Semana de ciberamenazas: un gusano USB caza carteras de criptomonedas, Apple parchea un agujero en Beats y nuevos esquemas de lavado de dinero

La semana pasada en el ámbito de la ciberseguridad estuvo repleta de eventos que afectan directamente los intereses de los poseedores de criptomonedas. Desde troyanos en evolución hasta complejos esquemas de ingeniería social, analicemos las amenazas clave que no se pueden ignorar.
Nuevo auge del phishing: reputación falsa en GitHub y YouTube
Los atacantes han adoptado un enfoque de marketing verdaderamente profesional. En lugar de correos de phishing toscos, construyen auténticas «redes fantasma» para promocionar software malicioso. El objetivo principal es un criptoclipper escrito en Rust y dirigido a Windows y macOS. Reemplaza silenciosamente las direcciones de billeteras en el portapapeles, redirigiendo los fondos a los atacantes.
Para generar confianza, los hackers crean una reputación falsa en plataformas como VirusTotal, GitHub y YouTube. Cientos de bots dejan reseñas positivas y dan «me gusta» a archivos maliciosos. En SourceForge, las descargas se inflaron hasta 44 000 mediante una granja de dispositivos Android. Para mayor credibilidad, utilizan un canal de YouTube con más de 91 000 suscriptores y voces generadas por IA en videos tutoriales. Esta es una tendencia peligrosa: la manipulación de plataformas de crowdsourcing hace que la ingeniería social sea casi imperceptible.
Gusano USB con capacidades de autorreplicación
Expertos de Microsoft revelaron los detalles de una campaña que utiliza un gusano autorreplicante. La infección comienza al abrir un archivo .LNK modificado en una unidad USB. El malware escanea el sistema, oculta los documentos originales del usuario y los reemplaza con accesos directos maliciosos. Cada vez que la víctima intenta abrir un archivo, el gusano se reactiva.
Su objetivo principal es el robo de criptomonedas. El malware monitorea el portapapeles cada medio segundo, buscando frases semilla BIP39 y direcciones de billeteras de Bitcoin, Ethereum, Tron y Monero. Al detectarlas, reemplaza la dirección por la suya, y el algoritmo selecciona billeteras con caracteres iniciales visualmente similares. Además, cada diez segundos se toman capturas de pantalla. Lo más alarmante es que la actividad del gusano se ha registrado desde febrero, y solo se puede detectar mediante anomalías de comportamiento, como ejecuciones inesperadas de wscript.exe o conexiones a localhost:9050.
Corea del Sur contra los lavadores de criptomonedas
Las autoridades de Corea del Sur detuvieron a 23 personas por un caso de lavado de dinero para un grupo de phishing camboyano. Desde febrero de 2024 hasta abril de 2025, se movieron aproximadamente 11,1 millones de USDT a través de una red de 11 300 cuentas. El monto total de los fondos robados se estima en 17 millones de dólares. Se incautaron alrededor de 430 000 dólares, pero el presunto organizador sigue siendo buscado mediante una «notificación roja» de Interpol.
Troyano Android Rokarolla: control total del dispositivo
Investigadores de Zimperium descubrieron el troyano Rokarolla con un arsenal de 137 comandos remotos. Se propaga a través de sitios web falsos, disfrazándose de instaladores de TikTok o Chrome. Tras obtener acceso a las «Opciones de accesibilidad», desactiva Play Protect y despliega toda su funcionalidad.
El troyano puede interceptar códigos PIN, leer SMS, reemplazar el portapapeles e incluso bloquear llamadas entrantes para que la víctima no reciba una alerta bancaria. Una superposición separada imita la pantalla de bloqueo de Android, permitiendo robar el patrón gráfico. Esta es una amenaza grave, y la única protección es la máxima precaución al otorgar permisos.
Mensajeros para recoger efectivo y vulnerabilidad en Beats
El FBI advierte sobre una nueva táctica en los esquemas de «sacrificio de cerdos»: los estafadores contratan mensajeros para recoger efectivo de víctimas cuyas transacciones bancarias están bloqueadas. En 2025, las estafas de inversión en criptomonedas representaron el 49% de todos los incidentes cibernéticos en EE. UU., con pérdidas de 8.600 millones de dólares.
Mientras tanto, Apple cerró la peligrosa vulnerabilidad CVE-2025-20701 en Beats Studio Buds. Permitía a los hackers en el rango de Bluetooth conectarse a los auriculares sin autorización, activar el micrófono para escuchar e incluso interceptar relaciones de confianza con iPhones previamente emparejados. La actualización de firmware versión 1B211 soluciona el problema.
Opinión del experto: El mercado de ciberamenazas claramente está pasando a un nuevo nivel de profesionalismo. No vemos solo virus, sino ecosistemas completos con marketing, logística e infraestructura compleja. Para los poseedores de criptomonedas, esto significa una cosa: la higiene básica (antivirus y contraseñas complejas) ya no es suficiente. Es necesario evaluar críticamente cualquier enlace de terceros, archivos e incluso repositorios «verificados».