Ciberamenazas de la semana: Gusano USB contra carteras criptográficas, troyano Android Rokarolla y brecha en Beats Studio Buds

Durante la última semana, el mundo de la ciberseguridad se enfrentó a una serie de incidentes graves que amenazan directamente los activos digitales de los usuarios. Desde gusanos USB que se autopropagan hasta sofisticados troyanos Android, los atacantes no dejan de perfeccionar sus herramientas. Analicemos los eventos clave.
Gusano USB con control total
Uno de los vectores de ataque más peligrosos de los últimos tiempos es un gusano USB que utiliza accesos directos ocultos de Windows para robar criptomonedas. El proceso de infección se inicia al abrir un archivo .LNK modificado en una memoria USB. Luego, el malware escanea el sistema, oculta los documentos originales del usuario y los reemplaza con sus propios accesos directos. De esta manera, cada acceso a un archivo de trabajo activa el virus.
El mecanismo de autopropagación merece especial atención: el gusano crea una tarea en segundo plano que monitorea la conexión de nuevas unidades USB y se copia instantáneamente en ellas. En la fase activa, monitorea continuamente el portapapeles en busca de frases semilla BIP39 y direcciones de billeteras Bitcoin, Ethereum, Tron y Monero. Al detectar un objetivo, la dirección se reemplaza por los datos del atacante, y el algoritmo selecciona caracteres iniciales visualmente similares. Además, cada diez segundos, el malware toma cinco capturas de pantalla y las envía a los hackers a través de Curl. La actividad se registra desde febrero, y los principales indicadores son de comportamiento: procesos sospechosos wscript.exe y cscript.exe, así como conexiones a localhost:9050 (puerto Tor).
Rokarolla: nuevo troyano Android con "captura total"
Investigadores de Zimperium descubrieron el troyano Rokarolla, cuyo arsenal incluye 137 comandos remotos. El malware se hace pasar por instaladores de TikTok y Google Chrome, y luego simula el componente del sistema Google Play Protect. Utilizando ingeniería social, el dropper obliga al usuario a otorgar acceso a "Accesibilidad", tras lo cual desactiva el escáner real de Play Protect y despliega la carga principal.
Rokarolla es capaz de interceptar códigos PIN, leer y enviar SMS, así como reemplazar el portapapeles para robar criptomonedas. Crea páginas HTML falsas de inicio de sesión para billeteras de criptomonedas e intercepta los datos ingresados. Una superposición separada imita la pantalla de bloqueo de Android, permitiendo robar la contraseña o el patrón gráfico. Para eludir la 2FA, el troyano intercepta códigos de un solo uso de SMS e incluso bloquea llamadas entrantes de sistemas antifraude bancarios.
Apple cerró una vulnerabilidad peligrosa en Beats Studio Buds
Apple lanzó una actualización de firmware (versión 1B211) para los auriculares inalámbricos Beats Studio Buds, corrigiendo la vulnerabilidad crítica CVE-2025-20701. La brecha, descubierta por SentinelOne, permitía a un hacker dentro del alcance de Bluetooth conectarse de forma remota a los auriculares sin el consentimiento del usuario, siempre que el dispositivo no estuviera emparejado y estuviera en modo de búsqueda.
El exploit otorgaba a los atacantes acceso al micrófono integrado para espiar, así como la capacidad de leer y sobrescribir la memoria RAM y flash del dispositivo. Además, el ataque permitía interceptar relaciones de confianza con teléfonos inteligentes previamente emparejados, abriendo el camino para ataques de múltiples etapas.
Opinión de expertos
La semana actual demuestra claramente que los ciberdelincuentes están pasando de esquemas de phishing simples a ataques complejos de múltiples etapas que utilizan ingeniería social y mecanismos de propagación automatizados. El gusano USB y el troyano Rokarolla son ejemplos claros de cómo los atacantes combinan vulnerabilidades técnicas con la manipulación del comportamiento del usuario. En este sentido, recomiendo a los inversores en criptomonedas reforzar las medidas de seguridad básicas: desactivar la ejecución automática en dispositivos USB, verificar cuidadosamente los permisos otorgados a las aplicaciones en Android y actualizar oportunamente el firmware de todos los dispositivos Bluetooth. Ignorar estas reglas puede costar no solo la privacidad, sino también pérdidas financieras significativas.