Los investigadores de seguridad de Microsoft han descubierto una nueva campaña de malware que apunta a activos de criptomonedas y que ha estado activa desde febrero de 2026. El malware, identificado como Trojan:Win32/CryptoBandits.A, se propaga principalmente a través de unidades USB infectadas, reemplazando rápidamente las direcciones de billeteras copiadas por las pertenecientes a los actores de amenazas. Además de su estatus como gigante tecnológico con sede en EE.UU., Microsoft también es reconocida por su extenso equipo de investigación en ciberseguridad que monitorea amenazas digitales en todo el mundo.
Cómo opera el malware
Según la información proporcionada, la infección generalmente comienza cuando una unidad USB que lleva el malware se conecta a una computadora. Una vez adjunta, el malware ejecuta su carga maliciosa a través de archivos de acceso directo ocultos y es capaz de replicarse en otros dispositivos de almacenamiento local. Una vez incrustado en un sistema Windows, establece comunicación encubierta con sus servidores de comando y control utilizando nodos de retransmisión basados en Tor para enmascarar su actividad.
El mayor riesgo surge durante las transacciones de los usuarios. El malware monitorea continuamente el portapapeles del sistema, revisándolo cada 500 milisegundos y reemplazando cualquier dirección de billetera copiada con la dirección del atacante en menos de medio segundo. A menos que el usuario verifique manualmente la dirección de la billetera antes de confirmar una transacción, los fondos pueden terminar directamente en la billetera del criminal.
El equipo de investigación de Microsoft señala que el malware no solo intercambia direcciones de billeteras, sino que también escanea archivos locales en un intento de robar claves privadas y frases de recuperación.
Glosario: Una frase de recuperación es una copia de seguridad, que generalmente consta de 12 o 24 palabras, que permite la recuperación de una billetera de criptomonedas. Si se compromete, una frase de recuperación otorga control total sobre los activos dentro de la billetera a quien la posea.
Medidas de seguridad recomendadas
Microsoft aconseja a los usuarios revisar cuidadosamente sus hábitos diarios para protegerse contra tales ataques. Desactivar la función AutoRun en los dispositivos Windows, evitar el uso de unidades USB desconocidas y verificar meticulosamente cada carácter en una dirección de billetera antes de confirmar cualquier transferencia están entre las precauciones recomendadas. Además, las billeteras de hardware que operan sin conexión se destacan como uno de los métodos más confiables para proteger las frases de recuperación y activos digitales.
Advertencias y operaciones previas de Microsoft
Esta no es la primera vez que Microsoft ha emitido advertencias sobre amenazas que apuntan a usuarios de criptomonedas. Anteriormente, la compañía alertó al público sobre dos paquetes npm—[email protected] y [email protected]—que contenían componentes maliciosos ocultos. Estas herramientas recolectaban pulsaciones de teclas y capturas de pantalla a través de malware de acceso remoto, filtrando posteriormente credenciales de billeteras de manera externa.
En mayo de 2025, Microsoft lideró una operación coordinada a nivel mundial contra el grupo Lumma Stealer, que había estado activo desde finales de 2022. Como parte de la iniciativa, las autoridades incautaron 2,300 dominios maliciosos, mientras que el Departamento de Justicia de EE.UU. tomó medidas para desmantelar paneles de control centrales y mercados de la web oscura asociados con el grupo.
Actuando bajo una orden judicial, la Unidad de Crímenes Digitales de Microsoft incautó 2,300 dominios, mientras que Europol EC3 y JC3 de Japón detuvieron las operaciones de los servidores restantes en Europa y Asia.
Los hallazgos recientes subrayan un resurgimiento de amenazas de seguridad distribuidas a través de portadores físicos, planteando nuevos desafíos para los usuarios de criptomonedas. La combinación de infección basada en USB y técnicas de reemplazo de direcciones de portapapeles ha hecho más importante que nunca que los inversores individuales implementen procesos de verificación diligentes antes de finalizar cualquier transacción.
