Crypto news

20.06.2026
07:05

Ciberamenazas de la semana: un gusano USB caza carteras de criptomonedas, Apple parchea un agujero en los Beats Studio Buds y un nuevo troyano para Android

security_new1

Otra semana más ha traído un ramillete de señales alarmantes del mundo de la ciberseguridad. Desde sofisticados esquemas de ingeniería social hasta vulnerabilidades de hardware, los atacantes no descansan, y nosotros analizamos sus tácticas.

Reputación falsa en GitHub y YouTube: cómo promocionan los criptoclippers

Una campaña masiva de distribución de malware utiliza métodos dignos del marketing legítimo. Los atacantes crean «redes fantasma» (Ghost Networks) enteras para inflar la reputación en GitHub, SourceForge y YouTube. Su objetivo es la implantación de un clipper en Rust que monitoriza el portapapeles y sustituye las direcciones de criptomonederos en Windows y macOS. En SourceForge, el contador de descargas se infló artificialmente hasta 44 000 mediante una granja de dispositivos Android, y en YouTube, un canal con 91 000 suscriptores promociona «herramientas para trading». Esta táctica de manipulación de plataformas de crowdsourcing es un precedente peligroso que en el futuro podría utilizarse para distribuir ransomware.

Gusano USB con capacidad de autorreplicación

Expertos de Microsoft han revelado los detalles de una campaña en la que el malware se propaga a través de unidades USB. La infección comienza al abrir un archivo .LNK modificado. El gusano escanea el sistema, oculta los documentos originales y los sustituye por accesos directos maliciosos. Para autocopiarse en nuevas unidades USB, se crea una tarea programada. En su fase activa, un stealer monitoriza el portapapeles cada medio segundo en busca de frases semilla BIP39 y direcciones de monederos de Bitcoin, Ethereum, Tron y Monero. Al detectar una dirección, la sustituye por los datos del atacante, y el algoritmo selecciona monederos con caracteres iniciales visualmente coincidentes. Cada diez segundos se toman cinco capturas de pantalla. Los principales indicadores de infección son la actividad sospechosa de wscript.exe y cscript.exe, así como conexiones no autorizadas a localhost:9050 (puerto de Tor).

Corea del Sur desmantela una red de lavadores de criptomonedas

Las autoridades de Corea del Sur han detenido a 23 sospechosos vinculados a una organización de phishing camboyana. Entre febrero de 2024 y abril de 2025, el grupo transfirió aproximadamente 11,1 millones de USDT a través de una red de 11 300 cuentas. Estas cuentas de tránsito estaban vinculadas a fondos robados por valor de 17 millones de dólares, obtenidos en 265 incidentes. Se incautaron ingresos delictivos por valor de 430 000 dólares. El organizador del grupo sigue en libertad, pero ya se ha emitido una «notificación roja» de Interpol contra él.

Nuevo troyano Android Rokarolla: 137 comandos para el robo

Investigadores de Zimperium han descubierto el troyano Rokarolla, dirigido al robo de criptomonedas. Su arsenal incluye 137 comandos remotos. El malware se hace pasar por un componente del sistema Google Play Protect, obligando al usuario a conceder acceso a «Accesibilidad». Tras ello, desactiva el escáner real de Play Protect y crea páginas HTML falsas de inicio de sesión para criptomonederos. Una superposición independiente imita la pantalla de bloqueo de Android para robar el PIN. Un clipper integrado sustituye las direcciones de los monederos en el portapapeles. Para eludir la 2FA, el troyano intercepta los SMS y puede bloquear las llamadas entrantes de los sistemas antifraude de los bancos.

Estafadores de criptomonedas contratan mensajeros para recoger efectivo

El FBI informa de una nueva táctica en los esquemas de «matanza de cerdos». Cuando los sistemas bancarios bloquean transacciones sospechosas, los estafadores convencen a la víctima de que retire efectivo y envían un mensajero para recogerlo. Para la identificación se utiliza una contraseña acordada previamente o el número de serie de un billete. En 2025, las estafas con criptomonedas e inversiones representaron el 49% de todos los ciberincidentes en EE. UU., con pérdidas de 8.600 millones de dólares.

Apple corrige una peligrosa vulnerabilidad en Beats Studio Buds

Apple ha lanzado una actualización de firmware para los Beats Studio Buds que corrige la vulnerabilidad CVE-2025-20701. La brecha, descubierta por SentinelOne, permitía a un hacker en el radio de alcance del Bluetooth conectarse sigilosamente a los auriculares y utilizar el micrófono integrado para espiar. El problema está relacionado con una autorización incorrecta en el SDK de audio Bluetooth. El exploit también permitía leer y sobrescribir la memoria de los auriculares e interceptar las relaciones de confianza con teléfonos inteligentes emparejados previamente, abriendo un vector para ataques en múltiples etapas. La vulnerabilidad se ha solucionado en la versión de firmware 1B211.

Opinión del experto: Esta semana demuestra claramente que las ciberamenazas son cada vez más complejas e interdisciplinarias. Los atacantes ya no se limitan a escribir código malicioso: construyen ecosistemas enteros para su promoción y ocultación. Desde la reputación falsa en GitHub hasta mensajeros físicos para recoger efectivo, los ataques evolucionan. Los inversores y usuarios deben redoblar la vigilancia: no confiar ciegamente en las «estrellas» de GitHub, no conectar unidades USB sospechosas y revisar cuidadosamente los permisos que conceden a las aplicaciones móviles.