Crypto news

20.06.2026
06:50

Ciberamenazas de la semana: un gusano USB apunta a carteras de criptomonedas, Apple parchea una vulnerabilidad en los Beats Studio Buds y una nueva ola de troyanos para Android.

security_new1

La semana pasada en el ámbito de la ciberseguridad fue intensa: desde sofisticados esquemas de ingeniería social hasta vulnerabilidades de hardware. Analicemos los eventos clave que deberían estar en el radar de todos los que trabajan con activos digitales.

Reputación falsa como arma: criptoclippers de nueva generación

Los atacantes han llevado la táctica de generar confianza a un nuevo nivel. En lugar de correos de phishing aislados, han desplegado toda una infraestructura de "redes fantasma" para promover un criptoclipper malicioso. Este troyano basado en Rust, que se hace pasar por herramientas de trading para Solana y Pump.fun, monitorea el portapapeles y reemplaza instantáneamente las direcciones de las billeteras.

Lo que es especialmente preocupante es que los atacantes manipulan las calificaciones en GitHub, SourceForge y YouTube. Utilizan granjas de cuentas para inflar likes, estrellas y reseñas positivas. En SourceForge, las descargas se inflaron artificialmente hasta 44 000 mediante granjas de Android. Incluso VirusTotal resultó comprometido: un clúster de cuentas falsas marcaba erróneamente archivos maliciosos como seguros. Este es un precedente peligroso que demuestra que las plataformas de crowdsourcing ya no son una fuente confiable de validación.

Gusano USB con control Tor: amenaza oculta para Windows

Expertos de Microsoft revelaron el mecanismo de funcionamiento de un gusano autorreplicante dirigido al robo de criptomonedas. La infección comienza al abrir un archivo .LNK modificado en una unidad USB. Después, el gusano oculta los documentos originales del usuario y los reemplaza con accesos directos maliciosos, activándose con cada clic.

La característica clave es el uso de Tor para comunicarse con un servidor de comando y control en el dominio .onion. El malware monitorea el portapapeles cada medio segundo en busca de frases semilla BIP39 y direcciones de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, reemplaza la dirección por los datos del atacante, y el algoritmo selecciona caracteres iniciales visualmente similares. Además, el virus toma capturas de pantalla cada diez segundos y puede ejecutar scripts arbitrarios de JavaScript. La actividad se registra desde febrero, y el principal indicador es la actividad sospechosa de los procesos wscript.exe y cscript.exe.

Corea del Sur: desmantelamiento de una red de lavado de $17 millones

Las autoridades de Corea del Sur detuvieron a 23 sospechosos implicados en el lavado de fondos para una organización de phishing camboyana. Entre febrero de 2024 y abril de 2025, el grupo movió aproximadamente 11,1 millones de USDT a través de una red de 11 300 cuentas. Estas cuentas estaban vinculadas a fondos robados por $17 millones, obtenidos en 265 incidentes. Se incautaron alrededor de $430 000, pero el presunto organizador huyó y fue incluido en la lista de búsqueda internacional mediante una "notificación roja" de Interpol. Este es un ejemplo claro de cómo los complejos esquemas de tránsito intentan ocultar las huellas de los delitos con criptomonedas.

Rokarolla: troyano Android con control total del dispositivo

Investigadores de Zimperium descubrieron un nuevo troyano Android, Rokarolla, cuyo arsenal incluye 137 comandos remotos. Se propaga a través de sitios web falsos que se hacen pasar por instaladores de TikTok y Google Chrome. Tras obtener acceso a las "Funciones de accesibilidad", el troyano desactiva Play Protect y despliega ataques de superposición.

Rokarolla falsifica la pantalla de bloqueo de Android para robar códigos PIN, intercepta SMS para eludir la autenticación de dos factores (2FA) y utiliza un clipper integrado para reemplazar direcciones de billeteras de criptomonedas. Además, puede bloquear llamadas entrantes para que las alertas bancarias no lleguen a la víctima. La única protección fiable es la máxima precaución al otorgar permisos de "Funciones de accesibilidad".

Mensajeros para recoger efectivo: nueva táctica de los "matanceros"

El FBI advierte sobre una nueva táctica de estafadores que utilizan esquemas de "sacrificio de cerdos". Cuando los sistemas bancarios bloquean transacciones sospechosas, los atacantes envían mensajeros para recoger efectivo de las víctimas. Convencen a las personas para que retiren dinero con el pretexto de una "congelación" de la cuenta, y luego simulan un aumento del saldo en una billetera falsa. Según el FBI, en 2025, las estafas de criptomonedas e inversiones representaron el 49% de todos los incidentes con pérdidas de $8,6 mil millones. Esto recuerda que incluso la interacción fuera de línea no garantiza la seguridad.

Vulnerabilidad en Beats Studio Buds: Apple cierra una brecha para espionaje

Apple lanzó una actualización de firmware para los Beats Studio Buds, corrigiendo la vulnerabilidad crítica CVE-2025-20701. La brecha en el SDK de audio Bluetooth de Airoha permitía a los atacantes dentro del alcance conectarse a los auriculares sin autorización y activar el micrófono para escuchar. El exploit también daba acceso a la memoria RAM y flash del dispositivo, y permitía interceptar relaciones de confianza con iPhones previamente emparejados. La vulnerabilidad se corrigió en la versión de firmware 1B211. Esta es una señal grave de que incluso los dispositivos periféricos pueden convertirse en un vector de ataque contra billeteras de criptomonedas y datos personales.

Comentario experto de Cryptalist: La semana pasada demuestra claramente la evolución de las amenazas: desde el phishing simple hasta ataques multicapa que utilizan ingeniería social, manipulación de la reputación y vulnerabilidades de hardware. La comunidad cripto necesita revisar sus modelos de seguridad, centrándose en el análisis de comportamiento y las billeteras de hardware, y no solo en las soluciones antivirus.