Un malware que se propaga por memorias USB está robando criptomonedas de forma silenciosa y ya pone en alerta a usuarios de todo el mundo, incluidos los argentinos que operan con billeteras digitales desde sus computadoras. Microsoft identificó la amenaza, la bautizó como CryptoBandits y confirmó que está activa desde febrero de 2026.
El virus tiene una mecánica tan simple como peligrosa: cuando alguien conecta un pendrive infectado a una PC con Windows, un archivo disfrazado de acceso directo activa la instalación del programa malicioso.
A partir de ese momento, el software vigila todo lo que el usuario copia y pega en su equipo cada medio segundo.
Si detecta una dirección de billetera, una frase semilla o una clave privada, la captura al instante. Pero el daño más grave es otro: cuando la víctima copia una dirección para transferir criptomonedas, el malware la reemplaza por otra que pertenece a los atacantes. La transacción se concreta en la billetera equivocada y los fondos se pierden sin posibilidad de recupero.
El engaño dentro de la memoria USB también es sofisticado. CryptoBandits oculta los documentos reales del pendrive y los sustituye por accesos directos falsos con los mismos nombres. A simple vista todo parece normal, pero al hacer clic se ejecuta la cadena de infección. Si después se conecta otro pendrive limpio al equipo comprometido, el virus repite el proceso y se sigue expandiendo.
El programa puede identificar frases semilla BIP39 de 12 o 24 palabras, claves privadas de Bitcoin en formato WIF y claves privadas de Ethereum. Los datos robados se almacenan en una copia local y se envían a los atacantes de forma reiterada hasta que la transmisión resulta exitosa.
CryptoBandits también toma capturas de pantalla de la actividad de la víctima, hasta cinco cada diez segundos según reportó CoinDesk, y las transmite a un servidor remoto. Eso les da a los operadores del malware acceso visual a saldos, movimientos y operaciones en tiempo real.
Para ocultarse, el virus utiliza la red Tor. Lanza un cliente en una ventana oculta, genera un identificador único por cada equipo y se conecta a un servidor de comando y control mediante una dirección .onion. Esa capa de anonimato dificulta enormemente el rastreo.
El malware además establece tareas programadas en Windows para sobrevivir a los reinicios e intenta excluirse de los análisis de Microsoft Defender, lo que le permitió operar durante meses sin ser detectado públicamente.
Microsoft ya clasificó la amenaza como Trojan:Win32/CryptoBandits.A, ajustó Defender for Endpoint para detectar las conductas asociadas y publicó indicadores de compromiso. Entre las principales recomendaciones de seguridad, se destacan:
Para quienes operan con criptomonedas, la recomendación central es evitar copiar frases semilla y claves privadas en dispositivos conectados a Internet.
También conviene verificar siempre los primeros y últimos caracteres de una dirección antes de confirmar cualquier transferencia. Un simple pendrive desconocido puede ser la puerta de entrada a la pérdida total de los fondos.