Crypto news

20.06.2026
08:06

Ciberseguridad de la semana: Gusano USB contra carteras criptográficas, vulnerabilidad en Beats Studio Buds y nueva ola de troyanos Android

security_new1

Esta semana, el panorama de ciberamenazas para los poseedores de activos digitales se ha ampliado con varios vectores de ataque peligrosos. Desde gusanos USB que se autopropagan hasta complejos troyanos para Android, los atacantes continúan perfeccionando sus tácticas. He analizado los eventos clave y estoy listo para compartir los detalles.

Gusano USB: una nueva forma de robar criptomonedas a través de accesos directos ocultos de Windows

Merece especial atención una campaña en la que el malware utiliza soportes físicos para autopropagarse. El mecanismo se activa al abrir un archivo de acceso directo modificado (.LNK) en una unidad USB. Tras la activación, el gusano se comunica con un servidor de comando y control en la zona de dominio .onion, descargando módulos adicionales.

La característica clave es que el malware escanea el sistema en busca de documentos de usuario, oculta los originales y los reemplaza con accesos directos maliciosos. De esta manera, cada vez que se accede a un archivo se desencadena una reacción en cadena. Para autocopiarse en nuevas unidades USB, se crea una tarea programada que monitorea la conexión de dispositivos externos.

El ladrón solo entra en fase activa cuando el "Administrador de tareas" no está en ejecución. Monitorea el portapapeles cada medio segundo, interceptando frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectar una dirección copiada, el programa la reemplaza con los datos del atacante, seleccionando caracteres visualmente similares. Además, cada diez segundos se toman cinco capturas de pantalla. La actividad se registra desde febrero, y los principales indicadores de infección son conductuales: actividad sospechosa de wscript.exe, ejecuciones inesperadas de Curl y conexiones a localhost:9050.

Troyano Android Rokarolla: control total del dispositivo

Los investigadores han identificado un nuevo troyano para Android, Rokarolla, cuyo arsenal incluye 137 comandos remotos. Se propaga a través de sitios falsos que se hacen pasar por instaladores de TikTok y Google Chrome. La primera etapa consiste en simular un componente del sistema Google Play Protect, tras lo cual, mediante ingeniería social, se obliga a la víctima a conceder acceso a "Accesibilidad".

Una vez obtenido el permiso, el troyano desactiva el Play Protect real y descarga páginas HTML falsas de inicio de sesión para cada aplicación activa de la lista objetivo. Cuando el usuario abre una billetera de criptomonedas legítima, el malware la superpone con una ventana falsa. Una superposición separada imita la pantalla de bloqueo de Android para robar el PIN. Para eludir la autenticación de dos factores (2FA), el troyano lee todos los SMS y puede bloquear llamadas entrantes de sistemas antifraude bancarios. La principal defensa es la vigilancia al otorgar permisos de "Accesibilidad".

Vulnerabilidad en Beats Studio Buds: escucha a través de Bluetooth

Apple ha lanzado una actualización de firmware para Beats Studio Buds que corrige la vulnerabilidad CVE-2025-20701. La brecha, relacionada con una autorización incorrecta en el SDK de audio Bluetooth, permitía a los atacantes dentro del alcance de Bluetooth conectarse a los auriculares sin el conocimiento del usuario, si el auricular no estaba emparejado y activo en modo de búsqueda. El exploit se activaba a través de Bluetooth estándar o BLE sin autenticación, proporcionando un control casi total sobre el dispositivo: desde la escucha hasta la interceptación de relaciones de confianza con teléfonos inteligentes previamente emparejados.

Opinión del analista

La semana actual muestra una tendencia alarmante: los atacantes están pasando de simples ataques de phishing a esquemas complejos de múltiples etapas que utilizan soportes físicos y la toma de control total de dispositivos móviles. El gusano USB que opera a través de Tor es una evolución de las amenazas que exige a los usuarios no solo vigilancia digital, sino también física. Recomiendo limitar el uso de unidades USB de terceros y verificar regularmente la actividad de los procesos wscript.exe y cscript.exe.