Resumen Semanal de los Ciberataques 03-09 Julio
Ataque TapTrap, un tapjacking basado en animaciones en Android
Los investigadores han descubierto un nuevo tipo de ataque dirigido a dispositivos Android, denominado TapTrap. TapTrap permite que una aplicación maliciosa aproveche las animaciones de la interfaz de Android para eludir los sistemas de permisos. De este modo, se engaña a los usuarios para que permitan el acceso a datos confidenciales y se realicen otras acciones destructivas. Cuando se instala la aplicación maliciosa, se inicia una actividad transparente e inofensiva sobre otra maliciosa. TapTrap crea un desajuste visual con los usuarios, que supuestamente interactúan con una aplicación visible, pero sus toques se registran en la pantalla oculta. La aplicación puede utilizar esto para atraer al usuario a tocar áreas específicas de la pantalla que corresponden a acciones confidenciales en la pantalla oculta, lo que le permite realizar acciones sin el conocimiento del usuario. A diferencia del tapjacking tradicional basado en superposiciones, los ataques son capaces de funcionar con aplicaciones sin permisos. Según los investigadores, el ataque funciona en la última versión de Android. En julio de 2025, los navegadores ya han solucionado el problema, pero Android sigue siendo vulnerable.
NordDragonScan ataca a usuarios de Windows para robar credenciales de inicio de sesión
Los investigadores han descubierto una infraestructura de distribución activa que aloja un script HTA malicioso y descarga silenciosamente el infostealer «NordDragonScan» en los entornos de las víctimas. El malware tiene como objetivo los sistemas Microsoft Windows. El ataque aprovecha URL acortadas que conducen a sitios falsos de intercambio de archivos que distribuyen archivos RAR maliciosos camuflados como documentos ucranianos. Los archivos RAR contienen un acceso directo LNK creado para ejecutar la utilidad «mshta.exe» de Microsoft y ejecutar la carga útil HTA incrustada. Una vez ejecutado, el malware copia PowerShell.exe en un directorio público y lo renombra como «install.exe» para ocultar su presencia al software de seguridad. Una vez instalado, el infostealer escanea el host y copia documentos, recopila perfiles completos de Chrome y Firefox y realiza capturas de pantalla. Los datos robados se envían a través de TLS y se filtran a través del servidor de comando y control «kpuszkiev.com». Esta infraestructura también permite a los hackers determinar si la víctima sigue conectada y solicitar datos adicionales.
Las fuerzas de seguridad españolas desmantelan una red de fraude de inversiones
Las autoridades españolas han desmantelado una operación de fraude cibernético que ha causado pérdidas por valor de más de 10 millones de euros en España a través de plataformas falsas de criptomonedas e inversiones financieras. La red criminal, activa desde 2022, estaba dirigida por un grupo que se hacía pasar por expertos financieros. El grupo se ponía en contacto con las víctimas a través de centros de llamadas falsos con asesores financieros falsos y anuncios falsos en redes sociales que redirigían a sitios web de inversión falsos y portales de criptomonedas. Las inversiones se realizaban supuestamente en empresas de renombre y, al principio, se permitía a las víctimas realizar algunos retiros para ganarse su confianza. Una vez que las inversiones eran más cuantiosas, se bloqueaba el acceso a los fondos. La red criminal fue desmantelada en una operación coordinada en Barcelona, Madrid, Mallorca y Alicante. Las autoridades detuvieron a 21 sospechosos y se incautaron de 1,3 millones de euros en efectivo y criptomonedas, además de siete vehículos de lujo.
Detectadas más de 40 extensiones maliciosas de Firefox dirigidas a robar criptomonedas
Investigadores de ciberseguridad han descubierto más de 40 extensiones maliciosas en Mozilla Firefox diseñadas para robar claves y frases semilla de monederos de criptomonedas. Estas extensiones suplantaban a herramientas legítimas como Coinbase, MetaMask, Trust Wallet o Exodus, replicando sus nombres y logotipos. La campaña, activa al menos desde abril de 2025, empleaba tácticas como reseñas falsas de cinco estrellas para aparentar popularidad y ganar credibilidad ante los usuarios. Además, los atacantes aprovechaban el código abierto de algunas extensiones originales para insertar funcionalidades maliciosas sin alterar la experiencia del usuario. Estas extensiones también recopilaban direcciones IP de las víctimas y enviaban datos robados a servidores remotos. A diferencia del phishing tradicional, el ataque ocurría dentro del propio navegador, lo que dificultaba su detección. Mozilla ya ha eliminado casi todas las extensiones identificadas y afirma haber implementado un sistema para bloquear amenazas similares antes de que se propaguen.
Crece el uso de archivos PDF en campañas de suplantación de identidad
Se ha detectado un aumento significativo en ataques de phishing que utilizan archivos PDF para suplantar marcas conocidas como Microsoft, Adobe, PayPal o Geek Squad. Estos documentos, enviados como adjuntos en correos electrónicos, frecuentemente incluyen logotipos falsificados, códigos QR o enlaces ocultos que redirigen a páginas de suplantación. Una técnica en auge es el callback phishing o TOAD, en la que los atacantes inducen a las víctimas a llamar a números de teléfono controlados por ellos para extraer información confidencial. Estos números, mayoritariamente VoIP, suelen reutilizarse durante varios días y son difíciles de rastrear. También se han detectado abusos de plataformas de firma electrónica para distribuir estos archivos. Además, los atacantes utilizan anotaciones invisibles dentro de los PDFs para ocultar enlaces maliciosos y evadir los sistemas de seguridad tradicionales.