Puntos Clave de la Noticia:
- El incidente resultó en la pérdida total de 1.200 dólares desde una billetera MetaMask.
- El ataque se ejecutó mediante la sustitución automática de la dirección alfanumérica al momento de pegar los datos.
- Abril de 2026 registró pérdidas globales en el sector cripto por 620 millones de dólares en 20 incidentes distintos.
Recientemente un usuario de Bybit perdió $1.200 debido a una infección por malware de portapapeles que alteró la dirección de destino durante una transferencia desde MetaMask.
El incidente, que fue reportado por la cuenta de seguridad BalaiBB en X, ocurrió cuando el inversor hizo un depósito de rutina. Copio la dirección de su cuenta en Bybit y la pegó en su billetera digital, completando la transacción sin errores técnicos visibles, sin embargo los fondos nunca llegaron. Según el reporte de BalaiBB, el software malicioso detectó la cadena alfanumérica y la reemplazó instantáneamente por una controlada por el atacante.
Yesterday my friend wanted to send $1200 to his bybit account
He copied his bybit wallet address opened his metamask wallet
Pasted the address and click sent
Bro didn't see notification from bybit after 10 minutes for deposit confirmation
He opened bybit still nothing, he
— Bala 👽 (@BalaiBB) May 5, 2026
Funcionamiento del secuestro de datos en Android
Estos programas maliciosos suelen operar de forma silenciosa en segundo plano, con incidencia negativa principalmente en dispositivos móviles. De acuerdo con las investigaciones de la firma CNC Intel, el software espera a que el usuario interactúe con direcciones de billeteras para realizar el intercambio de datos en el portapapeles de manera imperceptible.
La información oficial revela que cepas de malware como Qulab usaron aplicaciones falsas, incluyendo versiones fraudulentas de Tor Browser, para infiltrarse en los terminales. Los investigadores de CNC Intel señalan que estos archivos suelen distribuirse a través de tiendas de aplicaciones no oficiales y se configuran para ejecutarse automáticamente al iniciar el sistema.
La víctima descubrió la discrepancia cuando revisó el historial de la transacción en la blockchain al notar que el depósito no se acreditaba. Datos de BalaiBB sugieren que el malware no emite alertas ni altera el rendimiento del dispositivo, lo que dificulta su detección previa a la ejecución del envío.
Métodos comunes de drenado de billeteras
Además del secuestro del portapapeles, los analistas de seguridad identificaron otros vectores de ataque recurrentes en el ecosistema. Las aprobaciones de tokens falsos se presentan como una de las amenazas más críticas. En este escenario, un usuario recibe un activo desconocido y, al intentar interactuar con él en un intercambio descentralizado (DEX), firma un contrato que permite el vaciado total de sus fondos.
La suplantación de identidad en sitios de finanzas descentralizadas (DeFi) constituye otra técnica habitual. La utilización de URLs visualmente similares, como el uso de extensiones de dominio incorrectas, permite a los atacantes capturar la conexión de las billeteras. Según la tendencia actual observada por especialistas en ciberseguridad, el uso de marcadores para sitios oficiales se proyecta como la defensa más eficaz frente a estos dominios fraudulentos.
El soporte técnico falso y la ingeniería social en plataformas como Discord también figuran en la lista de riesgos. Los atacantes suelen comprometer cuentas de moderadores para difundir enlaces de «minteos» sorpresa o lanzamientos de tokens (airdrops). La documentación de BalaiBB subraya que ninguna empresa legítima de custodia o billeteras digitales solicita la frase semilla de recuperación bajo ninguna circunstancia.
En países como Brasil, se documentó la existencia de páginas de tiendas de aplicaciones falsas que distribuyen malware diseñado específicamente para interceptar transferencias de USDT. Estos ataques están dirigidos a usuarios de Android que descargan herramientas fuera de los circuitos de seguridad oficiales de Google.
Implicaciones y medidas de prevención
La naturaleza de las transacciones en la blockchain implica que, una vez confirmada la operación, la recuperación de los activos es técnicamente inviable. CNC Intel confirmó que el seguimiento de los fondos robados mediante este malware es posible en la red, pero la restitución de los mismos es extremadamente inusual debido a la ausencia de mecanismos de disputa centralizados.
En abril de 2026 se detectó un aumento en la vulnerabilidad del sector, con pérdidas acumuladas por encima de los niveles vistos tras la brecha de Bybit en febrero de 2025. Los expertos recomiendan realizar escaneos completos del sistema con herramientas especializadas y verificar siempre los caracteres iniciales y finales de las direcciones antes de confirmar cualquier envío.
Para mitigar riesgos futuros, se sugiere el uso de herramientas de seguridad como Malwarebytes y la auditoría constante de los programas que inician con el sistema operativo.
