Crypto news

20.06.2026
04:45

Las amenazas criptográficas de la semana: Gusano USB contra Windows, troyano Android Rokarolla y vulnerabilidad en Beats Studio Buds

security_new1

Esta semana, el panorama de ciberamenazas para la comunidad cripto se ha visto incrementado con varios vectores de ataque peligrosos. Desde gusanos autorreplicantes hasta troyanos complejos para Android, los atacantes continúan perfeccionando su arsenal. Analicemos los eventos clave en el ámbito de la criptoseguridad.

Gusano USB con función de robo: nueva amenaza para propietarios de criptomonedas

Expertos de Microsoft revelaron los detalles de una campaña de distribución de malware autorreplicante dirigido al robo de activos digitales. La infección ocurre al abrir un acceso directo modificado (.LNK) en una unidad USB. Tras la activación, el gusano descarga sigilosamente cargas útiles desde un servidor de comando en el dominio .onion.

El mecanismo de infección es extremadamente engañoso: el malware escanea el sistema, oculta los documentos originales del usuario y los reemplaza con accesos directos de nombres idénticos. Cada vez que la víctima intenta abrir su archivo, el virus se reactiva. Para autopropagarse, el gusano crea una tarea programada que monitorea la conexión de nuevas unidades USB y se copia instantáneamente en ellas.

En su fase activa, el ladrón monitorea el portapapeles cada medio segundo, buscando frases semilla BIP39 de 12 y 24 palabras, así como direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, las reemplaza con los datos del atacante, y el algoritmo selecciona billeteras con caracteres iniciales visualmente similares. Además, cada diez segundos se toman cinco capturas de pantalla. Los indicadores de infección incluyen actividad sospechosa de los procesos wscript.exe, cscript.exe, así como conexiones no autorizadas a localhost:9050 (puerto estándar de Tor).

Troyano Android Rokarolla: control total del dispositivo

Investigadores de Zimperium descubrieron un nuevo troyano Android, Rokarolla, cuyo arsenal incluye 137 comandos remotos. El malware se distribuye a través de sitios falsos que se hacen pasar por instaladores de TikTok y Google Chrome. En la primera etapa, se obliga a la víctima a otorgar acceso a "Accesibilidad", tras lo cual el troyano desactiva la protección Play Protect y despliega toda su funcionalidad.

Rokarolla utiliza páginas HTML de inicio de sesión falsas para suplantar billeteras cripto legítimas, y también simula la pantalla de bloqueo de Android para robar códigos PIN. Un clipper integrado reemplaza direcciones en el portapapeles, y para eludir la 2FA, el troyano intercepta SMS. Además, al establecerse como la aplicación predeterminada para llamadas, puede bloquear llamadas entrantes de sistemas antifraude bancarios.

Vulnerabilidad en Beats Studio Buds: escucha sin consentimiento

Apple lanzó una actualización de firmware para Beats Studio Buds, corrigiendo la vulnerabilidad CVE-2025-20701 de alta gravedad. El problema, detectado en el SDK de audio Bluetooth de Airoha, permitía a atacantes dentro del alcance Bluetooth conectarse a los auriculares sin autenticación y activar el micrófono integrado para espiar.

El exploit también permitía leer y sobrescribir la memoria RAM y flash del dispositivo, así como interceptar relaciones de confianza con teléfonos inteligentes previamente emparejados. La vulnerabilidad se solucionó en la versión de firmware 1B211.

Otros eventos de la semana

  • Las autoridades de Corea del Sur detuvieron a 23 sospechosos en un caso de lavado de 11,1 millones de USDT para una organización de phishing camboyana. El esquema involucró 11 300 cuentas, y el monto total de fondos robados ascendió a $17 millones.
  • El FBI advirtió sobre una nueva táctica de estafadores cripto: contratan mensajeros para recoger efectivo de víctimas cuyas transacciones bancarias son bloqueadas por sistemas de seguridad. En 2025, los daños por estos esquemas en EE. UU. alcanzaron los $8,6 mil millones.
  • Un contrato obsoleto en la red Aztec fue hackeado por $2 millones.

Comentario de expertos: Esta semana demuestra claramente que los ciberdelincuentes están pasando a ataques multivecctor, combinando ingeniería social con métodos técnicamente complejos. Especialmente alarmante es el gusano USB: su capacidad de autorreplicación y camuflaje como archivos de usuario lo hace extremadamente peligroso para el sector corporativo. Recomiendo a todos los propietarios de criptomonedas que actualicen de inmediato el firmware de sus auriculares y revisen cuidadosamente los permisos otorgados a las aplicaciones móviles.