Ciberamenazas de la semana: Gusano USB para robar criptomonedas, vulnerabilidad en Beats Studio Buds y nueva táctica de estafadores
Esta semana, el panorama de ciberamenazas para la comunidad cripto se ha ampliado con varios vectores de ataque peligrosos. Desde gusanos USB que se autorreplican hasta complejos troyanos para Android, los atacantes continúan perfeccionando sus métodos. Analicemos los eventos clave.
Gusano USB: un nuevo nivel de persistencia
Uno de los hallazgos más alarmantes fue un gusano USB que utiliza accesos directos ocultos de Windows para robar criptomonedas. La infección comienza al abrir un archivo .LNK modificado en una unidad flash. Después, el malware establece conexión con un servidor de comando en la red Tor y escanea el sistema en busca de documentos del usuario. Los archivos originales se ocultan y en su lugar aparecen accesos directos maliciosos con los mismos nombres; así, el gusano se activa cada vez que se intenta abrir archivos de trabajo.
El mecanismo de autorreplicación representa un peligro especial: el virus crea una tarea que monitorea la conexión de nuevas unidades USB y se copia instantáneamente en ellas. El ladrón entra en fase activa solo cuando el "Administrador de tareas" no está en ejecución. Monitorea el portapapeles cada medio segundo, interceptando frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. La suplantación de direcciones ocurre con enmascaramiento visual: se seleccionan billeteras con caracteres iniciales coincidentes. Además, cada diez segundos se toman cinco capturas de pantalla. La actividad del gusano se registra desde febrero, y los indicadores clave de infección son conductuales: ejecuciones inesperadas de wscript.exe, cscript.exe, Curl y conexiones a localhost:9050.
Rokarolla: troyano Android con control total
Investigadores descubrieron un nuevo troyano Android llamado Rokarolla, dirigido al robo de criptomonedas. Su arsenal incluye 137 comandos remotos. El malware se disfraza de instaladores de TikTok o Google Chrome y, en una primera etapa, imita el componente del sistema Google Play Protect. Mediante ingeniería social, obliga al usuario a otorgar acceso a "Accesibilidad", tras lo cual desactiva el escáner real de Play Protect y despliega toda su funcionalidad.
Rokarolla descarga páginas HTML falsas de inicio de sesión para cada billetera cripto de una lista objetivo. Cuando la víctima abre una aplicación legítima, el troyano la superpone con una ventana falsa e intercepta los datos ingresados. Una superposición separada imita la pantalla de bloqueo de Android, permitiendo robar el PIN o el patrón gráfico. Un clipper integrado monitorea el portapapeles y sustituye las direcciones de las billeteras. Para eludir el 2FA, el troyano lee y envía SMS, y también puede bloquear llamadas entrantes de sistemas antifraude bancarios. La principal defensa es ser extremadamente cauteloso con las solicitudes de acceso a "Accesibilidad".
Vulnerabilidad en Beats Studio Buds: espionaje por Bluetooth
Apple lanzó una actualización de firmware para Beats Studio Buds que corrige la vulnerabilidad CVE-2025-20701, de alta peligrosidad. La brecha, relacionada con una autorización incorrecta en el SDK de audio Bluetooth de Airoha, permitía a atacantes dentro del alcance de Bluetooth conectarse remotamente a los auriculares sin conocimiento del usuario, siempre que el dispositivo no estuviera emparejado y estuviera en modo de búsqueda. El exploit se activa a través de Bluetooth estándar o BLE sin autenticación. Además de la escucha a través del micrófono integrado, el ataque otorga un control casi total sobre el dispositivo: lectura y sobrescritura de memoria, así como la interceptación de relaciones de confianza con teléfonos inteligentes previamente emparejados. La actualización a la versión 1B211 es obligatoria para todos los usuarios.
Otros eventos de la semana
Entre otros incidentes significativos: el desmantelamiento en Corea del Sur de una red de lavado de 11,1 millones de USDT para un sindicato camboyano (23 detenidos), así como una nueva táctica del FBI donde estafadores contratan mensajeros para recoger efectivo de víctimas cuyas transacciones son bloqueadas por los bancos. Recuerdo que, según datos del FBI para 2025, las estafas cripto y de inversión representan el 49% de todos los ciberdelitos en EE. UU., con pérdidas de 8.600 millones de dólares.
Mi comentario: La tendencia al uso de gusanos USB y troyanos Android complejos con funciones de autorreplicación y evasión de 2FA indica una profesionalización del cibercrimen cripto. Se debe prestar especial atención a los indicadores conductuales: los métodos tradicionales de detección por firmas ya no son efectivos aquí. Los usuarios deben reforzar las medidas básicas de protección: desactivar la ejecución automática desde USB, usar billeteras de hardware y actualizar regularmente el firmware de todos los dispositivos Bluetooth.