Сибераменас де ла семанa: USB-гусано каса криптомонедерос, Apple ремьенда ун агухеро ен Beats, и нуэво трояно пара Android

Esta semana, el panorama de ciberamenazas para los poseedores de activos digitales se ha visto incrementado por varios incidentes graves. Desde gusanos USB que se autopropagan hasta complejos troyanos para Android y una vulnerabilidad en los auriculares de Apple, los atacantes no dejan de inventar nuevas formas de acceder a sus fondos. Analicemos los eventos clave.
Gusano USB: una nueva evolución del cryptoclipper
Investigadores de Microsoft han detectado una campaña de distribución de un malware único que utiliza unidades USB para autorreplicarse. La activación se produce al abrir un acceso directo modificado (.LNK) en la memoria USB. Después de esto, el gusano se conecta con un servidor de comando en la zona de dominio .onion y comienza a escanear el sistema.
Su objetivo principal es la suplantación de direcciones de criptomonederos en el portapapeles. El malware rastrea las frases semilla BIP39, así como las direcciones de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, las reemplaza instantáneamente por las direcciones de los atacantes, y el algoritmo selecciona monederos con caracteres iniciales visualmente similares para que la víctima no note la sustitución. Para autopropagarse, el gusano crea una tarea que lo copia en cada nueva unidad USB conectada al PC.
El carácter conductual del ataque representa un peligro especial: los antivirus estándar pueden no detectar la amenaza. Los indicadores clave son la actividad sospechosa de wscript.exe y cscript.exe, así como conexiones inesperadas a localhost:9050 (puerto Tor).
Rokarolla: troyano Android con control total del dispositivo
Expertos de Zimperium han descubierto un nuevo troyano Android, Rokarolla, cuyo arsenal incluye 137 comandos remotos. Se hace pasar por instaladores de aplicaciones populares como TikTok y Google Chrome. Tras la instalación, el troyano imita el componente del sistema Google Play Protect y, mediante ingeniería social, obliga al usuario a conceder acceso a "Accesibilidad".
Una vez obtenido el control, Rokarolla desactiva el Play Protect real y despliega toda su funcionalidad: intercepta códigos PIN, lee y envía SMS, y utiliza un clipper integrado para robar criptomonedas. Una amenaza adicional es la pantalla de bloqueo falsa, que permite a los atacantes controlar el teléfono inteligente incluso en estado bloqueado. El troyano también puede bloquear llamadas entrantes de sistemas antifraude bancarios, lo que lo hace especialmente peligroso para los usuarios de banca móvil.
Vulnerabilidad en Beats Studio Buds: escuchas sin conocimiento del propietario
Apple ha lanzado una actualización de firmware (versión 1B211) para los auriculares inalámbricos Beats Studio Buds, que corrige una vulnerabilidad crítica CVE-2025-20701. El problema, descubierto por expertos de SentinelOne, permitía a atacantes en el radio de acción de Bluetooth conectarse a los auriculares sin autenticación y utilizar el micrófono integrado para espiar.
Además, el ataque permitía leer y sobrescribir la memoria RAM y flash del dispositivo, así como interceptar las relaciones de confianza con teléfonos inteligentes previamente emparejados. Esto abre un vector para ataques de múltiples etapas que potencialmente amenazan la seguridad del iPhone. Recomiendo a todos los propietarios de Beats Studio Buds que verifiquen inmediatamente la disponibilidad de la actualización.
Corea del Sur: desarticulación de una red de lavado de criptomonedas
Las autoridades de Corea del Sur han detenido a 23 sospechosos implicados en el lavado de fondos para un sindicato de phishing camboyano. Desde febrero de 2024 hasta abril de 2025, el grupo movió aproximadamente 11,1 millones de USDT a través de una red de 11 300 cuentas en exchanges nacionales y extranjeros. El monto total de los fondos robados vinculados a estas cuentas se estima en 17 millones de dólares. El organizador del grupo sigue siendo buscado mediante una "notificación roja" de Interpol.
Conclusión de expertos
La semana actual demuestra claramente que los ciberdelincuentes están pasando a ataques cada vez más sofisticados y de múltiples niveles. El uso de gusanos USB y reputaciones falsas en GitHub ya no son casos aislados, sino una tendencia sistémica. Los usuarios deben mostrar la máxima vigilancia: no conectar dispositivos USB sospechosos, verificar cuidadosamente los permisos de las aplicaciones de Android y actualizar oportunamente el firmware de todos los dispositivos conectados. La seguridad en el mundo cripto comienza con la conciencia de cada paso.