Alerta global: descubren virus escondido dentro de la blockchain que roba tus criptos

Expertos en ciberseguridad han descubierto un nuevo y alarmante método de ataque, en el que hackers patrocinados por Corea del Norte están escondiendo malware directamente dentro de las transacciones de blockchains públicas, como Ethereum y BNB.

¿Un virus que vive en la blockchain?

Se trata de una técnica llamada “EtherHiding", la cual utiliza la propia inmutabilidad de la blockchain como un servidor de alojamiento "a prueba de balas", creando un virus casi imposible de eliminar.

Fue el “Grupo de Inteligencia de Amenazas de Google” (GTIG), quienes detallaron el descubrimiento, advirtiendo que el objetivo de este malware es robar criptomonedas de los usuarios.

Esta táctica se suma a otras peligrosas innovaciones delictivas, como el ransomware con inteligencia artificial, la nueva pesadilla digital de 2025, que están redefiniendo la ciberseguridad.

De la seguridad al riesgo

La técnica "EtherHiding" es catalogada como “sofisticada”, porque aprovecha la inmutabilidad (la incapacidad de borrar o modificar datos una vez registrados), una característica fundamental de la blockchain.

A diferencia de los métodos tradicionales donde un virus se aloja en un servidor que puede ser eliminado, dicho enfoque es más persistente.

La receta del ataque

Este tipo de ataque funciona de la siguiente manera:

• Fragmentación del código: aquí es cuando los hackers, identificados como el grupo norcoreano UNC5342, dividen el código malicioso en múltiples partes pequeñas.
• Ocultamiento en transacciones: dichas secciones se insertan en los campos de datos de operaciones legítimas, o se esconden dentro de contratos en las redes de Ethereum y BNB.
• Registro permanente: una vez que la transacción se valida y se añade a un bloque, el fragmento de malware queda grabado en la blockchain para siempre. No puede ser borrado.

De red descentralizada a guarida del cibercrimen

Google ha calificado esto como la "próxima generación de alojamiento a prueba de balas", ya que la naturaleza pública y resistente a la censura de la blockchain, la convierte en el escondite perfecto.

Cabe resaltar que, este virus no se activa solo, sino que su infección comienza con un elaborado engaño de ingeniería social, que se dirige específicamente a desarrolladores y profesionales del sector Web3.

Falsas entrevistas, amenazas reales: Así engañan a desarrolladores

Para ello, los atacantes contactan a sus víctimas a través de ofertas de trabajo falsas o supuestos "desafíos de codificación". Aquí, el objetivo es convencer al desarrollador de que descargue un archivo que aparenta ser parte del proceso de selección.

Sin embargo, en realidad, dicho archivo es un programa "descargador", llamado dropper. Al ejecutarse, se conecta directamente a la blockchain, buscando las transacciones que contienen los fragmentos del virus para luego extraerlos.

Seguidamente, los reensambla en el dispositivo de la víctima e instala el malware final.

La amenaza se expande

El informe de Google identifica este malware como la puerta trasera "InvisibleFerret", vinculada a robos de criptomonedas a gran escala.

No obstante, este método no es un caso aislado, pues Google también ha identificado a otro grupo, llamado UNC5142, que utiliza una técnica similar para comprometer portales web de WordPress.

Hasta entonces, han logrado inyectar código en más de 14,000 sitios que, de manera similar, se conectan a la blockchain para descargar e instalar malware en los visitantes.

Un reto permanente: ¿Cómo se detiene un virus grabado en la blockchain?

Para Corea del Norte, esta táctica representa una evolución en sus operaciones cibernéticas, pues se indica que el régimen utiliza los fondos robados de la industria cripto para financiar sus programas estatales.

En general, "EtherHiding" representa un cambio fundamental para la seguridad digital. Ahora, los expertos deberán enfrentar el reto de detener un virus que parece ser permanente e inalterable, ya que está grabado directamente en la blockchain.