Salta al contenuto
18 julio 2026

Descubre cómo OkoBot infecta dispositivos y roba datos sensibles de usuarios de criptomonedas

Un nuevo malware llamado OkoBot está atacando a inversores en criptomonedas, robando frases semilla y otros datos sensibles a través de técnicas de ingeniería social.

Descubre cómo OkoBot infecta dispositivos y roba datos sensibles de usuarios de criptomonedas

En el mundo de las criptomonedas la seguridad es primordial. Sin embargo, un nuevo malware llamado OkoBot está poniendo en riesgo los activos digitales de los usuarios. Este framework malicioso ha sido identificado por Kaspersky y representa una amenaza significativa para los inversores en criptomonedas.

OkoBot utiliza técnicas de ingeniería social para infectar dispositivos, como ClickFix y aplicaciones troyanizadas de GitHub. Una vez dentro, el malware puede robar archivos de billeteras criptográficas datos de navegadores y credenciales de usuario. Además, puede inyectar extensiones maliciosas y capturar ventanas de aplicaciones de billeteras para robar activos. Kaspersky ha identificado múltiples ataques involucrando esta familia de malware desde enero de 2026.

Evolución de TookPS a OkoBot

OkoBot no es un malware aislado; de hecho, ha evolucionado de una campaña maliciosa llamada TookPS identificada por primera vez en 2026. TookPS distribuía un Trojan downloader a través de sitios web falsos de software. La diferencia clave de OkoBot es que orquestra todas sus 20 cargas útiles maliciosas a través de un túnel SSH lo que permite el transporte remoto de datos desde computadoras infectadas a máquinas controladas por atacantes.

Métodos de infección y robo de datos

OkoBot utiliza varios métodos para infectar dispositivos. Uno de los más comunes es a través de repositorios falsos en GitHub que pretenden ser herramientas legítimas. Por ejemplo, un repositorio que afirmaba ofrecer SQL Server Management Studio (SSMS) en realidad entregaba una versión troyanizada de Audacity una herramienta de edición de audio.

Una vez instalado, OkoBot utiliza un bot SSH para recolectar detalles del sistema, desactivar notificaciones de Windows Defender y robar archivos de billeteras criptográficas, cookies de navegadores y credenciales de cuenta. Entre los 20 módulos que utiliza OkoBot, destacan:

  • ext daemon/extl.exe Inyecta en navegadores Chrome para instalar extensiones maliciosas como Rilide que roba credenciales, cookies y datos financieros.
  • SeedHunter Inyecta en Trezor SuiteLedger Wallet y Ledger Live para mostrar una pantalla falsa de recuperación de semillas y robar frases de recuperación de billeteras.
  • MC Keylogger Registra pulsaciones de teclas, actividad del portapapeles y toma capturas de pantalla cada 5 minutos.
  • OkoSpyware Monitorea más de 100 programas, incluyendo billeteras criptográficas y gestores de contraseñas, y graba videos de sus ventanas.

Campañas de reclutamiento falsas en LinkedIn

Además de OkoBot, otra campaña maliciosa está utilizando LinkedIn para engañar a desarrolladores Web3. Los atacantes se hacen pasar por reclutadores de Web3 y envían repositorios falsos de GitHub a los desarrolladores, afirmando que contienen un producto mínimo viable que debe probarse antes de una entrevista. Este flujo de trabajo se asemeja a una entrevista técnica legítima, lo que dificulta detectar el ataque.

El malware entregado en estas campañas instala un trojan de acceso remoto que permite a los atacantes robar claves de proyectos, credenciales de nube o datos de extensiones de billeteras. Según SlowMist estos ataques no son casos aislados y muestran cómo los atacantes están aprovechando escenarios de reclutamiento, revisiones de código y colaboraciones de proyectos para engañar a los desarrolladores.

En un mundo donde la seguridad digital es crucial, es esencial estar informado sobre las últimas amenazas. OkoBot y otras campañas maliciosas subrayan la importancia de mantenerse vigilante y adoptar medidas de seguridad robustas para proteger los activos digitales.

Autore

Sofía Herrera

Sofía Herrera cubre lo que pasa en TikTok antes de que llegue a la televisión. Combina análisis cultural con periodismo de actualidad ligera.