Sustitución invisible de direcciones de Bitcoin, filtración en un fabricante de juguetes para adultos y otros eventos de ciberseguridad - ForkLog: criptomonedas, IA, singularidad, futuro

# Substitución inadvertida de direcciones de Bitcoin, filtración en un fabricante de juguetes para adultos y otros eventos de ciberseguridad

Hemos recopilado las noticias más importantes del mundo de la ciberseguridad de la semana.

• Los hackers idearon un esquema de sustitución inadvertida de direcciones de Bitcoin.
• Un nuevo troyano para Android se disfrazó de aplicaciones IPTV.
• Los usuarios de Trezor y Ledger recibieron cartas phishing en papel.
• Un investigador descubrió que grandes empresas espían a los usuarios de Chrome a través de extensiones.

Los hackers idearon un esquema de sustitución inadvertida de direcciones de Bitcoin

Los delincuentes comenzaron a reemplazar discretamente las direcciones de Bitcoin bajo el pretexto de un acuerdo beneficioso de arbitraje de criptomonedas. La campaña fue detectada por expertos de BleepingComputer.

El esquema se basa en promesas de enormes ganancias por una supuesta «vulnerabilidad de arbitraje» en la plataforma de intercambio de criptomonedas Swapzone. En realidad, los hackers ejecutan código malicioso que modifica el proceso de intercambio directamente en el navegador de la víctima.

Normalmente, los ataques estilo ClickFix están dirigidos a sistemas operativos: engañan a los usuarios para que ejecuten comandos en PowerShell para «corregir errores» en Windows, lo que lleva a la instalación de troyanos o ransomware. En este caso, el objetivo fue una sesión específica en el navegador.

Según los medios, este es uno de los primeros casos documentados de uso de la mecánica ClickFix para manipular páginas web con el fin de robar criptomonedas directamente.

Para promover la campaña fraudulenta, los hackers dejan comentarios en varias publicaciones en el popular servicio de almacenamiento de código Pastebin.

Fuente: BleepingComputer. Promueven una «filtración de documentación sobre hackeo», que supuestamente permite ganar 13,000 dólares en dos días, y adjuntan un enlace al recurso. La «guía» en Google Docs describe un esquema para obtener un valor inflado en el intercambio en ciertos pares de BTC.

Las observaciones de BleepingComputer mostraron que el documento es revisado constantemente por entre uno y cinco usuarios simultáneamente, lo que confirma la actividad del esquema.

Fuente: BleepingComputer. En la guía falsa, se sugiere al usuario:

1. Acceder al sitio Swapzone.
2. Copiar el código JavaScript desde un recurso externo.
3. Volver a la pestaña de Swapzone, escribir javascript: en la barra de direcciones, pegar el código copiado y presionar Enter.

Este método usa la función del navegador javascript: URI, que permite ejecutar código en el contexto del sitio abierto. El análisis mostró que el script principal carga una segunda parte, muy enredada, que se inyecta en la página de Swapzone, reemplazando los scripts legítimos de Next.js responsables de las transacciones:

• sustitución de dirección. El script malicioso contiene una lista de direcciones de Bitcoin de los atacantes. Inserta una de ellas en lugar de la dirección de depósito real generada por la plataforma;
• engaño visual. El código cambia las tasas de cambio y las cantidades mostradas en pantalla para dar la impresión de que el «esquema de arbitraje» realmente funciona;
• resultado. La víctima ve la interfaz habitual del servicio legítimo, pero envía fondos a la cartera Bitcoin del hacker.

Un nuevo troyano para Android se disfrazó de aplicaciones IPTV

Un nuevo malware para Android se presenta como una aplicación de IPTV para robar identidades digitales y acceder a cuentas bancarias de las víctimas, informaron los investigadores de ThreatFabric.

El virus Massiv usa superposiciones de ventanas y grabación de pulsaciones de teclas para recopilar datos confidenciales. También puede establecer control remoto completo del dispositivo infectado.

En la campaña, Massiv atacó una aplicación estatal portuguesa relacionada con Chave Móvel Digital, el sistema nacional de autenticación y firma digital. Los datos almacenados en estos servicios pueden usarse para evadir procedimientos de verificación de identidad (KYC), acceder a cuentas bancarias y otros servicios en línea gubernamentales y privados.

Según ThreatFabric, se han reportado casos de apertura de cuentas bancarias y servicios a nombre de la víctima sin su conocimiento.

Massiv ofrece a los operadores dos modos de control remoto:

• transmisión en vivo de la pantalla — usa la API MediaProjection de Android para transmitir en tiempo real lo que sucede en la pantalla;
• modo UI-tree — extracción de datos estructurados mediante Accessibility Service (Servicio de Accesibilidad).

Fuente: ThreatFabric. El segundo modo permite a los atacantes ver texto, nombres de elementos de interfaz y sus coordenadas. Esto facilita pulsar botones y editar campos de texto en nombre del usuario. Más importante aún, el método permite evadir la protección contra capturas de pantalla, común en aplicaciones bancarias y financieras.

Los investigadores notaron una tendencia interesante: en los últimos ocho meses, el uso de aplicaciones IPTV como «cebo» para infectar dispositivos Android ha aumentado notablemente.

Fuente: ThreatFabric. Estas aplicaciones a menudo violan derechos de autor, por lo que no se encuentran en Google Play. Los usuarios están acostumbrados a descargarlas en archivos APK desde fuentes no oficiales e instalarlas manualmente.

Según el informe, la campaña está dirigida a residentes de España, Portugal, Francia y Turquía.

Los usuarios de Trezor y Ledger recibieron cartas phishing en papel

Los usuarios de Trezor y Ledger comenzaron a recibir cartas comunes enviadas por delincuentes supuestamente en nombre de los fabricantes de carteras de hardware.

Según Dmitry Smilyants, experto en ciberseguridad, la carta que recibió parecía una notificación oficial del departamento de seguridad de Trezor.

En papel membretado, se ofreció al cliente completar un procedimiento obligatorio: escanear un código QR y finalizar la verificación en un sitio web especial antes de una fecha determinada. Si no se cumplía, se amenazaba con la pérdida de acceso a las funciones de la cartera.

En los comentarios del post, surgieron otros casos tempranos de phishing supuestamente de representantes de Ledger. Ambos correos generaban sensación de urgencia, impulsando a las víctimas a actuar de inmediato.

al menos podrían haber trabajado en una mejor página de phishing 😭😭

incluso palabras clave en texto plano enviadas a la API de Telegram…

trezor.authentication-check[.]io/black/ pic.twitter.com/fa85203awR

— Who said what? (@g0njxa) 12 de febrero de 2026

Los códigos QR en los correos dirigían a sitios maliciosos que imitaban las páginas oficiales de configuración de Trezor y Ledger. En la etapa final, se obligaba a los usuarios a ingresar la frase semilla para «confirmar la propiedad del dispositivo».

Un investigador descubrió que grandes empresas espían a los usuarios de Chrome a través de extensiones

Un investigador con el alias Q Continuum encontró 287 extensiones para Chrome que transmiten todos los datos del historial de navegación a empresas externas. Su total de instalaciones superó los 37.4 millones.

Con un sistema automatizado de pruebas, el experto verificó 32,000 plugins de Chrome Web Store. Como resultado, detectó más de 30 empresas que recopilan datos.

El analista opina que las extensiones que ofrecen herramientas útiles y convenientes en realidad solicitan acceso al historial del navegador sin justificación. Algunas cifran adicionalmente los datos, dificultando su detección.

Según el experto, parte de la recopilación de datos está explícitamente descrita en las políticas de privacidad. Sin embargo, no todos los usuarios las leen cuidadosamente.

El investigador descubrió que empresas como Similarweb, Semrush, Alibaba Group, ByteDance y la estructura afiliada a Similarweb, Big Star Labs, recopilan datos.

Se sospecha de las personalizaciones de temas Stylish y los bloqueadores de anuncios (Stands AdBlocker y Poper Blocker, CrxMouse), así como de la extensión de Similarweb (SimilarWeb: Website Traffic & SEO Checker).

Fuente: GitHub del usuario Q Continuum. Aproximadamente 20 millones de las 37.4 millones de instalaciones no pudieron ser vinculadas a destinatarios específicos.

La política de privacidad de Similarweb documenta la recopilación de datos. La compañía afirma anonimizar la información en el lado del cliente, aunque también se indica que «parte de estos datos puede incluir información personal y confidencial, dependiendo de las consultas de búsqueda y el contenido visualizado».

Se filtraron datos de clientes de un popular fabricante de juguetes para adultos

La empresa japonesa Tenga envió notificaciones a sus clientes sobre una brecha de seguridad. Así lo informa TechCrunch.

Según el comunicado, «una persona no autorizada accedió al correo electrónico profesional de uno de nuestros empleados», lo que permitió al hacker acceder al contenido de los mensajes entrantes. Esto potencialmente le permitió ver y robar nombres de clientes, direcciones de correo y el historial de correspondencia, que «podría incluir detalles de pedidos o consultas al soporte técnico».

El hacker también envió spam a la lista de contactos del empleado comprometido, incluyendo clientes de la compañía.

Tras la publicación de la noticia, un representante de Tenga informó a TechCrunch que, según la evaluación técnica, la filtración afectó a «aproximadamente 600 personas» en EE. UU.

Tenga es un proveedor global de productos para adultos. Dado el carácter de los productos, los detalles de pedidos y consultas de soporte probablemente contienen información personal que muchos clientes preferirían mantener en privado.

La compañía tomó varias medidas de protección:

• reinicio de las credenciales del empleado comprometido;
• implementación de autenticación multifactor en todos sus sistemas, una función básica de seguridad que previene el acceso incluso con una contraseña robada.

El representante se negó a confirmar si la autenticación de dos factores estaba activada en la cuenta de correo antes del incidente.

En África, arrestaron a 651 sospechosos en una operación contra cibercriminalidad

Las fuerzas del orden de países africanos arrestaron a 651 sospechosos y confiscaron más de 4.3 millones de dólares en una operación conjunta contra fraudes de inversión, informó Interpol.

El objetivo de Red Card 2.0 fueron grupos de ciberdelincuentes responsables de pérdidas superiores a 45 millones de dólares. Las autoridades de 16 países confiscaron 2341 dispositivos y bloquearon 1442 sitios web, dominios y servidores maliciosos.

Resultados clave por país:

• Nigeria. La policía desmanteló una red de fraude de inversión que reclutaba jóvenes para realizar ataques de phishing, robo de datos personales y esquemas de inversión falsos. Se eliminaron más de 1000 cuentas fraudulentas en redes sociales. También arrestaron a seis miembros del grupo, que usaron credenciales robadas de empleados para hackear un importante proveedor de telecomunicaciones;
• Kenia. Se detuvo a 27 sospechosos en una investigación sobre grupos que atraían víctimas a proyectos de inversión falsos a través de redes sociales y mensajería;
• Costa de Marfil. Se arrestaron a 58 personas en la lucha contra aplicaciones móviles de microcréditos, que usaban comisiones ocultas y métodos ilegales de cobro de deudas.

También en ForkLog:

• OpenAI lanzó un benchmark para evaluar la capacidad de los agentes de IA para hackear contratos inteligentes.
• El «Vibe coding» con Claude Opus llevó a un hackeo del proyecto DeFi Moonwell.
• Figure admitió una filtración de datos personales de clientes.
• La policía de Corea del Sur reportó la desaparición de 22 BTC de una billetera fría.

¿Qué leer este fin de semana?

En la novela «Ceguera falsa», el biólogo y escritor canadiense Peter Watts propone una hipótesis radical: la mente puede ser efectiva sin conciencia. Casi 20 años después de la publicación del libro, esta tesis describe con precisión la inteligencia artificial generativa.

En un nuevo análisis, ForkLog exploró qué errores cometemos al humanizar los algoritmos.