Noticias

Omnistealer utiliza la cadena de bloques para robar todo lo que pueda

por Pieter Arntz | 14 de abril de 2026
robarlo todo

Un nuevo programa de robo de información, conocido como Omnistealer, está convirtiendo la cadena de bloques en una plataforma permanente de alojamiento de malware, lo cual supone una mala noticia tanto para las empresas como para los usuarios comunes.

Es bastante habitual que el malware almacene su carga útil en una plataforma pública, a ser posible una que aporte cierta credibilidad a la ubicación de descarga, como Google Docs, OneDrive, GitHub, npm, PyPI, etc.

El problema para los distribuidores de malware es que estos pueden ser eliminados. A veces puede llevar tiempo y suponer mucho trabajo, pero es posible. Omnistealer elude esto almacenando su código de preparación dentro de transacciones en blockchains públicas como TRON, Aptos y Binance Smart Chain.

Algunas transacciones de blockchain permiten incluir pequeños fragmentos de datos arbitrarios (notas, metadatos, entradas de contratos inteligentes) y, en lugar de algo inofensivo, los atacantes insertan:

  • Texto cifrado
  • Comandos codificados
  • Fragmentos de código malicioso

Y dado que las cadenas de bloques son de solo añadir, esos fragmentos maliciosos resultan prácticamente imposibles de eliminar una vez que se han minado y se han incorporado a un bloque. Se pueden revocar dominios y retirar repositorios de GitHub, pero no se puede revertir TRON o BSC solo para eliminar unos pocos cientos de bytes de código de preparación de malware.

Esto convierte los registros públicos en una infraestructura de mando y control resiliente y resistente a la censura que los defensores no pueden simplemente desmantelar.

A pesar de su evidente relación con las criptomonedas, Omnistealer no se limita únicamente a robar a los inversores en criptomonedas. Una vez que Omnistealer se instala en un sistema, va a por:

  • Más de 10 gestores de contraseñas, incluidas herramientas para particulares con sincronización en la nube, como LastPass.
  • Los principales navegadores, como Chrome Firefox, recopilan los datos de inicio de sesión y de sesión guardados.
  • Cuentas de almacenamiento en la nube, incluidas las credenciales de Google Drive.
  • Más de 60 monederos de criptomonedas para navegador, incluidas extensiones populares como MetaMask y Coinbase Wallet.

 Está diseñado para ser un aspirador de datos integral que, según los investigadores, «lo robará todo, literalmente».

El ataque suele comenzar con un trabajo de programación «sencillo»: un colaborador recibe una oferta LinkedIn Upwork, descarga un repositorio de GitHub y ejecuta lo que parece ser el código habitual del proyecto. Sin embargo, en segundo plano, ese código se conecta a la cadena de bloques, lee los datos de las transacciones y los utiliza como referencia para recuperar y descifrar la carga útil final.

Los investigadores estiman que ya se han visto comprometidas unas 300 000 credenciales, que abarcan desde plataformas de la industria para adultos y servicios de reparto de comida hasta empresas de cumplimiento normativo financiero, proveedores del sector de la defensa y organismos del Gobierno de los Estados Unidos. 

Qué puedes hacer 

No se puede eliminar el malware de la cadena de bloques, pero sí puedes hacer que sea mucho más difícil que campañas como esta te afecten. En primer lugar, reduce la información que se puede robar. A continuación, protege mejor tus datos.

  • Considera sospechosas, por defecto, las ofertas de «trabajo soñado» y los contratos no solicitados, sobre todo si te invitan rápidamente a chatear fuera de la plataforma (Telegram, Discord) o te piden que ejecutes código de un repositorio privado.
  • Protege tus contraseñas con un gestor de contraseñas de confianza y activa la autenticación multifactorial (utilizando preferiblemente una aplicación o una llave en lugar de SMS) para cualquier cuenta importante o confidencial.
  • Utiliza una solución antimalware actualizada y en tiempo real para bloquear, detectar y eliminar amenazas como Omnistealer.
  • No utilices tu perfil de usuario habitual ni tu ordenador principal como banco de pruebas para proyectos aleatorios de GitHub o trabajos secundarios. En su lugar, utiliza una máquina virtual o un sistema independiente.
  • Esté atento a sus cuentas de criptomonedas y bancarias por si se producen inicios de sesión o retiradas de fondos inexplicables, y transfiera los fondos a nuevas carteras si sospecha que han sido comprometidas.

Seamos realistas, una ventana de incógnito tiene sus limitaciones.

Filtraciones de datos, comercio en la dark web, fraude crediticio. Malwarebytes Identity Theft supervisa todo ello, te avisa rápidamente y incluye un seguro contra el robo de identidad. 

Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
Logotipo de JDownloader

Los atacantes sustituyeron las descargas del instalador de JDownloader por malware

Mayo 15, 2026

El sitio web de JDownloader fue objeto de un ataque y los enlaces de descarga del instalador distribuyeron malware durante varios días.

AI
Instagram entre WhatsApp e Instagram

El nuevo y confuso enfoque de Meta sobre la privacidad en los chats

Mayo 15, 2026

WhatsApp ofrece ahora chats con IA que desaparecen, y Meta afirma que no puede leerlos. Mientras tanto, Instagram eliminar la función que impedía a Meta leer tus mensajes.

Privacidad
Logotipo de Yahoo Mail

¿Por qué Malwarebytes algunos redireccionamientos de Yahoo Mail?

Mayo 14, 2026

Es posible que algunos usuarios de Yahoo Mail reciban Malwarebytes repetidas Malwarebytes debido a conexiones en segundo plano con dominios de terceros sospechosos. A continuación te explicamos por qué.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas