Hack news
Cibercriminales han tomado el control de decenas de miles de servidores mal protegidos en todo el mundo para construir una gran red de bots dirigida al robo de criptomonedas. Así lo revela una nueva investigación de la empresa de ciberseguridad Check Point. Los ataques se aprovechan de contraseñas débiles y servidores mal protegidos que están directamente conectados a Internet.
Según los investigadores, más de 50,000 servidores están actualmente vulnerables. Estos sistemas son explotados para acceder a infraestructuras relacionadas con criptomonedas y, en última instancia, vaciar billeteras digitales.
Ataques a través del malware GoBruteforcer
Los ataques se realizan con un malware llamado GoBruteforcer. Este software intenta iniciar sesión automáticamente en servidores probando nombres de usuario y contraseñas comunes. Una vez que un intento de acceso tiene éxito, los atacantes obtienen acceso completo al sistema.
El malware se dirige principalmente a servidores Linux que ejecutan servicios comunes, como FTP, MySQL, PostgreSQL y phpMyAdmin. Estos sistemas se utilizan a menudo para sitios web y bases de datos, pero en la práctica, a menudo están insuficientemente protegidos.
Un servidor infectado se convierte en parte de la red de bots y luego puede usarse para atacar otros servidores vulnerables. Además, los atacantes pueden robar datos, crear cuentas adicionales o vender el acceso al servidor.
Millones de servidores accesibles al público
Una causa importante de los ataques a gran escala es la gran cantidad de servidores que están abiertos al tráfico de Internet. Se estima que millones de servidores FTP y de bases de datos en todo el mundo son accesibles directamente a través de puertos estándar, a menudo sin una sólida seguridad.
GoBruteforcer se observó por primera vez en 2023, pero a mediados de 2025 los investigadores descubrieron una nueva variante más avanzada. Esta versión es más difícil de detectar y permanece activa por más tiempo en los sistemas infectados.
Contraseñas débiles y guías de IA
Muchos ataques tienen éxito debido a errores de seguridad simples. Los hackers utilizan nombres de usuario predeterminados como appuser y myuser, combinados con contraseñas débiles como admin123456. Estas combinaciones a menudo provienen directamente de manuales en línea y guías de instalación.
Según Check Point, las guías de configuración generadas por IA también contribuyen al problema. Estas repiten las mismas configuraciones de ejemplo, lo que conduce al uso generalizado de credenciales de inicio de sesión débiles idénticas.
Además, los atacantes se enfocan deliberadamente en cuentas con nombres relacionados con criptomonedas, como cryptouser y crypto_app, con la esperanza de encontrar servidores vinculados a divisas digitales.
Enfoque en carteras de criptomonedas con saldo
Los investigadores descubrieron que algunos servidores infectados se utilizaban para escanear direcciones de blockchain en busca de saldo. Se controlaron, entre otros, miles de carteras TRON. En los sistemas encontrados había herramientas para desviar automáticamente criptoactivos una vez que una cartera contenía dinero.
El análisis de las transacciones blockchain indica que parte de estos ataques ha tenido éxito. Esto confirma que los proyectos cripto y la infraestructura blockchain son un objetivo deliberado de las campañas de ataque.
El software antiguo sigue siendo un riesgo
Según Check Point, la ola de ataques es consecuencia de un problema estructural. Muchas organizaciones siguen trabajando con software y servidores obsoletos que no están suficientemente protegidos. Las plataformas web más antiguas, donde los paneles de administración y el acceso FTP están abiertos, resultan especialmente atractivas para los atacantes.
Los investigadores advierten que incluso el malware relativamente simple puede causar grandes daños mientras los sistemas mal protegidos permanezcan en línea. A finales de 2025, además, se constató que algunos servidores infectados también estaban siendo utilizados por otra familia de malware, lo que aumenta el riesgo aún más.
Los hallazgos subrayan la importancia de contar con contraseñas sólidas, cerrar el acceso innecesario a Internet y mantener actualizados los programas de los servidores.
Ejecutivo de OpenZeppelin califica de inseguras a todas las plataformas DeFi
Datos de DeFiLlama revelan que en los últimos doce meses se perdieron más de 1.100 millones de dólares por ataques y exploits en proyectos DeFi.
Estafa de Google Ads utiliza Uniswap para phishing: delincuentes roban $400,000 en criptomonedas
El ataque se llevó a cabo mediante falsos anuncios en Google Search que dirigían a los usuarios a una versión falsa del sitio web de Uniswap.
Hackers utilizan Claude y Cursor para vaciar criptomonedas
Una nueva campaña de malware llamada ‘TrapDoor’ representa una seria amenaza para los desarrolladores en los sectores de criptomonedas e inteligencia artificial.
Más leídos
Actualización del mercado cripto: Bitcoin cae mientras pequeñas altcoins suben con fuerza
Bitcoin enfrenta un día complicado y libra una batalla crucial en los gráficos. Mientras tanto, varias altcoins registran importantes ganancias.
Cuatro años después del colapso de Luna: gigante comercial acusado de información privilegiada vía Telegram
Nuevos documentos judiciales revelan chats secretos, transacciones sospechosas de UST y acusaciones de uso de información privilegiada en torno al colapso de Terra.
OpenAI solicitará su salida a bolsa en semanas
OpenAI se prepara para salir a bolsa con Goldman Sachs y Morgan Stanley. El creador de ChatGPT apunta a debutar en otoño, con una valoración de hasta 1 billón.