Malware USB robando criptomonedas, concepto de ciberseguridad para startups y protección de activos digitales.

Microsoft detecta malware USB que roba cripto con Tor desde 2026

por

Microsoft detecta malware USB que roba criptomonedas mediante Tor desde febrero de 2026

Microsoft Threat Intelligence identificó una campaña de malware activa desde febrero de 2026 que combina propagación tipo gusano por USB, robo de portapapeles y comunicación encriptada vía Tor para exfiltrar datos de billeteras de criptomonedas. El malware, detectado como Trojan: Win32/CryptoBandits.A, monitorea el portapapeles cada 500 milisegundos buscando frases semilla y direcciones de wallets, reemplazándolas por direcciones controladas por los atacantes.

Para founders y equipos tech que manejan criptoactivos —ya sea en tesorería corporativa, pagos a contractors internacionales o inversiones— esta amenaza representa un riesgo operativo directo: una sola máquina comprometida puede desviar transferencias irreversiblemente sin que el equipo lo detecte hasta que sea demasiado tarde.

¿Cómo funciona este malware y por qué es diferente?

La campaña analizada por Microsoft utiliza archivos .lnk maliciosos distribuidos en unidades USB como vector de acceso inicial. Una vez ejecutado, el payload despliega dos componentes principales: un gusano que asegura la propagación y un clipper/stealer que cosecha y exfiltra información de wallets.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

El malware opera mediante WScript y ActiveXObject, verificando condiciones del entorno antes de lanzar un binario Tor renombrado como ugate.exe en una ventana oculta. Tras esperar aproximadamente 60 segundos para que Tor se inicialice, genera un GUID de víctima, registra el dispositivo infectado con un servidor de comando y control (C2) oculto y entra en un bucle continuo de polling.

Lo que distingue a esta amenaza de campañas anteriores es su capacidad dual: no solo roba datos, sino que funciona como una puerta trasera ligera. Si el C2 devuelve una orden EVAL, el malware ejecuta código suministrado por el atacante en tiempo de ejecución. Además, sube capturas de pantalla a través de Tor, proporcionando a los atacantes visibilidad completa del entorno comprometido.

El componente clipper vigila el portapapeles constantemente, buscando patrones de seed phrases y private keys. Cuando detecta una dirección de criptomoneda copiada, la reemplaza silenciosamente por una dirección controlada por el atacante. El usuario pega la dirección en su wallet, confirma la transacción y los fondos se desvían sin ninguna alerta visible.

Antecedentes: el crypto clipping no es nuevo, pero evoluciona

El mecanismo de crypto clipping —reemplazo de direcciones de wallet durante transacciones— ha sido documentado desde al menos 2022. ESET identificó la variante Twitz de la botnet Phorpiex, que se distribuía principalmente mediante campañas de phishing y reemplazaba direcciones durante transacciones de Bitcoin, Ethereum y otras criptomonedas.

En 2023, Kaspersky reportó una campaña de clipper distribuida mediante un falso navegador Tor que afectó a 15.000 usuarios en 52 países, robando al menos 400.000 dólares en criptomonedas como Bitcoin, Ethereum, Litecoin, Dogecoin y Monero. Esa campaña demostró que el crypto clipping puede escalar rápidamente cuando se combina con ingeniería social efectiva.

La campaña de Microsoft de 2026 representa una evolución significativa: mientras los casos anteriores dependían principalmente de phishing o software falso, esta utiliza USB como vector inicial y combina el robo con capacidades de comando y control remoto vía Tor. Esto permite a los atacantes no solo monetizar inmediatamente, sino mantener control persistente sobre los dispositivos comprometidos.

¿Qué significa esto para tu startup?

Si tu startup maneja criptomonedas —ya sea como parte de tu modelo de negocio, para pagos internacionales, o como reserva de tesorería— este malware representa una amenaza crítica. A diferencia de un ataque de phishing tradicional que requiere interacción del usuario, este malware puede propagarse mediante USB compartidos en espacios de coworking, oficinas o incluso entre dispositivos personales y corporativos.

El impacto potencial va más allá de la pérdida directa de fondos. Una infección puede comprometer credenciales de exchanges, frases semilla de wallets corporativas, capturas de pantalla con información sensible y, debido al componente de puerta trasera, permitir a los atacantes moverse lateralmente dentro de tu red.

Para startups con equipos pequeños, donde una sola persona maneja finanzas y operaciones, el riesgo es particularmente alto. No hay redundancia ni controles separados que puedan detectar una transacción desviada antes de que sea irreversible.

Acciones concretas que debes implementar hoy:

  • Verifica siempre las direcciones antes de confirmar: Establece como política obligatoria que cualquier transacción de criptomonedas requiera verificar visualmente los primeros y últimos 4-6 caracteres de la dirección de destino antes de confirmar. Esto detecta el reemplazo del clipper.

  • Realiza transacciones de prueba: Antes de mover cantidades significativas, envía una cantidad mínima a la dirección destino y confirma que llegó correctamente. Solo entonces procede con la transacción completa.

  • Restringe el uso de USB en equipos críticos: Si tu startup maneja wallets corporativas o procesos de pago, configura políticas de grupo para bloquear o auditar estrictamente el uso de dispositivos USB en esas máquinas.

  • Monitoriza actividad sospechosa de PowerShell y WScript: El malware usa scripts de Windows para ejecutarse. Configura alertas en tu EDR o antivirus corporativo para detectar procesos hijos sospechosos spawned desde interpretadores de scripts.

  • Usa hardware wallets para reservas corporativas: Para fondos que no requieren movimiento frecuente, almacena criptoactivos en hardware wallets desconectadas. El clipper solo puede interceptar lo que está en el portapapeles de un sistema operativo comprometido.

  • Mantén soluciones de seguridad actualizadas: Microsoft Defender for Endpoint detecta componentes de esta amenaza como "Suspicious JavaScript process" y "Possible data exfiltration using Curl". Asegúrate de que tus soluciones de seguridad estén actualizadas y configuradas para detectar comportamientos, no solo firmas.

Indicadores de compromiso que tu equipo de seguridad debe monitorear

Microsoft identifica varias señales conductuales que pueden indicar una infección activa:

  • Scripts que crean procesos hijos sospechosos desde WScript o interpretadores de JavaScript
  • Uso de localhost:9050 como proxy (puerto por defecto de Tor)
  • Comandos de captura de pantalla ejecutados desde PowerShell
  • Actividad de inspección del portapapeles a intervalos regulares (~500 ms)
  • Tráfico de red hacia servicios ocultos de Tor
  • Archivos .lnk ejecutándose desde unidades USB

Para startups sin equipo de seguridad dedicado, la recomendación es habilitar logging avanzado en endpoints críticos y revisar periódicamente procesos en segundo plano que accedan al portapapeles o red.

El contexto más amplio: criptoseguridad en 2026

Aunque no existen cifras globales consolidadas para 2025-2026 específicamente atribuibles a malware de criptomonedas, los datos parciales por campaña sugieren que el problema persiste y evoluciona. La campaña de Kaspersky en 2023 demostró que incluso una sola variante puede generar cientos de miles de dólares en pérdidas en meses.

Para el ecosistema startup hispanohablante, donde la adopción de criptoactivos ha crecido significativamente —especialmente en mercados con volatilidad monetaria como Argentina, Venezuela o para equipos que operan globalmente— la conciencia sobre estas amenazas es fundamental.

La combinación de Tor para anonimato, propagación tipo gusano para escala y ejecución remota de código para persistencia convierte a esta amenaza en algo más que un stealer financiero tradicional. Es una plataforma de compromiso que puede adaptarse a múltiples objetivos más allá del robo inmediato de criptoactivos.

Conclusión

El malware CryptoBandits detectado por Microsoft en junio de 2026 representa una evolución significativa en las amenazas dirigidas a usuarios de criptomonedas. La combinación de propagación por USB, monitoreo constante del portapapeles, reemplazo de direcciones y comunicación encriptada vía Tor crea un vector de ataque difícil de detectar y contener.

Para founders y equipos tech, la lección es clara: la seguridad de criptoactivos no termina en la elección de la wallet o el exchange. Requiere higiene de endpoints, verificación manual de transacciones y conciencia constante sobre los vectores de ataque emergentes. En un entorno donde las transacciones son irreversibles, la prevención y detección temprana son las únicas defensas efectivas.

La buena noticia es que las medidas de protección son prácticas y implementables incluso para equipos pequeños: verificación de direcciones, transacciones de prueba, restricción de USB y soluciones de seguridad actualizadas pueden reducir drásticamente el riesgo de caída víctima de esta campaña.

Fuentes

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Gestor de portapapeles avanzado para founders, optimizando productividad y ahorro de tiempo con herramientas de automatización de escritorio.Portapapeles avanzado: 5 herramientas que ahorran +2h semanales Desarrollador interactuando con interfaz holográfica de drivers USB en userspace y protocolo Fastboot Android en entorno tecnológico startup.Drivers USB en userspace: guía con libusb y Fastboot Cables USB-C de alta potencia y velocidad iluminados en naranja y negro, destacando transferencia rápida de datos y carga para startups de tecnología.USB-C 240W: guía para founders y errores críticos en 2026 Interfaz futurista de Tor Browser 15.0 destacando mejoras en privacidad y seguridad en Android con diseño moderno en tonos naranja y negro.Tor Browser 15.0: Un Paso Adelante en Privacidad y Seguridad Laptop con puerto USB-C y cargadores GaN iluminados en tonos naranjas y negros, simbolizando la carga rápida y la innovación tecnológica para startups en la UE 2026.USB-C obligatorio en la UE: guía para founders 2026

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.

Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly