Usuarios cripto afectados por una estafa a través de una app de notas popular

Los ciberdelincuentes no carecen de imaginación. Esta vez, transformaron una sencilla aplicación de toma de notas en un arma silenciosa para vaciar las carteras cripto de sus objetivos. ¿Y lo peor? La víctima no ve venir nada.

Una aplicación de notas desviada para atrapar a los inversores cripto

Elastic Security Labs dio la voz de alarma este martes, en un informe detallado. Actores maliciosos están atacando activamente a profesionales del cripto y finanzas mediante una campaña sofisticada de ingeniería social. Operan principalmente en LinkedIn y Telegram, aprovechando los plugins comunitarios de Obsidian, una aplicación de toma de notas muy popular en ambientes tecnológicos y financieros.

El guion está bien ensayado. El atacante contacta a su objetivo en LinkedIn presentándose como un representante de una empresa ficticia de capital de riesgo. La conversación luego se traslada a Telegram, donde aborda temas creíbles: liquidez cripto, servicios financieros, soluciones de tesorería. El objetivo es simple, generar confianza antes de actuar.

Luego viene la trampa: la víctima recibe credenciales para acceder a un «tablero compartido» alojado en una bóveda en la nube de Obsidian, presentada como la base de datos interna de la falsa empresa. Una vez que la bóveda está abierta, Obsidian invita al usuario a activar la sincronización de plugins comunitarios. En ese momento preciso, los plugins infectados se ejecutan silenciosamente.

¿El resultado? Un troyano llamado PHANTOMPULSE se instala discretamente, compatible con Windows y macOS. Ofrece a los atacantes acceso remoto completo al dispositivo. Diseñado para sigilo y resistencia, evade los antivirus clásicos disfrazándose de software legítimo.

Un malware que usa la blockchain para desaparecer entre la multitud

Lo que distingue a PHANTOMPULSE de sus predecesores es su infraestructura de mando. En lugar de apoyarse en servidores centralizados, fácilmente identificables y bloqueables, se comunica a través de tres blockchains independientes. Las instrucciones pasan por transacciones on-chain vinculadas a una cartera específica.

Resultado: aunque un explorador de bloques sea inaccesible, las otras dos redes toman el relevo. Y dado que las transacciones blockchain son públicas e inmutables, el malware siempre encuentra su servidor de mando, sin depender jamás de una infraestructura centralizada. Un diseño casi indestructible.

Este ataque no ocurre en un vacío: forma parte de una ola más amplia de fraudes sofisticados que apuntan al ecosistema cripto. A principios de abril, una falsa aplicación Ledger Live infiltrada en la App Store de Apple permitió desviar cerca de 9,5 millones de dólares en menos de una semana, afectando a más de cincuenta víctimas en Bitcoin, Ethereum, Solana y otras redes principales.

Elastic enfatiza un claro aviso para las empresas: las herramientas de productividad diarias pueden convertirse en vectores de ataque. La recomendación es formal, aplicar políticas estrictas de gestión de plugins a nivel de las aplicaciones.

Finalmente, hay que recordar una realidad fundamental: las transacciones cripto son irreversibles. Una vez que los fondos salen, no hay recurso posible. En este contexto, la mejor defensa es la desconfianza sistemática: nunca activar plugins desconocidos, verificar la identidad de contactos profesionales y tratar cualquier solicitud de acceso a una herramienta compartida como un posible intento de intrusión.