Arturo TrenardAlerta de Ciberseguridad: Nueva Estafa con Obsidian y Blockchain Apunta a Usuarios de Criptomonedas
Investigadores de ciberseguridad han alertado sobre una sofisticada campaña de estafa que engaña a usuarios del sector cripto para que ejecuten malware a través de la aplicación de notas Obsidian. La campaña, denominada “PHANTOMPULSE” por la firma Elastic Security Labs que la descubrió, otorga a los atacantes control remoto del dispositivo y emplea transacciones en blockchain para evadir la detección. Este método subraya la creciente sofisticación de los ataques dirigidos a un sector que perdió $713 millones en 2025 por robos a billeteras individuales, según datos de Chainalysis.
El Mecanismo del Engaño: De LinkedIn al Plugin Malicioso
La campaña inicia con un contacto en LinkedIn, donde los atacantes se hacen pasar por representantes de una firma de capital de riesgo. Tras establecer comunicación, trasladan la conversación a Telegram para discutir supuestas oportunidades de negocio en “soluciones de liquidez en criptomonedas”.
Una vez ganada la confianza, presentan Obsidian como la plataforma operativa de su empresa falsa e invitan a la víctima a acceder a un dashboard compartido. La víctima recibe credenciales para un “vault” o bóveda digital controlada por los atacantes.
Este vault es el vector de acceso inicial. Una vez abierto en Obsidian, se instruye al objetivo para que habilite la sincronización de plugins de la comunidad. Después, los plugins trojanizados ejecutan silenciosamente la cadena de ataque.
De esta forma, la funcionalidad legítima de la aplicación es aprovechada para desplegar el código malicioso.
El Malware “PHANTOMPULSE”: Características y Funcionamiento
El payload final es un troyano de acceso remoto (RAT) previamente no documentado, compatible con sistemas Windows y macOS. Según el análisis, “PHANTOMPULSE” está diseñado para el sigilo, la resiliencia y el acceso remoto integral.
Sus capacidades otorgan a los atacantes un control total sobre el dispositivo comprometido, permitiéndoles potencialmente robar credenciales, espiar actividad o secuestrar billeteras de criptomonedas. El malware se disfraza de software legítimo para evadir sospechas iniciales.
La Innovación Peligrosa: Comando y Control mediante Blockchain
Uno de los aspectos más destacados de esta campaña es su mecanismo de comando y control (C2). “PHANTOMPULSE” utiliza un sistema C2 descentralizado que opera sobre al menos tres redes blockchain diferentes.
El malware implantado monitorea billeteras de criptomonedas específicas controladas por los atacantes. Estos envían instrucciones codificadas dentro de transacciones blockchain normales, que el malware lee para recibir órdenes.
Esta técnica ofrece ventajas clave: es “infraestructura-agnóstica”, ya que no depende de servidores centralizados que puedan ser bloqueados, y proporciona redundancia a través de múltiples cadenas de bloques.
Debido a que las transacciones de blockchain son inmutables y públicamente accesibles, el malware siempre puede localizar su C2
, señala el informe de Elastic.
Contexto y Recomendaciones de Seguridad
Un Objetivo Recurrente: El Costo para la Industria Cripto
Los usuarios del ecosistema cripto son blancos frecuentes debido a la naturaleza irreversible de las transacciones en blockchain. Los datos de Chainalysis reflejan esta realidad, con $713 millones robados en 2025 mediante compromisos de billeteras individuales. La campaña “PHANTOMPULSE” representa la última evolución en vectores de acceso creativos que buscan explotar esta lucrativa industria.
Lecciones y Medidas de Protección
El informe sirve como una advertencia clara: las herramientas de productividad legítimas pueden convertirse en vectores de ataque cuando se abusa de sus funcionalidades de extensión. Los investigadores hacen una recomendación clave para empresas en sectores financieros y de criptomonedas:
Implementar y hacer cumplir políticas estrictas a nivel de aplicación que restrinjan o monitoricen de cerca la instalación y el uso de plugins de terceros.
La campaña logró eludir “controles de seguridad tradicionales por completo”, confiando en la funcionalidad prevista de la aplicación para ejecutar código arbitrario. Este caso subraya la necesidad de una concienciación continua y de adoptar un enfoque de “confianza cero” en entornos donde se manejan activos digitales de alto valor.
