola Browser para minar criptomonedas en secreto"},"content":{"rendered":"

A principios de junio, investigadores de ciberseguridad descubrieron que una versi\u00f3n vulnerada del navegador israel\u00ed Hola\u00a0Browser para Windows (versi\u00f3n 1.251.91.0) estaba descargando<\/a> en secreto un minero de criptomonedas Monero en los dispositivos de los usuarios. Poco despu\u00e9s del descubrimiento, Hola confirm\u00f3 que hab\u00eda sido v\u00edctima de un ataque a la cadena de suministro. En este art\u00edculo, desglosamos c\u00f3mo se produjo el ataque, c\u00f3mo funciona el minero de criptomonedas y qu\u00e9 significa para los usuarios afectados.<\/p>\n

\u00bfQu\u00e9 es Hola\u00a0Browser y c\u00f3mo se descubri\u00f3 el malware?<\/h2>\n

La empresa israel\u00ed Hola es reconocida por su servicio de VPN, que los usuarios utilizan principalmente para eludir restricciones geogr\u00e1ficas y acceder a contenido bloqueado por regi\u00f3n. Adem\u00e1s de la VPN, la empresa desarrolla Hola\u00a0Browser, un navegador basado en Chromium que viene con funciones de proxy y VPN integradas.<\/p>\n

Los investigadores detectaron por primera vez signos de problemas durante una verificaci\u00f3n de cumplimiento est\u00e1ndar para el programa AppEsteem Windows Certified Application<\/a>. Como parte de este proceso de certificaci\u00f3n, empresas independientes de ciberseguridad auditan el software para asegurarse de que solo contenga los componentes que afirma tener y que no tenga funciones no deseadas o maliciosas. Incluso despu\u00e9s de que se otorga un certificado, las aplicaciones se reeval\u00faan con regularidad para garantizar que siguen cumpliendo con las estrictas directrices de AppEsteem.<\/p>\n

Durante una de estas verificaciones de seguimiento rutinarias, los expertos notaron un archivo no autorizado que se vinculaba con la versi\u00f3n 1.251.91.0<\/em><\/strong> de Hola\u00a0Browser para Windows. Una vez instalado, el archivo se guardaba en el disco duro en C:\\Archivos de programa\\Hola\\me{.}exe<\/em><\/strong>. El archivo inmediatamente levant\u00f3 sospechas debido a una larga lista de caracter\u00edsticas sospechosas: no estaba en la lista de archivos de la aplicaci\u00f3n aprobados, carec\u00eda de una marca de tiempo y no ten\u00eda firma digital. Adem\u00e1s de eso, su c\u00f3digo estaba muy ofuscado y ten\u00eda la capacidad de inyectarse directamente en la memoria del sistema.<\/p>\n

Curiosamente, los investigadores notaron que el archivo no aparec\u00eda en todas las instalaciones. Debido a que la infecci\u00f3n no se extend\u00eda a todos los usuarios, los expertos sospecharon desde el principio que se hab\u00eda vulnerado una etapa espec\u00edfica del proceso de distribuci\u00f3n de Hola\u00a0Browser. M\u00e1s tarde, Hola confirm\u00f3 esta teor\u00eda, ya que admiti\u00f3 que hab\u00eda sido v\u00edctima de un ataque a la cadena de suministro.<\/p>\n

En cuanto al archivo me{.}exe<\/em><\/strong> sospechoso, un an\u00e1lisis m\u00e1s detallado revel\u00f3 que era un minero de criptomonedas sigiloso configurado para minar Monero. Ahora nos sumergiremos en los detalles t\u00e9cnicos de su funcionamiento.<\/p>\n

\u00bfC\u00f3mo usaron los atacantes Hola\u00a0Browser para minar Monero?<\/h2>\n

Los mineros de criptomonedas son programas que aprovechan la potencia de procesamiento de un ordenador para minar criptomonedas. Si bien algunos usuarios instalan este software intencionalmente para generar un poco de ingresos, los mineros que se ejecutan en una m\u00e1quina sin el conocimiento del propietario, por lo general se clasifican como no deseados.<\/p>\n

Ejecutar un minero oculto puede ralentizar notablemente el dispositivo, encarecer la factura de electricidad del usuario y acortar la vida \u00fatil del hardware. Dicho esto, vale la pena se\u00f1alar que una infecci\u00f3n por minero de criptomonedas en realidad no roba la criptomoneda del propietario; el da\u00f1o se limita estrictamente a que los secuestradores roban los recursos de hardware de tu ordenador para llenarse los bolsillos.<\/p>\n

Como mencionamos antes, la descarga maliciosa incluida con Hola\u00a0Browser infiltr\u00f3 un minero de criptomonedas Monero<\/a> en los dispositivos de las v\u00edctimas. Lanzado en 2014 y desarrollado sobre el protocolo CryptoNote, Monero actualmente se cotiza en alrededor de 330\u00a0USD por moneda.<\/a><\/p>\n

En comparaci\u00f3n con pesos pesados como Bitcoin o Ethereum, Monero es un poco ex\u00f3tico y menos conocido para el p\u00fablico en general. Esta exclusividad se muestra en su crecimiento de precios relativamente modesto y una capitalizaci\u00f3n de mercado m\u00e1s peque\u00f1a, que es aproximadamente 200 veces m\u00e1s baja que la de Bitcoin. Sin embargo, Monero tiene una caracter\u00edstica que lo define: la privacidad. Mientras que Bitcoin y Ethereum operan en cadenas de bloques p\u00fablicas y completamente transparentes, donde cualquiera puede rastrear las transacciones, Monero es una \u201cmoneda de privacidad\u201d. Utiliza mecanismos criptogr\u00e1ficos avanzados para enmascarar el remitente, el receptor y los montos de la transacci\u00f3n. Este anonimato extremo es exactamente la raz\u00f3n por la que los ciberdelincuentes aman los mineros ocultos de Monero<\/a>: hace que sea dif\u00edcil para los profesionales de la ciberseguridad y el orden p\u00fablico seguir el rastro del dinero.<\/p>\n

Adem\u00e1s, el algoritmo subyacente de Monero est\u00e1 dise\u00f1ado expl\u00edcitamente para minar de manera eficiente con procesadores de ordenadores est\u00e1ndar (CPU). Esto contrasta fuertemente con muchas otras criptomonedas populares, que requieren hardware ASIC especializado o tarjetas gr\u00e1ficas (GPU) de alta gama para ser rentables.<\/p>\n

Veamos m\u00e1s de cerca c\u00f3mo se materializ\u00f3 esto en Hola\u00a0Browser. Cuando los investigadores analizaron el c\u00f3digo malicioso me{.}exe<\/em><\/strong>, descubrieron que estaba a\u00f1adiendo autom\u00e1ticamente sus propios archivos a la lista de exclusi\u00f3n de Microsoft\u00a0Defender. Al permitirse en la lista, el malware ceg\u00f3 con \u00e9xito el antivirus integrado de Windows, lo que permiti\u00f3 que el minero de criptomonedas se ejecutara en segundo plano sin obst\u00e1culos.<\/p>\n

Una vez dentro, el programa hizo una copia de s\u00ed mismo con el nombre HolaMonitorService{.}exe<\/em><\/strong> y configur\u00f3 un servicio persistente de Windows en segundo plano llamado hola_monitor_svc<\/em><\/strong>. Esta maniobra permiti\u00f3 al malware atrincherarse en el sistema y ejecutarse autom\u00e1ticamente cada vez que se reiniciaba el ordenador. Para no levantar sospechas con ca\u00eddas repentinas y masivas de rendimiento, se program\u00f3 al minero para permanecer latente y ponerse en marcha solo cuando el ordenador estaba inactivo.<\/p>\n

C\u00f3mo proteger tu dispositivo de los mineros de criptomonedas y el malware<\/h2>\n

Hay que reconocer que el equipo de desarrollo de Hola respondi\u00f3 r\u00e1pidamente a los informes iniciales del archivo sospechoso. Confirmaron la vulneraci\u00f3n de la cadena de suministro, pero declararon que el incidente solo afect\u00f3 al 0,1\u00a0% de su base de usuarios. Desde entonces, la empresa ha reforzado la seguridad en torno a su canal de distribuci\u00f3n de actualizaciones para garantizar que los usuarios solo reciban componentes de software aprobados, certificados y firmados digitalmente en el futuro.<\/p>\n

A la luz de este incidente, recomendamos encarecidamente que todos los usuarios de Hola\u00a0Browser instalen la \u00faltima versi\u00f3n de inmediato, en especial aquellos que ejecutan la aplicaci\u00f3n en Windows.<\/p>\n

En t\u00e9rminos m\u00e1s generales, esta situaci\u00f3n es un recordatorio de por qu\u00e9 es tan importante mantener todo tu software actualizado y ejecutar una soluci\u00f3n robusta de ciberseguridad<\/a> en todos tus dispositivos. Por ejemplo, Kaspersky Premium<\/a> proporciona alertas en tiempo real sobre el comportamiento de software sospechoso y bloquea las amenazas al instante. Como ventaja adicional, una suscripci\u00f3n a Kaspersky Premium<\/a>\u00a0incluye una VPN segura y fiable<\/a><\/strong>.<\/p>\n

No olvides que los mineros de criptomonedas maliciosos no solo apuntan a los ordenadores; tambi\u00e9n van tras los tel\u00e9fonos inteligentes, a menudo disfraz\u00e1ndose como cualquier cosa, desde juegos m\u00f3viles populares hasta aplicaciones de servicios oficiales del gobierno. Consulta nuestras publicaciones anteriores para obtener m\u00e1s informaci\u00f3n:<\/p>\n