Crypto news

20.06.2026
07:35

Análisis de la semana: criptoclippers potenciados, gusano USB de nueva generación y desastre surcoreano

security_new1

El mundo de la ciberseguridad sigue dando sorpresas, y esta semana hemos sido testigos de una serie de ataques que obligan a replantear los enfoques habituales para proteger los activos digitales. Desde complejos esquemas de ingeniería social de múltiples capas hasta vulnerabilidades de hardware, las amenazas son cada vez más sofisticadas.

Reputación falsa como arma: criptoclippers en GitHub y YouTube

Los atacantes han demostrado un nuevo nivel de maestría al utilizar herramientas de marketing legítimas para generar una falsa confianza. En el marco de una campaña masiva, los hackers desplegaron toda una "economía de la reputación" para introducir criptoclippers disfrazados de herramientas de trading para Solana y Pump.fun.

El clipper, escrito en Rust, está dirigido a Windows y macOS. Su tarea es monitorear el portapapeles y reemplazar instantáneamente las direcciones de las billeteras por los datos de los atacantes. Pero lo principal es la infraestructura de "redes fantasma" (Ghost Networks). Cuentas falsas en VirusTotal, GitHub, SourceForge y YouTube inflan coordinadamente "me gusta", comentarios y descargas. En SourceForge, el contador se infló artificialmente hasta 44 000 mediante una granja de dispositivos Android. Un canal de YouTube con 91 000 suscriptores utiliza voces de IA para crear videos tutoriales. Esto es un precedente peligroso: el esquema, probado con éxito, podría aplicarse para distribuir ransomware e infostealers.

Gusano USB: autorreplicación a través de accesos directos ocultos de Windows

Expertos de Microsoft revelaron los detalles de una campaña en la que un gusano USB utiliza una técnica de autopropagación, ocultándose en archivos .LNK modificados. Al abrir dicho acceso directo en una memoria USB, el malware descarga la carga útil desde un servidor .onion, escanea el sistema en busca de documentos, los oculta y los reemplaza con accesos directos maliciosos con los mismos nombres.

El gusano crea una tarea programada que rastrea la conexión de nuevas unidades USB y se copia instantáneamente en ellas. Solo está activo si el "Administrador de tareas" no está en ejecución. Cada medio segundo, el stealer monitorea el portapapeles en busca de frases semilla BIP39 y direcciones de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, las reemplaza al instante. Cada diez segundos, toma cinco capturas de pantalla. Los indicadores de infección son conductuales: ejecuciones inesperadas de wscript.exe, cscript.exe, Curl, PowerShell y conexiones a localhost:9050.

Corea del Sur: desmantelamiento de una red de lavado de dinero para un sindicato camboyano

Las autoridades de Corea del Sur detuvieron a 23 personas implicadas en el lavado de dinero para una organización de phishing camboyana. La red utilizaba un enrutamiento complejo a través de 11 300 cuentas en exchanges nacionales y extranjeros. Entre febrero de 2024 y abril de 2025, se movieron 11,1 millones de USDT vinculados a 17 millones de dólares robados en 265 incidentes. Se incautaron 430 000 dólares, pero el organizador está prófugo bajo una "notificación roja" de Interpol.

Troyano Android Rokarolla: 137 comandos para el control total del dispositivo

Investigadores de Zimperium descubrieron el troyano Rokarolla, que se propaga a través de sitios web falsos, haciéndose pasar por TikTok o Google Chrome. Tras la instalación, imita un componente del sistema Google Play Protect y obliga al usuario a conceder acceso a "Accesibilidad". Una vez obtenido, el troyano desactiva el Play Protect real y despliega un arsenal completo de 137 comandos remotos.

Rokarolla intercepta códigos PIN, lee SMS, reemplaza el portapapeles para robar criptomonedas e incluso bloquea llamadas entrantes para que la víctima no reciba una alerta bancaria. Una superposición separada imita la pantalla de bloqueo de Android, permitiendo robar la contraseña. Esto confirma una vez más que la principal defensa es la vigilancia al otorgar permisos de "Accesibilidad".

Apple corrige una vulnerabilidad en Beats Studio Buds

Apple lanzó una actualización de firmware para Beats Studio Buds, cerrando la vulnerabilidad crítica CVE-2025-20701. La brecha, descubierta por SentinelOne, permitía a los hackers en el radio de Bluetooth conectarse a los auriculares sin autenticación y usar el micrófono integrado para espiar. El exploit también daba acceso para leer y sobrescribir la memoria, así como para interceptar las relaciones de confianza con dispositivos emparejados. La corrección se incluyó en la versión 1B211.

Opinión del experto: Esta semana ha demostrado que estamos entrando en una era de ataques híbridos, donde la ingeniería social y las vulnerabilidades técnicas se fusionan en un todo. Especialmente preocupante es la creación de reputación falsa en plataformas de crowdsourcing, lo que socava la base misma de la confianza en los ecosistemas abiertos. Para los usuarios, esto significa que no se puede confiar ni en los "me gusta", ni en las estrellas, ni siquiera en los canales "verificados". El único escudo fiable es la propia ciberhigiene y la autenticación multifactorial.