Crypto news

20.06.2026
05:20

Disfraz de confianza: reputaciones falsas, gusanos USB y nuevos troyanos para Android — resumen de ciberamenazas de la semana

security_new1

El mundo de la ciberseguridad cripto sigue planteando nuevos desafíos. Esta semana hemos presenciado una cascada de ataques, desde sofisticados esquemas de manipulación de reputación en GitHub hasta gusanos USB autorreplicantes. He analizado los eventos clave para que puedas mantenerte al día.

La reputación falsa como herramienta: criptoclippers en Solana y Pump.fun

Los atacantes han llevado la ingeniería social a un nuevo nivel, creando toda una "economía de la reputación" para promover malware. En el centro del esquema hay un criptoclipper escrito en Rust dirigido a Windows y macOS. Se disfraza de herramientas de trading en los ecosistemas de Solana y Pump.fun, así como de software de apuestas.

El hacker construyó una compleja infraestructura de "redes fantasma" (Ghost Networks) en múltiples plataformas. En VirusTotal, un clúster de cuentas falsas dejaba reseñas positivas masivamente para clasificar erróneamente archivos maliciosos como seguros. En GitHub y SourceForge se utilizó una red de cuentas para la promoción mutua de repositorios, y en SourceForge el contador de descargas se infló artificialmente hasta 44,000 mediante una granja de dispositivos Android. En YouTube, se utiliza un canal con más de 91,000 suscriptores para publicidad, donde los videos tutoriales se crean con generadores de voz de IA y se acompañan de comentarios inflados. Para legitimar la herramienta, el hacker utiliza servicios de distribución de comunicados de prensa que luego son republicados automáticamente por sitios de noticias asociados. Este es un cambio peligroso en la táctica: el esquema perfeccionado podría aplicarse para la distribución masiva de ransomware y infostealers más complejos.

Gusano USB: accesos directos ocultos y robo de frases semilla

Expertos de Microsoft revelaron los detalles de una campaña de malware autorreplicante dirigida a propietarios de criptomonedas. El proceso de infección se activa al abrir un archivo de acceso directo (.LNK) modificado en una unidad USB. El gusano instala sigilosamente cargas adicionales desde un servidor de comando y control en la zona de dominio .onion, escanea el sistema en busca de documentos de usuario, los reemplaza con accesos directos maliciosos y crea una tarea programada para autopropagarse a nuevas unidades USB.

En la fase activa, el stealer monitorea el portapapeles en busca de frases semilla BIP39 (de 12 y 24 palabras) y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, las reemplaza instantáneamente con los datos del atacante, seleccionando billeteras con caracteres iniciales visualmente coincidentes. Cada diez segundos, el virus toma cinco capturas de pantalla y las envía a los hackers. La actividad se registra al menos desde febrero, y los principales indicadores de infección son de comportamiento: actividad sospechosa de wscript.exe y cscript.exe, ejecuciones inesperadas de Curl y PowerShell, y conexiones a localhost:9050 (puerto Tor).

Corea del Sur contra los blanqueadores: 11,300 cuentas y $17 millones en daños

Las autoridades de Corea del Sur detuvieron a 23 sospechosos en un caso de blanqueo de dinero para una organización de phishing camboyana. Desde febrero de 2024 hasta abril de 2025, el grupo movió alrededor de 11.1 millones de USDT a través de una compleja red de enrutamiento utilizando intercambios de criptomonedas tanto nacionales como extranjeros. Para blanquear el dinero, los atacantes utilizaron alrededor de 11,300 cuentas diferentes vinculadas a fondos robados por aproximadamente $17 millones, obtenidos de 265 incidentes. Durante las redadas se incautaron alrededor de $430,000, pero el presunto organizador sigue prófugo: la Interpol ha emitido una orden internacional contra él.

Nuevo troyano Android Rokarolla: 137 comandos y control total del dispositivo

Investigadores de Zimperium descubrieron el troyano Android Rokarolla, dirigido al robo de criptomonedas. Su arsenal cuenta con 137 comandos remotos que permiten interceptar PINs, leer SMS, manipular el portapapeles y desactivar los mecanismos de protección integrados del sistema operativo. El malware se propaga a través de sitios web falsos que se hacen pasar por instaladores de TikTok y Google Chrome. El dropper imita un componente del sistema Google Play Protect y, mediante ingeniería social, obliga al usuario a conceder acceso a "Accesibilidad", tras lo cual despliega la carga principal y desactiva el escáner real de Play Protect.

Rokarolla descarga páginas HTML de inicio de sesión falsas para cada aplicación activa de una lista objetivo, interceptando las credenciales de las billeteras de criptomonedas. Una superposición separada imita la pantalla de bloqueo estándar de Android, permitiendo robar el PIN o el patrón de desbloqueo. Un clipper integrado reemplaza las direcciones de billetera copiadas, mientras que la lectura de SMS y la capacidad de enviar mensajes permite eludir la autenticación de dos factores. Además, el troyano puede bloquear llamadas entrantes de los sistemas antifraude de los bancos. La principal defensa es la vigilancia al conceder permisos de "Accesibilidad".

Mensajeros para "sacrificio de cerdos" y vulnerabilidad en Beats Studio Buds

El FBI advierte sobre una nueva táctica de los operadores de estafas cripto de "sacrificio de cerdos": han comenzado a contratar mensajeros para recoger efectivo de las víctimas cuyas transacciones son bloqueadas por los sistemas de seguridad bancaria. Los estafadores ganan su confianza a través de redes sociales, luego los convencen de retirar efectivo con el pretexto de una "congelación" de la cuenta y envían a un mensajero con una contraseña previamente acordada. Según datos del FBI de 2025, las estafas con criptomonedas e inversiones siguen siendo la forma más destructiva de ciberdelincuencia en EE. UU.: el 49% de todos los incidentes con un daño total de $8.6 mil millones.

Apple lanzó una actualización de firmware para Beats Studio Buds que corrige la vulnerabilidad CVE-2025-20701. Esta permitía a los atacantes dentro del alcance de Bluetooth conectarse sigilosamente a los auriculares, usar el micrófono integrado para espiar e incluso interceptar relaciones de confianza con teléfonos inteligentes emparejados previamente. La vulnerabilidad está relacionada con una autorización incorrecta en el SDK de audio Bluetooth de Airoha y se ha solucionado con éxito en la versión de firmware 1B211.

Mi opinión experta: Esta semana ha demostrado que los atacantes no solo son técnicamente más sofisticados, sino también psicológicamente más astutos. La manipulación de plataformas de crowdsourcing y el uso de "redes de reputación" son una señal alarmante. Los inversores deben ser doblemente cautelosos: no solo confiar en reseñas y calificaciones, sino también verificar cada aplicación descargada a través de múltiples fuentes independientes. Los gusanos USB y los troyanos Android nos recuerdan que la higiene básica de seguridad (actualizaciones periódicas y evitar enlaces sospechosos) sigue siendo tu principal escudo.