El malware que roba carteras de criptomonedas y se propaga por memorias USB: cómo funciona y qué hacer
Por Mag-Info Tech editorial · 2026-06-19
El regreso de los ataques por USB: un viejo vector con nuevas armas
Desde febrero de 2026, un gusano informático bautizado como Trojan:Win32/CryptoBandits ha estado circulando entre usuarios de Windows mediante memorias USB infectadas. Aunque el envío de malware a través de dispositivos extraíbles no es una táctica nueva, este caso destaca por su enfoque en el robo de criptomonedas. El malware no solo se propaga automáticamente al conectar el USB a un equipo limpio, sino que también monitorea activamente el portapapeles del sistema para interceptar claves privadas y direcciones de billeteras. Una vez dentro de un equipo, el gusano reemplaza archivos legítimos en memorias limpias con accesos directos maliciosos que replican el nombre original, facilitando así su propagación silenciosa entre múltiples dispositivos.
Lo más preocupante es que este ataque aprovecha la confianza que los usuarios depositan en los dispositivos USB. Al conectar una memoria externa, muchos sistemas Windows ejecutan automáticamente archivos .lnk (accesos directos) sin requerir interacción adicional, lo que permite al malware instalarse sin levantar sospechas. Una vez activado, CryptoBandits no solo roba información sensible, sino que también modifica las direcciones de destino cuando detecta que el usuario está realizando una transferencia de criptomonedas, redirigiendo los fondos a billeteras controladas por los atacantes. Este doble mecanismo —infección masiva y robo selectivo— lo convierte en una amenaza especialmente peligrosa en entornos donde se comparten dispositivos o memorias entre diferentes usuarios.
Cómo opera el gusano: de la infección inicial al robo de fondos
El ciclo de infección comienza cuando un usuario conecta una memoria USB infectada a un equipo Windows que no tiene las protecciones adecuadas. El malware se aloja en un archivo .lnk malicioso que, al ser ejecutado, instala el gusano en el sistema. Una vez en el equipo, CryptoBandits se configura para ejecutarse en segundo plano y monitorea constantemente el portapapeles del sistema operativo. Cuando detecta que el usuario ha copiado una semilla de recuperación, una clave privada o una dirección de billetera —elementos críticos en cualquier transacción de criptomonedas—, el malware envía estos datos a un servidor de comando y control a través de la red Tor, lo que dificulta su rastreo.
Pero el ataque no se limita a la extracción de información. El gusano también altera el comportamiento del sistema cuando detecta que el usuario está a punto de realizar una transferencia. En lugar de robar directamente las claves, el malware espera a que el usuario pegue una dirección de destino en el portapapeles. En ese momento, reemplaza automáticamente la dirección legítima por una controlada por los atacantes, lo que hace que los fondos sean enviados a la billetera equivocada sin que el usuario note el cambio. Este mecanismo de "crypto clipping" —término que describe la sustitución de direcciones en el portapapeles— es una táctica cada vez más común entre los ciberdelincuentes que buscan maximizar el rendimiento de sus campañas con el menor esfuerzo posible.
La propagación silenciosa: por qué las memorias USB siguen siendo un riesgo
Aunque los ataques por USB han disminuido en los últimos años debido a la adopción de soluciones en la nube y la concienciación sobre los riesgos de los dispositivos externos, este caso demuestra que siguen siendo un vector de infección viable, especialmente en entornos donde la seguridad no es una prioridad. CryptoBandits se propaga reemplazando archivos legítimos en memorias limpias con accesos directos maliciosos que imitan los nombres originales de los documentos. Por ejemplo, un archivo llamado "informe_final.xlsx.lnk" podría reemplazar a un archivo de Excel real, engañando al usuario para que lo abra y, en consecuencia, active el malware.
Este método de propagación es particularmente efectivo en oficinas, universidades o entornos domésticos donde se comparten memorias USB entre múltiples usuarios. El malware no requiere privilegios de administrador para propagarse, lo que lo hace accesible incluso para atacantes con recursos limitados. Además, al utilizar la red Tor para exfiltrar datos, los operadores del gusano reducen significativamente el riesgo de ser detectados por soluciones de seguridad tradicionales, que pueden no estar configuradas para monitorear el tráfico en esta red anónima.
Indicadores de compromiso: cómo detectar si tu equipo está infectado
Microsoft ha publicado una lista de indicadores de compromiso (IOCs) asociados a CryptoBandits, que incluyen hashes de archivos, direcciones IP y dominios conocidos por ser utilizados por los atacantes. Estos IOCs pueden ser utilizados por herramientas de seguridad para escanear equipos y redes en busca de actividad sospechosa. Algunos de los signos más evidentes de una infección incluyen la presencia de archivos .lnk maliciosos en memorias USB, procesos desconocidos ejecutándose en segundo plano y conexiones de red no autorizadas a dominios con terminaciones .onion, que son típicas de la red Tor.
Además, los usuarios pueden verificar si su portapapeles está siendo monitorizado por malware instalando herramientas de seguridad que alerten sobre cambios en el contenido del portapapeles. También es recomendable revisar regularmente las transacciones de criptomonedas en busca de direcciones desconocidas o fondos transferidos a billeteras no reconocidas. Si se detecta alguna actividad sospechosa, es crucial desconectar el equipo de la red y realizar un escaneo completo con un antivirus actualizado.
Resultados reales de la IA de MEFAI. Obtén $50 de descuento en el plan Pro.
Patrocinado · El rendimiento pasado no indica resultados futuros. No es asesoramiento financiero.
Medidas de protección: cómo evitar que CryptoBandits infecte tu equipo
La prevención es la mejor defensa contra este tipo de amenazas. Microsoft recomienda desactivar la función AutoRun en Windows, que permite la ejecución automática de archivos en dispositivos extraíbles, y bloquear la ejecución de archivos .lnk en memorias USB. Estas configuraciones pueden realizarse a través del Editor de directivas de grupo o mediante políticas de seguridad en entornos empresariales. También es aconsejable deshabilitar el host de scripts de Windows (WScript) y restringir la ejecución de scripts en general, ya que muchos malware utilizan estos mecanismos para propagarse.
Otra medida importante es mantener el sistema operativo y el software de seguridad actualizados. Las vulnerabilidades en Windows o en aplicaciones como navegadores y clientes de correo pueden ser aprovechadas por los atacantes para instalar malware. Además, es recomendable utilizar soluciones de seguridad con capacidades de detección de comportamiento, que puedan identificar actividades sospechosas como la monitorización del portapapeles o la modificación de direcciones de criptomonedas. En entornos empresariales, la segmentación de redes y la restricción de acceso a memorias USB también pueden reducir significativamente el riesgo de infección.
El impacto en el ecosistema de criptomonedas: por qué este ataque es especialmente peligroso
El robo de criptomonedas no solo afecta a los usuarios individuales, sino que también tiene un impacto en la confianza del ecosistema. Cuando los usuarios pierden fondos debido a ataques como CryptoBandits, la percepción de seguridad en las criptomonedas se ve seriamente dañada, lo que puede disuadir a nuevos inversores y ralentizar la adopción masiva. Además, el uso de técnicas como el "crypto clipping" demuestra que los ciberdelincuentes están constantemente innovando para maximizar sus ganancias, incluso en un mercado que ya enfrenta desafíos regulatorios y de seguridad.
Para los exchanges y plataformas de criptomonedas, este tipo de ataques también representa un riesgo operativo. Si los atacantes logran redirigir fondos desde direcciones legítimas a billeteras controladas por ellos, las plataformas pueden enfrentar reclamaciones de usuarios que exijan compensaciones. Esto subraya la importancia de que los exchanges implementen medidas adicionales de seguridad, como la verificación de direcciones de destino antes de procesar transacciones y la educación de los usuarios sobre los riesgos de compartir claves privadas o direcciones de billetera.
Pasos a seguir si ya eres víctima: cómo mitigar el daño
Si sospechas que tu equipo está infectado con CryptoBandits, es crucial actuar rápidamente para minimizar las pérdidas. En primer lugar, desconecta el equipo de Internet y de cualquier red local para evitar que el malware continúe enviando datos a los servidores de comando y control. A continuación, realiza un escaneo completo del sistema con un antivirus actualizado y elimina cualquier archivo o proceso sospechoso detectado. Si has utilizado el equipo para realizar transacciones de criptomonedas, revisa inmediatamente el historial de transacciones en la blockchain para identificar si alguna transferencia fue redirigida a una dirección desconocida.
En casos donde se hayan perdido fondos, es recomendable presentar una denuncia ante las autoridades competentes y contactar a la plataforma de criptomonedas o exchange involucrado para reportar el incidente. Algunas plataformas pueden ofrecer reembolsos o asistencia en la recuperación de fondos, especialmente si el ataque fue facilitado por una vulnerabilidad en sus sistemas. Además, considera cambiar todas las claves privadas y semillas de recuperación asociadas a tus billeteras, ya que podrían haber sido comprometidas durante la infección.
El futuro de las amenazas por USB: ¿qué podemos esperar?
El resurgimiento de ataques como CryptoBandits sugiere que los dispositivos USB seguirán siendo un vector de infección atractivo para los ciberdelincuentes, especialmente en entornos donde la seguridad no es una prioridad. A medida que las criptomonedas ganan adopción masiva, es probable que veamos más campañas de malware diseñadas para robar fondos, no solo a través de USB, sino también mediante técnicas de ingeniería social y phishing. Los atacantes están constantemente buscando formas de explotar la confianza de los usuarios, y los dispositivos externos siguen siendo una vía efectiva para eludir las defensas tradicionales.
Para los usuarios y las empresas, esto significa que la educación en ciberseguridad y la implementación de medidas de protección robustas deben ser una prioridad. La desactivación de funciones como AutoRun, la restricción de la ejecución de scripts y el uso de soluciones de seguridad avanzadas pueden marcar la diferencia entre un sistema seguro y uno vulnerable. Además, es fundamental mantenerse informado sobre las últimas amenazas y adoptar un enfoque proactivo en lugar de reactivo para proteger los activos digitales.
Más en Ciberseguridad y Privacidad
Taiko en alerta máxima: exploit en puente de capa 2 expone fallos en verificación y obliga a retirada urgente de fondos
Taiko detectó un fallo en la verificación de estado de su puente en Ethereum que permitió pruebas falsificadas y retiros no autorizados por $1.7M, obligando a los usuarios a retirar fondos de inmediat
Red privada Secret Network sufre robo de $4.7M por fallo de "acuñación infinita" en puente interbloque
Un fallo de "acuñación infinita" en un puente de Secret Network permitió crear tokens sin respaldo por $4.7M. Los fondos se movieron a Ethereum y luego a exchanges antes de ser detectados una semana d
AryStinger: la nueva botnet que convierte routers D-Link en nodos de proxy malicioso
Una botnet hasta ahora desconocida llamada AryStinger ha infectado más de 4.000 routers D-Link obsoletos para convertirlos en nodos de proxy malicioso, con capacidad de redirigir tráfico y robar datos