Ciberseguridad de la semana: Gusano USB para robar criptomonedas, vulnerabilidad en Beats Studio Buds y nueva táctica de estafadores

Resumen analítico de los eventos clave en ciberseguridad de la semana pasada: desde complejos ataques de múltiples etapas hasta nuevas vulnerabilidades en dispositivos populares.
Gusano USB con capacidad de autorreplicación: una nueva amenaza para los poseedores de criptomonedas
Expertos de Microsoft identificaron una peligrosa campaña en la que los atacantes utilizan un gusano USB autorreplicante para robar activos digitales. La infección ocurre al abrir un archivo de acceso directo (.LNK) modificado en una unidad USB. Tras la activación, el malware descarga sigilosamente módulos adicionales desde un servidor de comando ubicado en la red Tor.
El gusano escanea el sistema local en busca de documentos de usuario, oculta los originales y los reemplaza con accesos directos maliciosos con nombres idénticos. Así, cada vez que la víctima intenta abrir sus archivos, el malware se reactiva. Para autorreplicarse, el programa crea una tarea que monitorea la conexión de nuevos dispositivos USB y se copia instantáneamente en ellos.
En la fase activa, el ladrón monitorea el portapapeles cada medio segundo, buscando frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectar una dirección copiada, la reemplaza instantáneamente por los datos del atacante, con un algoritmo que selecciona billeteras visualmente similares al original. Además, cada diez segundos, el virus toma cinco capturas de pantalla y las envía a los hackers.
Mi opinión experta: Esta campaña muestra una evolución alarmante en las tácticas de los ciberdelincuentes. El uso de dispositivos USB para autorreplicarse y Tor para ocultar servidores de comando es un retorno a métodos clásicos, pero con un contenido moderno y orientado a criptomonedas. Especial atención merece el hecho de que los indicadores de infección son de comportamiento, no de firma, lo que dificulta enormemente su detección por antivirus tradicionales.
Reputación falsa como herramienta para propagar clippers de criptomonedas
Especialistas de Check Point Research revelaron una campaña masiva en la que los atacantes crearon una compleja "economía de reputación" para promover malware. El objetivo final es la instalación de clippers de criptomonedas disfrazados de herramientas comerciales legítimas para Solana y Pump.fun.
El malware, escrito en Rust, se dirige a Windows y macOS. Monitorea sigilosamente el portapapeles y reemplaza las direcciones de billetera copiadas. Para generar confianza, los hackers utilizan "redes fantasma": cuentas falsas en VirusTotal, GitHub y YouTube que inflan "me gusta" y dejan reseñas positivas. En SourceForge, el contador de descargas se infló artificialmente a 44,000 mediante una granja de dispositivos Android. Para la promoción, se utiliza un canal de YouTube con más de 91,000 suscriptores, donde los videos se crean con voz generada por IA.
Apple corrige una peligrosa vulnerabilidad en Beats Studio Buds
Apple lanzó una actualización de firmware para los auriculares inalámbricos Beats Studio Buds, cerrando la vulnerabilidad CVE-2025-20701 de alta peligrosidad. El problema, relacionado con una autorización incorrecta en el SDK de audio Bluetooth, permitía a atacantes dentro del alcance de Bluetooth conectarse sigilosamente a los auriculares y activar el micrófono incorporado para espiar.
El exploit puede activarse sin autenticación y proporciona un control casi total sobre el dispositivo, incluida la lectura y sobrescritura de memoria, así como la interceptación de relaciones de confianza con teléfonos inteligentes previamente emparejados. La vulnerabilidad se corrigió en la versión de firmware 1B211.
Policía de Corea del Sur desmantela una red de lavado de criptomonedas
Las autoridades de Corea del Sur detuvieron a 23 sospechosos implicados en el lavado de fondos para una organización de phishing camboyana. Desde febrero de 2024 hasta abril de 2025, el grupo transfirió aproximadamente 11,1 millones de USDT a través de una compleja red de 11.300 cuentas diferentes en exchanges nacionales y extranjeros. Se incautaron ingresos delictivos por valor de unos 430.000 dólares. El presunto organizador está en busca y captura internacional mediante una "notificación roja" de Interpol.
Nuevo troyano Rokarolla para Android y otras amenazas
Investigadores de Zimperium descubrieron el troyano Rokarolla para Android, dirigido al robo de criptomonedas. Su arsenal incluye 137 comandos remotos que permiten interceptar códigos PIN, manipular el portapapeles y desactivar mecanismos de protección del sistema operativo. El malware se propaga a través de sitios web falsos que se hacen pasar por TikTok y Google Chrome, y obtiene acceso a "Accesibilidad" mediante ingeniería social.
Además, el FBI advierte sobre una nueva táctica de estafadores que contratan mensajeros para recoger efectivo de víctimas cuyas transacciones son bloqueadas por los bancos. Según la oficina, en 2025, las estafas de criptomonedas e inversiones representaron el 49% de todos los incidentes, con pérdidas de 8.600 millones de dólares.