Cibercriminales han tomado el control de decenas de miles de servidores mal protegidos en todo el mundo para construir una gran red de bots dirigida al robo de criptomonedas. Así lo revela una nueva investigación de la empresa de ciberseguridad Check Point. Los ataques se aprovechan de contraseñas débiles y servidores mal protegidos que están directamente conectados a Internet.
Según los investigadores, más de 50,000 servidores están actualmente vulnerables. Estos sistemas son explotados para acceder a infraestructuras relacionadas con criptomonedas y, en última instancia, vaciar billeteras digitales.
Ataques a través del malware GoBruteforcer
Los ataques se realizan con un malware llamado GoBruteforcer. Este software intenta iniciar sesión automáticamente en servidores probando nombres de usuario y contraseñas comunes. Una vez que un intento de acceso tiene éxito, los atacantes obtienen acceso completo al sistema.
El malware se dirige principalmente a servidores Linux que ejecutan servicios comunes, como FTP, MySQL, PostgreSQL y phpMyAdmin. Estos sistemas se utilizan a menudo para sitios web y bases de datos, pero en la práctica, a menudo están insuficientemente protegidos.
Un servidor infectado se convierte en parte de la red de bots y luego puede usarse para atacar otros servidores vulnerables. Además, los atacantes pueden robar datos, crear cuentas adicionales o vender el acceso al servidor.
Millones de servidores accesibles al público
Una causa importante de los ataques a gran escala es la gran cantidad de servidores que están abiertos al tráfico de Internet. Se estima que millones de servidores FTP y de bases de datos en todo el mundo son accesibles directamente a través de puertos estándar, a menudo sin una sólida seguridad.
GoBruteforcer se observó por primera vez en 2023, pero a mediados de 2025 los investigadores descubrieron una nueva variante más avanzada. Esta versión es más difícil de detectar y permanece activa por más tiempo en los sistemas infectados.
Contraseñas débiles y guías de IA
Muchos ataques tienen éxito debido a errores de seguridad simples. Los hackers utilizan nombres de usuario predeterminados como appuser y myuser, combinados con contraseñas débiles como admin123456. Estas combinaciones a menudo provienen directamente de manuales en línea y guías de instalación.
Según Check Point, las guías de configuración generadas por IA también contribuyen al problema. Estas repiten las mismas configuraciones de ejemplo, lo que conduce al uso generalizado de credenciales de inicio de sesión débiles idénticas.
Además, los atacantes se enfocan deliberadamente en cuentas con nombres relacionados con criptomonedas, como cryptouser y crypto_app, con la esperanza de encontrar servidores vinculados a divisas digitales.
Enfoque en carteras de criptomonedas con saldo
Los investigadores descubrieron que algunos servidores infectados se utilizaban para escanear direcciones de blockchain en busca de saldo. Se controlaron, entre otros, miles de carteras TRON. En los sistemas encontrados había herramientas para desviar automáticamente criptoactivos una vez que una cartera contenía dinero.
El análisis de las transacciones blockchain indica que parte de estos ataques ha tenido éxito. Esto confirma que los proyectos cripto y la infraestructura blockchain son un objetivo deliberado de las campañas de ataque.
El software antiguo sigue siendo un riesgo
Según Check Point, la ola de ataques es consecuencia de un problema estructural. Muchas organizaciones siguen trabajando con software y servidores obsoletos que no están suficientemente protegidos. Las plataformas web más antiguas, donde los paneles de administración y el acceso FTP están abiertos, resultan especialmente atractivas para los atacantes.
Los investigadores advierten que incluso el malware relativamente simple puede causar grandes daños mientras los sistemas mal protegidos permanezcan en línea. A finales de 2025, además, se constató que algunos servidores infectados también estaban siendo utilizados por otra familia de malware, lo que aumenta el riesgo aún más.
Los hallazgos subrayan la importancia de contar con contraseñas sólidas, cerrar el acceso innecesario a Internet y mantener actualizados los programas de los servidores.
La IA ayuda a los hackers a vulnerar contratos inteligentes antiguos: los expertos alertan de una nueva amenaza
Los proyectos de blockchain no solo deben auditar sus contratos inteligentes antes del lanzamiento, sino someterlos después a revisiones periódicas.
Hackers hallan una nueva vía para vaciar monederos cripto a través de software de confianza
Un paquete de software muy utilizado por desarrolladores de la blockchain Injective ha sido afectado por un ataque a la cadena de suministro.
La cartera de un joven de 20 años, clave en una causa de blanqueo de 122 millones
Interpol incautó 293 millones de dólares y practicó 5.811 detenciones. Una sola cartera de un veinteañero movió 122,5 millones de dólares.
Más leídos
Mercado cripto: momento de la verdad para Bitcoin, Ethereum y XRP
Nueva jornada en verde para el mercado cripto. Bitcoin, Ethereum y XRP siguen subiendo y se acercan a niveles clave.
Una criptocartera con 650.000 usuarios cierra tras una brecha de seguridad
Ctrl Wallet, una cartera multicadena sin custodia que permite a los usuarios gestionar sus propios activos digitales, cierra definitivamente.
El Banco de Pagos Internacionales alerta de una burbuja de IA con grandes riesgos financieros
El BPI advierte de que la enorme ola de inversión en IA podría derivar en una crisis financiera por el endeudamiento y la inflación a escala mundial.