Por Angel Di Matteo 𝕏 @shadowargelUna nueva investigación de Check Point alerta sobre ataques automatizados contra infraestructuras de proyectos cripto y Blockchain, impulsados por credenciales poco protegidas y configuraciones generadas con ayuda de IA.
***
- Un botnet llamado GoBruteforcer compromete servidores Linux usados por proyectos cripto.
- El uso de contraseñas predecibles y configuraciones generadas por IA facilita los ataques.
- Investigadores estiman que decenas de miles de servidores podrían ser vulnerables.
🚨 ATENCIÓN 🚨 Nuevos ataques automatizados a infraestructuras cripto mediante GoBruteforcer.
Credenciales débiles y configuraciones inseguras facilitan el acceso a cientos de servidores.
Investigación de Check Point revela que decenas de miles de sistemas están expuestos.
La… pic.twitter.com/zLCrOZHcWk
— Diario฿itcoin (@DiarioBitcoin) January 12, 2026
Una nueva investigación publicada por la firma de ciberseguridad Check Point advierte que bases de datos y servicios de infraestructura utilizados por proyectos de criptomonedas y Blockchain están siendo comprometidos mediante patrones de despliegue inseguros. Según el informe, estas debilidades están relacionadas con credenciales débiles y configuraciones generadas con ayuda de inteligencia artificial, lo que facilita ataques automatizados a gran escala.
El estudio identifica a un botnet de malware denominado GoBruteforcer, capaz de atacar servidores Linux y convertirlos en nodos dedicados al descifrado automático de contraseñas. Check Point señaló que este programa malicioso ha afectado infraestructuras críticas empleadas por proyectos cripto, incluyendo servidores de bases de datos, servicios de transferencia de archivos y paneles de administración web.
El botnet funciona escaneando internet en busca de servicios mal protegidos y probando combinaciones de nombres de usuario comunes con contraseñas débiles. Una vez que un sistema es comprometido, pasa a formar parte de una red distribuida que puede ser controlada de forma remota por los operadores del ataque.
Servicios comunes y credenciales débiles como vector de ataque
De acuerdo con el reporte de Check Point, publicado el miércoles pasado, GoBruteforcer logra evadir mecanismos de protección en servicios ampliamente utilizados como FTP, MySQL, PostgreSQL y phpMyAdmin. Estas herramientas son habituales entre startups Blockchain y desarrolladores de aplicaciones descentralizadas para gestionar datos de usuarios, lógica de aplicaciones y paneles internos.
Los sistemas comprometidos aceptan instrucciones de servidores de comando y control, que definen qué servicios atacar y qué credenciales utilizar en los intentos de fuerza bruta. Las credenciales obtenidas se reutilizan posteriormente para acceder a otros sistemas, robar datos privados, crear cuentas ocultas y ampliar el alcance del botnet.
Check Point añadió que los servidores infectados también pueden ser reutilizados para alojar cargas maliciosas, distribuir malware a nuevas víctimas o incluso actuar como servidores de respaldo si la infraestructura principal de los atacantes queda fuera de servicio.
El rol de la inteligencia artificial en configuraciones inseguras
El informe subraya un problema creciente en la industria tecnológica. Muchos equipos de desarrollo, incluidos aquellos vinculados a grandes empresas como Microsoft y Amazon, utilizan fragmentos de código y guías de configuración generadas por modelos de lenguaje de gran escala o copiadas desde foros públicos.
Según explicó Check Point, los modelos de IA no crean contraseñas realmente nuevas, sino que replican patrones aprendidos durante su entrenamiento. Esto provoca que los nombres de usuario y contraseñas predeterminadas sean altamente predecibles y, en muchos casos, no se modifiquen antes de que los sistemas queden expuestos a internet.
La situación se agrava cuando se emplean entornos heredados como XAMPP, que pueden exponer servicios administrativos por defecto y ofrecer un punto de entrada directo para atacantes con herramientas automatizadas.
Antecedentes del botnet y hallazgos de otros investigadores
GoBruteforcer fue documentado por primera vez en marzo de 2023 por el equipo Unit 42 de Palo Alto Networks. En ese momento, los investigadores detallaron su capacidad para comprometer sistemas tipo Unix en arquitecturas x86, x64 y ARM, desplegando un bot de Internet Relay Chat y un web shell para mantener acceso remoto persistente.
En septiembre de 2025, investigadores de Black Lotus Labs, perteneciente a Lumen Technologies, detectaron que parte de las máquinas infectadas estaban vinculadas a otra familia de malware conocida como SystemBC. Check Point comparó las listas de contraseñas usadas en los ataques con una base de datos de aproximadamente 10 millones de credenciales filtradas y encontró una coincidencia cercana al 2,44%.
Con base en ese solapamiento, los analistas estimaron que decenas de miles de servidores de bases de datos podrían aceptar alguna de las contraseñas utilizadas por el botnet. Como referencia adicional, el informe Cloud Threat Horizons 2024 de Google indicó que credenciales débiles o inexistentes representaron el 47,2% de los vectores iniciales de acceso en entornos cloud comprometidos.
Ataques dirigidos al ecosistema cripto y exposición de datos
En los casos donde GoBruteforcer fue rastreado en entornos de criptomonedas, los atacantes emplearon nombres de usuario temáticos del sector cripto y variantes de contraseñas alineadas con convenciones comunes en proyectos blockchain. Otras campañas se dirigieron a paneles phpMyAdmin asociados a sitios WordPress, frecuentemente utilizados para páginas web y paneles de control de proyectos.
“Algunas tareas son claramente sectoriales. Por ejemplo, observamos ataques que usaban nombres de usuario como cryptouser, appcrypto, crypto_app y crypto”, indicó Check Point, señalando que las contraseñas combinaban listas débiles estándar con variaciones específicas del sector.
La firma también identificó un servidor comprometido que alojaba un módulo capaz de escanear direcciones en la red Blockchain de TRON y consultar balances mediante una API pública, con el objetivo de detectar billeteras con fondos disponibles.
Según concluyó Check Point, la combinación de infraestructura expuesta, credenciales débiles y herramientas cada vez más automatizadas amplifica el impacto de este tipo de amenazas. Aunque el botnet es técnicamente sencillo, sus operadores se benefician del gran número de servicios mal configurados que permanecen accesibles en internet.
Artículo escrito con ayuda de un redactor de contenido de IA, editado por Angel Di Matteo / DiarioBitcoin
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
OKX congela USD $40.000 y su CEO defiende medida frente a críticas de la comunidad
Empresario acusado de fraude cripto por EEUU fue detenido y deportado a China
Flow enfrenta críticas por planes para reescribir su Blockchain tras exploit millonario
