El ataque silencioso: Descubren un minero oculto de Monero en el navegador Hola para Windows

Una vez instalado, el malware establecía su persistencia mediante una serie de acciones deliberadas:

• Colocación del archivo: El minero se copiaba a sí mismo en

  C:\Program Files\Hola\HolaMonitorService.exe

  , una ruta y nombre de archivo diseñados para parecer un componente legítimo de monitoreo del navegador .
• Creación de un servicio: Creaba un servicio de Windows llamado hola_monitor_svc y lo configuraba con un tipo de inicio de 0x00000002, asegurando que se lanzara automáticamente cada vez que el sistema arrancara .
• Evasión de Windows Defender: Para esquivar los análisis del antivirus integrado, el malware añadía una ruta de exclusión en Windows Defender .
• Ofuscación y anonimato: El binario me.exe no estaba firmado digitalmente, estaba ofuscado y carecía de una marca de tiempo válida. Los investigadores de seguridad señalaron que el propio nombre del archivo parecía haber sido elegido por su apariencia anodina, lo que le permitía camuflarse entre los procesos legítimos .

Un ataque limitado pero grave

El alcance del compromiso fue relativamente reducido. Sophos estimó que aproximadamente el 0.1% de los usuarios de Hola Browser se vieron afectados . Aunque se trata de una fracción pequeña de la base de usuarios, el incidente representa un ataque a la cadena de suministro de manual: un canal de distribución de software de confianza vuelto contra sus usuarios, sorteando el escrutinio de seguridad que los usuarios aplican a los instaladores oficiales.

El ataque no fue una brecha en el código fuente de Hola. En cambio, puso de relieve la vulnerabilidad del proceso de compilación y lanzamiento de software: un recordatorio de que, incluso cuando los desarrolladores escriben código limpio, un ataque durante la compilación, el empaquetado o la distribución puede envenenar el producto final .

La respuesta de Hola

Una vez que Sophos X-Ops informó del hallazgo, Hola actuó para contener la amenaza y prevenir una recurrencia. Las medidas correctivas de la compañía incluyeron:

• Reconstruir la cadena de distribución desde cero para eliminar cualquier acceso residual del atacante .
• Implementar verificación de firma de código para impedir que binarios no firmados y no autorizados pasen por el proceso de compilación .
• Introducir controles de acceso más estrictos y monitoreo continuo en su infraestructura de distribución .

A pesar de estas medidas, a fecha de la divulgación pública el 4 de junio de 2026, siguen sin respuesta preguntas críticas. Hola no ha revelado públicamente el vector de ataque —cómo se produjo la brecha inicial en la cadena—, la identidad del actor de la amenaza ni la duración de su acceso. El panorama forense completo permanece cerrado al público, una brecha que deja tanto a los usuarios como a la comunidad de seguridad con una advertencia, pero sin una comprensión completa de la amenaza .