{"id":29333,"date":"2026-07-03T08:39:52","date_gmt":"2026-07-03T14:39:52","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=29333"},"modified":"2026-07-02T17:40:43","modified_gmt":"2026-07-02T23:40:43","slug":"hola-browser-supply-chain-attack-cryptominer","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/29333\/","title":{"rendered":"Hola Browser: c\u00f3mo los hackers le a\u00f1adieron un criptominero secreto"},"content":{"rendered":"<p>Hola\u00a0Browser es un navegador web desarrollado en Israel. A principios de junio, un grupo de investigadores en ciberseguridad detect\u00f3 que una versi\u00f3n modificada de esta aplicaci\u00f3n (la versi\u00f3n 1.251.91.0 para Windows) <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hola-browser-for-windows-compromised-to-deliver-cryptominer\/\" target=\"_blank\" rel=\"noopener nofollow\">descargaba<\/a> en secreto un criptominero de Monero en los dispositivos de los usuarios. Poco despu\u00e9s de este hallazgo, la empresa Hola confirm\u00f3 que hab\u00eda sido v\u00edctima de un ataque a su cadena de suministro. En este art\u00edculo, explicamos c\u00f3mo ocurri\u00f3 el ataque, c\u00f3mo funciona el criptominero y qu\u00e9 consecuencias tiene el incidente para los usuarios afectados.<\/p>\n<h2>\u00bfQu\u00e9 es Hola Browser y c\u00f3mo se descubri\u00f3 el malware?<\/h2>\n<p>La empresa israel\u00ed Hola es conocida principalmente por su servicio de VPN, que se usa, sobre todo, para evadir restricciones geogr\u00e1ficas y acceder a contenidos bloqueados por regi\u00f3n. Adem\u00e1s de la VPN, la empresa desarrolla Hola\u00a0Browser, un navegador basado en Chromium que viene con funciones de VPN y proxy integradas.<\/p>\n<p>Los investigadores notaron que algo andaba mal durante una revisi\u00f3n de cumplimiento est\u00e1ndar que realizaban para <a href=\"https:\/\/appesteem.com\" target=\"_blank\" rel=\"noopener nofollow\">AppEsteem<\/a>, un programa de certificaci\u00f3n para aplicaciones para Windows. Como parte del proceso de certificaci\u00f3n, las aplicaciones se someten a un control por parte de empresas de ciberseguridad independientes. Estas empresas auditan el software para verificar que no tenga caracter\u00edsticas indeseadas o maliciosas, sino \u00fanicamente los componentes que diga tener. Una vez certificadas, las aplicaciones se reeval\u00faan peri\u00f3dicamente para garantizar que sigan cumpliendo con las estrictas pautas de AppEsteem.<\/p>\n<p>Durante una de estas reevaluaciones, los especialistas hallaron un archivo no autorizado en la versi\u00f3n <strong><em>1.251.91.0<\/em><\/strong> de Hola\u00a0Browser para Windows. Este archivo quedaba almacenado en el disco duro, en <strong><em>C:\\Archivos de programa\\Hola\\me{.}exe<\/em><\/strong>, cuando conclu\u00eda la instalaci\u00f3n del navegador. El archivo llam\u00f3 la atenci\u00f3n de los especialistas de inmediato. Era sospechoso por donde se lo mirara: no estaba en la lista de archivos aprobados de la aplicaci\u00f3n, no ten\u00eda firma digital y no ten\u00eda siquiera marca de fecha y hora. Sumado a ello, el c\u00f3digo del archivo estaba altamente ofuscado y ten\u00eda la capacidad de inyectarse directamente en la memoria del sistema.<\/p>\n<p>Los investigadores se percataron de que, curiosamente, el archivo no era com\u00fan a todas las instalaciones. Como la infecci\u00f3n, por ende, no afectaba a la totalidad de los usuarios, los especialistas sospecharon desde un principio que alguien hab\u00eda vulnerado una etapa puntual del canal de distribuci\u00f3n de Hola\u00a0Browser. La empresa Hola luego confirm\u00f3 esta teor\u00eda y reconoci\u00f3 que hab\u00eda sido v\u00edctima de un ataque a su cadena de suministro.<\/p>\n<p>En cuanto al archivo sospechoso en s\u00ed, <strong><em>me{.}exe<\/em><\/strong>, un an\u00e1lisis m\u00e1s detallado revel\u00f3 que era un criptominero sigiloso, configurado para minar Monero. Veamos en detalle c\u00f3mo funciona.<\/p>\n<h2>\u00bfC\u00f3mo hicieron los atacantes para minar Monero a trav\u00e9s de Hola\u00a0Browser?<\/h2>\n<p>Los criptomineros son programas que aprovechan el poder de procesamiento de una computadora para minar criptomonedas. Aunque algunas personas los instalan adrede con la esperanza de generar un ingreso extra, los mineros que se ejecutan en un equipo sin que lo sepa el propietario se clasifican normalmente como no deseados.<\/p>\n<p>Cuando hay un minero oculto en ejecuci\u00f3n, el dispositivo puede funcionar mucho m\u00e1s lento, la factura de electricidad puede aumentar y la vida \u00fatil del hardware puede acortarse. Aun as\u00ed, vale la pena se\u00f1alar que una infecci\u00f3n de criptominero no busca robar las criptomonedas del usuario: el da\u00f1o, en realidad, se limita a permitir que los hackers usen el hardware de la v\u00edctima para llenarse los bolsillos.<\/p>\n<p>Como dijimos m\u00e1s arriba, el archivo malicioso que se descargaba junto con Hola\u00a0Browser infiltraba un criptominero de <a href=\"https:\/\/es.wikipedia.org\/wiki\/Monero_(criptomoneda)\" target=\"_blank\" rel=\"noopener nofollow\">Monero<\/a> en los dispositivos de las v\u00edctimas. Monero se lanz\u00f3 en 2014, desarrollada sobre la base del protocolo CryptoNote. En la actualidad, cotiza a <a href=\"https:\/\/coinmarketcap.com\/currencies\/monero\/\" target=\"_blank\" rel=\"noopener nofollow\">alrededor de USD\u00a0330 por moneda<\/a>.<\/p>\n<p>Si se la compara con los \u201cpesos pesados\u201d como Bitcoin o Ethereum, Monero es un poco ex\u00f3tica y menos conocida por el p\u00fablico en general. Por ser una moneda de nicho, ha mostrado un crecimiento de precios bastante modesto y tiene una capitalizaci\u00f3n de mercado mucho m\u00e1s peque\u00f1a que la de Bitcoin (aproximadamente un 200\u00a0% m\u00e1s baja). Pero Monero tiene algo que la distingue de las dem\u00e1s: la privacidad. Mientras que Bitcoin y Ethereum utilizan cadenas de bloques p\u00fablicas y transparentes, que permiten que cualquiera siga los pasos de una transacci\u00f3n, Monero ha sido llamada \u201cla moneda privada\u201d. En las transacciones con Monero, se utilizan mecanismos criptogr\u00e1ficos avanzados para ocultar el monto y la identidad del remitente y del destinatario. Es por este anonimato extremo que los hackers <a href=\"https:\/\/latam.kaspersky.com\/blog\/?s=Monero\/\" target=\"_blank\" rel=\"noopener\">adoran los mineros ocultos de Monero<\/a>: hacen que seguir el rastro del dinero sea muy dif\u00edcil para las fuerzas del orden y los especialistas en ciberseguridad.<\/p>\n<p>Adem\u00e1s, el algoritmo subyacente de Monero se pens\u00f3 especialmente para que fuera eficiente minar monedas con procesadores de computadora (CPU) est\u00e1ndar. Con muchas otras criptomonedas populares, para sacar una rentabilidad, se necesita usar hardware ASIC especializado o tarjetas gr\u00e1ficas (GPU) de alta gama.<\/p>\n<p>Concentr\u00e9monos ahora en c\u00f3mo fue el incidente de Hola\u00a0Browser. Cuando los investigadores analizaron el c\u00f3digo malicioso de <strong><em>me{.}exe<\/em><\/strong>, descubrieron que agregaba autom\u00e1ticamente sus propios archivos a la lista de exclusi\u00f3n de Microsoft\u00a0Defender. Al marcarse a s\u00ed mismo como l\u00edcito, el malware logr\u00f3 eludir el antivirus integrado de Windows y, con ello, el criptominero pudo ejecutarse en segundo plano sin ning\u00fan obst\u00e1culo.<\/p>\n<p>Una vez en el sistema, el programa creaba una copia de s\u00ed con el nombre <strong><em>HolaMonitorService{.}exe<\/em><\/strong> y configuraba un servicio de Windows llamado <strong><em>hola_monitor_svc<\/em><\/strong>, que se ejecutaba de manera persistente en segundo plano. Esta maniobra permit\u00eda que el malware se atrincherara en el sistema y se ejecutara autom\u00e1ticamente cada vez que se reiniciaba el equipo. Para evitar mermas repentinas y pronunciadas en el rendimiento del dispositivo, las cuales podr\u00edan haber delatado que algo andaba mal, el minero se manten\u00eda en pausa hasta que la computadora dejaba de mostrar se\u00f1ales de actividad.<\/p>\n<h2>C\u00f3mo proteger tu dispositivo del malware y los criptomineros<\/h2>\n<p>Se debe destacar que los desarrolladores de Hola fueron diligentes para atender a los reportes iniciales sobre el archivo sospechoso. Confirmaron que su cadena de suministro hab\u00eda sido atacada, pero dijeron que el incidente afectaba solo al 0.1\u00a0% de sus usuarios. Desde entonces, la compa\u00f1\u00eda ha reforzado la seguridad del canal por el que distribuyen sus actualizaciones para garantizar que los usuarios reciban \u00fanicamente componentes de software aprobados, certificados y con firma digital.<\/p>\n<p>A la luz de este incidente, recomendamos enf\u00e1ticamente que todos los usuarios de Hola\u00a0Browser actualicen la aplicaci\u00f3n a la \u00faltima versi\u00f3n de inmediato. Esto va en especial para quienes usen el navegador en Windows.<\/p>\n<p>En t\u00e9rminos m\u00e1s generales, esta situaci\u00f3n es prueba irrefutable de la importancia de mantener actualizadas todas las aplicaciones y de usar <a href=\"https:\/\/latam.kaspersky.com\/home-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">una soluci\u00f3n de ciberseguridad robusta<\/a> en todos los dispositivos. <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>, por ejemplo, brinda alertas en tiempo real cuando una aplicaci\u00f3n se comporta de forma sospechosa y bloquea las amenazas al instante. Como si esto fuera poco, la suscripci\u00f3n a <a href=\"https:\/\/latam.kaspersky.com\/premium?icid=es-LA_bb2023-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a> incluye acceso a <a href=\"https:\/\/latam.kaspersky.com\/vpn-secure-connection?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____vpn___\" target=\"_blank\" rel=\"noopener\">una VPN segura y confiable<\/a>.<\/p>\n<blockquote><p>No olvides que los criptomineros malintencionados no solo existen para la PC: tambi\u00e9n vienen para tel\u00e9fonos inteligentes, y a menudo simulan ser cosas como juegos m\u00f3viles populares o incluso aplicaciones oficiales del gobierno. Encontrar\u00e1s informaci\u00f3n adicional en estas publicaciones anteriores:<\/p>\n<ul>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/29038\/\" target=\"_blank\" rel=\"noopener\"><strong>Troyano para Android que se hace pasar por servicios gubernamentales y aplicaciones de Starlink<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/what-happens-if-you-download-cracked-program\/28026\/\" target=\"_blank\" rel=\"noopener\"><strong>\u00bfQu\u00e9 pasa si descargo un programa crackeado?<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/miner-disguised-as-circumvention-tools\/53118\/\" target=\"_blank\" rel=\"noopener nofollow\"><strong>Videos minados de malware: c\u00f3mo los ciberdelincuentes chantajean a los youtubers para que promocionen su malware<\/strong><\/a><\/li>\n<li><a href=\"https:\/\/latam.kaspersky.com\/blog\/mario-forever-malware-too\/26477\/\" target=\"_blank\" rel=\"noopener\"><strong>Mario Forever, alerta de malware: Un juego gratuito con un minero y troyanos en su interior<\/strong><\/a><\/li>\n<\/ul>\n<\/blockquote>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-geek\">\n","protected":false},"excerpt":{"rendered":"<p>A ra\u00edz de un ataque a la cadena de suministro, al instalar Hola Browser, algunos usuarios de Windows tambi\u00e9n descargaron, sin saberlo, un criptominero de Monero. <\/p>\n","protected":false},"author":2726,"featured_media":29334,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[5884,3377,3110,3207,3246,3262,1262,272,79],"class_list":{"0":"post-29333","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ataque-a-la-cadena-de-suministro","9":"tag-cadena-de-suministro","10":"tag-criptomonedas","11":"tag-mineros","12":"tag-monero","13":"tag-navegadores","14":"tag-troyanos","15":"tag-vpn","16":"tag-windows"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/29333\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hola-browser-supply-chain-attack-cryptominer\/30837\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/25877\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hola-browser-supply-chain-attack-cryptominer\/30679\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hola-browser-supply-chain-attack-cryptominer\/32281\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hola-browser-supply-chain-attack-cryptominer\/42102\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hola-browser-supply-chain-attack-cryptominer\/14666\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hola-browser-supply-chain-attack-cryptominer\/55999\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hola-browser-supply-chain-attack-cryptominer\/25147\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hola-browser-supply-chain-attack-cryptominer\/33670\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hola-browser-supply-chain-attack-cryptominer\/30787\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hola-browser-supply-chain-attack-cryptominer\/36347\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hola-browser-supply-chain-attack-cryptominer\/36237\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/criptomonedas\/","name":"criptomonedas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29333","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=29333"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29333\/revisions"}],"predecessor-version":[{"id":29335,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/29333\/revisions\/29335"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/29334"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=29333"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=29333"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=29333"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}