Crypto news

20.06.2026
10:35

Ciberamenazas de la semana: un gusano USB caza carteras de criptomonedas, Apple parchea un agujero en Beats, y un nuevo troyano para Android roba frases semilla.

security_new1

Esta semana, el panorama de las ciberamenazas se ha visto incrementado por varios ataques sofisticados dirigidos a la comunidad cripto. Desde gusanos que se propagan por USB hasta complejos esquemas de phishing en GitHub, los atacantes no cesan en sus intentos de acceder a los activos digitales. Analicemos los incidentes clave.

Criptoclipper bajo la apariencia de una reputación falsa

Los estafadores han lanzado una campaña masiva para promover un clipper malicioso escrito en Rust. Este troyano está dirigido a Windows y macOS y sustituye las direcciones de billeteras en el portapapeles. La singularidad del esquema radica en la creación de una "economía de reputación": los atacantes utilizan redes de cuentas falsas en VirusTotal, GitHub y YouTube para inflar artificialmente las calificaciones y dejar reseñas positivas. En SourceForge, el contador de descargas se elevó a 44 000 mediante una granja de dispositivos Android. En YouTube, un canal con 91 000 suscriptores promociona el malware bajo la apariencia de herramientas de trading para Solana y Pump.fun. Este es un precedente peligroso: tácticas similares podrían usarse para la distribución masiva de ransomware.

Gusano USB con funciones de robo y autopropagación

Expertos han identificado la actividad de un gusano USB que utiliza accesos directos ocultos de Windows para robar criptomonedas. La infección comienza al abrir un archivo .LNK modificado en una memoria USB. El malware escanea el sistema, oculta los documentos del usuario y los reemplaza con accesos directos maliciosos. Para autopropagarse, el gusano crea una tarea que lo copia en cualquier nuevo dispositivo USB. En su fase activa, se conecta a un servidor de comando a través de Tor y monitorea el portapapeles cada medio segundo en busca de frases semilla BIP39 y direcciones de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, las sustituye instantáneamente por la dirección del atacante, con un algoritmo que selecciona billeteras con los primeros caracteres visualmente similares. Los indicadores de infección incluyen actividad anómala de wscript.exe y cscript.exe, así como conexiones a localhost:9050.

La policía surcoreana desmantela una red de lavadores de USDT

En Corea del Sur, 23 sospechosos han sido detenidos por su implicación en el lavado de fondos para un grupo de phishing camboyano. Entre febrero de 2024 y abril de 2025, se movieron aproximadamente 11,1 millones de USDT a través de una red de 11 300 cuentas. Estas cuentas estaban vinculadas a fondos robados por valor de 17 millones de dólares, obtenidos en 265 incidentes. Durante las redadas se incautaron alrededor de 430 000 dólares. El organizador del grupo está siendo buscado internacionalmente a través de Interpol.

Rokarolla: nuevo troyano Android con control total del dispositivo

Investigadores han descubierto el troyano Rokarolla, que se propaga a través de sitios web falsos que se hacen pasar por instaladores de TikTok y Chrome. Tras obtener acceso a las "Funciones de accesibilidad", el malware desactiva Google Play Protect y despliega un arsenal de 137 comandos. Intercepta códigos PIN, lee SMS, sustituye el portapapeles para robar criptomonedas e incluso simula la pantalla de bloqueo de Android. Para eludir la autenticación de dos factores (2FA), el troyano puede enviar mensajes por sí mismo, interceptando códigos bancarios, y bloquear llamadas entrantes de sistemas antifraude.

Apple corrige una vulnerabilidad en Beats Studio Buds

Apple ha lanzado una actualización de firmware para Beats Studio Buds que corrige la vulnerabilidad crítica CVE-2025-20701. La brecha en la pila Bluetooth permitía a los hackers dentro del alcance conectarse a los auriculares sin autenticación, activar el micrófono para espiar e incluso interceptar relaciones de confianza con iPhones previamente emparejados. La vulnerabilidad fue descubierta en enero y ahora se ha corregido en la versión de firmware 1B211.

Opinión del analista: Esta semana demuestra claramente la evolución de las amenazas: desde simples enlaces de phishing hasta ataques complejos de múltiples niveles que utilizan ingeniería social, reputación falsa y acceso físico a través de USB. La comunidad cripto debe mostrar la máxima vigilancia, especialmente al instalar software no verificado y al conectar dispositivos de almacenamiento externos.