Quinientos milisegundos. Cada medio segundo, este malware revisa lo que has copiado, esperando que pegues la dirección de un wallet para reemplazarla por la de un ladrón. Microsoft lo hizo público el 17 de junio de 2026, aunque circulaba sin ser detectado desde febrero. El motivo de la alarma es claro: ataca el gesto más cotidiano que hacemos con las criptomonedas, copiar y pegar una dirección.
El nombre técnico es crypto clipper, y el antivirus de Microsoft lo identifica como Trojan:Win32/CryptoBandits.A. Se propaga a través de memorias USB infectadas en sistemas Windows. Binance también alertó a sus usuarios sobre esta amenaza. No es un simple ladrón de datos: combina robo, capacidad de autorreplicación y una puerta trasera para el control remoto. En nuestra sección de ataques y hacks puedes seguir casos similares.
¿Cómo funciona el ataque?
La cadena de infección es ordenada y silenciosa, y no requiere prácticamente ningún clic consciente por parte de la víctima:
- 1. USB infectado: Los archivos reales quedan ocultos y son reemplazados por accesos directos disfrazados de documentos normales.
- 2. Ejecución: Al abrir el falso acceso directo, se lanza un script que instala un gusano, con tareas programadas para mantenerse activo tras cada reinicio.
- 3. Vigilancia: El malware revisa el portapapeles de Windows cada 500 milisegundos y captura pantallas a intervalos regulares.
- 4. Robo y sustitución: Busca seed phrases y claves privadas, y cuando copias una dirección la intercambia por la del atacante.
- 5. Exfiltración: Los datos salen a través de la red Tor, que oculta la infraestructura de los atacantes.
Since February 2026, Microsoft Defender Experts have tracked a cryptocurrency clipper campaign that combines clipboard theft, wallet address replacement, worm-like functionality, and Tor-based communications, enabling both financial gain and continued access to devices.…
, Microsoft Threat Intelligence (@MsftSecIntel) June 17, 2026
Por qué es más peligroso que un clipper convencional
Tres características elevan considerablemente el nivel de riesgo. La primera es el uso de la red Tor: al enrutar las comunicaciones a través de un proxy local y direcciones ocultas, el malware hace prácticamente invisible a quien lo opera. La segunda es la puerta trasera: además de robar, permite ejecutar código adicional en un momento posterior, abriendo la puerta a ransomware y nuevos ataques. La tercera es la más sutil.
Cuando reemplaza la dirección copiada, genera una que se parece a la original: los primeros y últimos caracteres son similares, de modo que una revisión descuidada no detecta el cambio. Afecta a Bitcoin en sus distintos formatos, además de Ethereum, Tron y Monero. Es exactamente el tipo de trampa que analizamos en nuestra sección de estafas crypto.
Cómo protegerse del malware clipper
La buena noticia es que las contramedidas son sencillas y están al alcance de cualquier usuario:
- Desactiva la ejecución automática: Apaga AutoRun y AutoPlay para dispositivos extraíbles, para que ningún USB ejecute nada por su cuenta.
- No confíes en USB desconocidos: Trata cualquier memoria extraíble de procedencia incierta como potencialmente infectada.
- Verifica la dirección completa: Antes de enviar, comprueba la dirección entera, no solo los primeros y últimos caracteres.
- Usa una hardware wallet: Confirma la dirección en la pantalla del dispositivo físico, donde el malware no puede intervenir. Puedes ver más detalles en nuestra guía de custodia.
El punto débil es uno solo: el portapapeles. Ahí se decide el robo, en el medio segundo entre copiar y pegar. El hábito que neutraliza casi todo es simple y muy efectivo: verificar la dirección completa y confirmarla en el dispositivo físico antes de cualquier envío. En LATAM, donde el uso de crypto para remesas y pagos cotidianos crece con rapidez, este tipo de ataque representa un riesgo concreto para quienes mueven fondos con regularidad. Para actualizaciones oficiales, los referentes son Microsoft y los organismos de ciberseguridad de cada país, como el INCIBE en España o el CERT.ar en Argentina, mientras que los casos y ataques los seguimos actualizando en nuestra sección de Bitcoin.
