Decenas de miles de servidores utilizados en ataque mundial a criptomonederos

Cibercriminales han tomado el control de decenas de miles de servidores mal protegidos en todo el mundo para construir una gran red de bots dirigida al robo de criptomonedas. Así lo revela una nueva investigación de la empresa de ciberseguridad Check Point. Los ataques se aprovechan de contraseñas débiles y servidores mal protegidos que están directamente conectados a Internet.

Según los investigadores, más de 50,000 servidores están actualmente vulnerables. Estos sistemas son explotados para acceder a infraestructuras relacionadas con criptomonedas y, en última instancia, vaciar billeteras digitales.

Ataques a través del malware GoBruteforcer

Los ataques se realizan con un malware llamado GoBruteforcer. Este software intenta iniciar sesión automáticamente en servidores probando nombres de usuario y contraseñas comunes. Una vez que un intento de acceso tiene éxito, los atacantes obtienen acceso completo al sistema.

El malware se dirige principalmente a servidores Linux que ejecutan servicios comunes, como FTP, MySQL, PostgreSQL y phpMyAdmin. Estos sistemas se utilizan a menudo para sitios web y bases de datos, pero en la práctica, a menudo están insuficientemente protegidos.

Un servidor infectado se convierte en parte de la red de bots y luego puede usarse para atacar otros servidores vulnerables. Además, los atacantes pueden robar datos, crear cuentas adicionales o vender el acceso al servidor.

Millones de servidores accesibles al público

Una causa importante de los ataques a gran escala es la gran cantidad de servidores que están abiertos al tráfico de Internet. Se estima que millones de servidores FTP y de bases de datos en todo el mundo son accesibles directamente a través de puertos estándar, a menudo sin una sólida seguridad.

GoBruteforcer se observó por primera vez en 2023, pero a mediados de 2025 los investigadores descubrieron una nueva variante más avanzada. Esta versión es más difícil de detectar y permanece activa por más tiempo en los sistemas infectados.

Contraseñas débiles y guías de IA

Muchos ataques tienen éxito debido a errores de seguridad simples. Los hackers utilizan nombres de usuario predeterminados como appuser y myuser, combinados con contraseñas débiles como admin123456. Estas combinaciones a menudo provienen directamente de manuales en línea y guías de instalación.

Según Check Point, las guías de configuración generadas por IA también contribuyen al problema. Estas repiten las mismas configuraciones de ejemplo, lo que conduce al uso generalizado de credenciales de inicio de sesión débiles idénticas.

Además, los atacantes se enfocan deliberadamente en cuentas con nombres relacionados con criptomonedas, como cryptouser y crypto_app, con la esperanza de encontrar servidores vinculados a divisas digitales.

Enfoque en carteras de criptomonedas con saldo

Los investigadores descubrieron que algunos servidores infectados se utilizaban para escanear direcciones de blockchain en busca de saldo. Se controlaron, entre otros, miles de carteras TRON. En los sistemas encontrados había herramientas para desviar automáticamente criptoactivos una vez que una cartera contenía dinero.

El análisis de las transacciones blockchain indica que parte de estos ataques ha tenido éxito. Esto confirma que los proyectos cripto y la infraestructura blockchain son un objetivo deliberado de las campañas de ataque.

El software antiguo sigue siendo un riesgo

Según Check Point, la ola de ataques es consecuencia de un problema estructural. Muchas organizaciones siguen trabajando con software y servidores obsoletos que no están suficientemente protegidos. Las plataformas web más antiguas, donde los paneles de administración y el acceso FTP están abiertos, resultan especialmente atractivas para los atacantes.

Los investigadores advierten que incluso el malware relativamente simple puede causar grandes daños mientras los sistemas mal protegidos permanezcan en línea. A finales de 2025, además, se constató que algunos servidores infectados también estaban siendo utilizados por otra familia de malware, lo que aumenta el riesgo aún más.

Los hallazgos subrayan la importancia de contar con contraseñas sólidas, cerrar el acceso innecesario a Internet y mantener actualizados los programas de los servidores.