Una investigación de Check Point Research reveló una campaña de ciberataques dirigida a quienes usan aplicaciones de criptomonedas. Se trata de JSCEAL, un malware que se distribuye a través de anuncios engañosos y apps falsas que simulan ser plataformas de trading conocidas.
Desde marzo de 2024, JSCEAL se encuentra en circulación activa. Según los expertos, esta amenaza se destaca por su complejidad técnica y su capacidad para pasar desapercibida.
Durante el primer semestre de 2025, ya se detectaron más de 35.000 anuncios maliciosos, con un alcance estimado de hasta 10 millones de usuarios en todo el mundo.
La estrategia de los atacantes arranca con campañas pagas en redes sociales. A través de anuncios diseñados para parecer legítimos, los usuarios son redirigidos a sitios falsos donde se les ofrece descargar instaladores de programas maliciosos.
Una vez que la víctima ejecuta el archivo, comienza un proceso en tres etapas:
Uno de los aspectos más preocupantes de JSCEAL es su uso de archivos JavaScript compilados (JSC), una técnica poco conocida que le permite evitar los sistemas de seguridad convencionales.
Como explica Check Point, esto "permite que el malware permanezca oculto a las soluciones de seguridad tradicionales".
El diseño modular de JSCEAL le da a los atacantes una ventaja adicional: pueden actualizar y modificar sus métodos en tiempo real, adaptando nuevas tácticas o cargas útiles según el contexto. Esto hace que bloquearlo o anticipar sus movimientos sea particularmente difícil para los sistemas defensivos actuales.
Además, la campaña demostró una gran escala y persistencia. A través de la biblioteca pública de anuncios de Facebook, los investigadores pudieron estimar que solo en la Unión Europea, más de 3,5 millones de usuarios habrían estado expuestos.
El caso JSCEAL muestra cómo los cibercriminales siguen perfeccionando sus técnicas para aprovechar plataformas legítimas en ataques cada vez más difíciles de detectar.
El robo de datos personales y activos digitales, en este caso criptomonedas, se facilita por tecnologías como el JavaScript compilado y el uso de frameworks como Node.js.
Desde Check Point advierten que "los ciberdelincuentes siguen empleando tácticas sofisticadas para atacar a los usuarios de aplicaciones populares".
Frente a este panorama, se vuelve clave adoptar estrategias proactivas de defensa y contar con soluciones de seguridad que puedan detectar estas nuevas formas de ataque.