Alerta en Solana: Un malware utiliza la red blockchain para ocultar sus ataques

Un reciente informe alerta que el malware conocido como GlassWorm está usando la eficiencia de la red Solana para establecer canales de comando y control inmutables y de bajo costo.

La arquitectura de alto rendimiento de la red Solana ha transformado el panorama de las finanzas descentralizadas, pero su eficiencia también ha atraído el interés de actores de amenazas avanzadas. 

El descubrimiento de la campaña GlassWorm por parte de los analistas de ciberseguridad de Aikido Security, marca un hito en la ciberseguridad: es uno de los primeros casos documentados donde las funciones nativas de una blockchain pública se utilizan como un sistema de «buzón muerto» (dead drop) para malware. 

A diferencia de los ataques tradicionales que buscan vulnerar un protocolo, GlassWorm utiliza la robustez y la inmutabilidad de Solana como una capa de transporte para sus instrucciones de comando y control (C2). En palabras más simples, la red de Solana no ha sido hackeada ni vulnerada en su seguridad base. En realidad, lo que está sucediendo es que los ciberdelincuentes están abusando de sus características —bajos costos, alta velocidad y que no se puede censurar ni borrar información— para esconder sus virus.

Los ciberdelincuentes han encontrado en la velocidad de confirmación y la resistencia a la censura de esta blockchain un entorno ideal para desplegar una infraestructura de malware que es virtualmente imposible de dar de baja mediante los métodos de seguridad informática convencionales.

¿Cómo un malware aprovecha la blockchain para mantenerse oculto?

GlassWorm emplea una estrategia ingeniosa basada en el funcionamiento interno de la red Solana para transmitir sus órdenes sin levantar sospechas. Según los investigadores, el malware aprovecha la posibilidad de añadir metadatos dentro de cada transacción y los utiliza como un canal encubierto para comunicarse con su servidor de control. En lugar de limitarse al propósito original del campo de notas, destinado a registrar información sobre las transferencias, el malware lo convierte en un contenedor discreto de direcciones IP y enlaces a servidores donde almacena sus cargas útiles.

Cuando una computadora resulta comprometida, el código malicioso se conecta a la blockchain y ejecuta solicitudes a través del método getSignaturesForAddress. Con ello rastrea una billetera previamente configurada por los atacantes. Los metadatos de las operaciones recientes actúan como mensajes cifrados que contienen instrucciones actualizadas, lo que permite que el sistema reciba nuevas órdenes de manera continua y sin depender de un servidor central expuesto.

En este contexto, los investigadores explican que el uso de Solana responde a un cálculo de eficiencia. Sus costos de transacción casi inexistentes hacen posible que los operadores modifiquen su infraestructura de forma constante con un gasto mínimo. En términos prácticos, cada actualización representa una fracción de centavo, lo que les permite rotar servidores y direcciones tantas veces como sea necesario para evitar bloqueos. Esta capacidad de cambio permanente les concede a los ciberdelincuentes una ventaja frente a los mecanismos tradicionales de defensa basados en listas negras y filtros DNS.

Además, GlassWorm mantiene su autonomía mediante una red de respaldo compuesta por varios puntos públicos de acceso RPC. Mientras la red de Solana continúe operativa, el malware conservará un canal abierto para comunicarse y reforzar su persistencia dentro del sistema afectado. 

En suma, los especialistas advierten que este diseño convierte a GlassWorm en una amenaza difícil de interrumpir, capaz de adaptarse con rapidez y aprovechar la propia infraestructura blockchain como refugio operativo.

El eslabón más débil en la Web3: La blockchain no es el problema

Finalmente, aunque el código malicioso de GlassWorm resida de forma latente en la blockchain, el daño efectivo ocurre fuera de ella, mediante el engaño al usuario. Los atacantes están usando el phishing para crear ecosistemas de páginas web falsas o extensiones de navegador que parecen legítimas con el objetivo de engañar a los usuarios más confiados. 

Cuando una víctima interactúa con estos sitios falsos, la página «llama» silenciosamente a la red de Solana, recupera los pedazos de código ocultos en los metadatos de las transacciones, arma el virus en la memoria de la computadora del usuario y ejecuta el ataque.

Según los investigadores, el proceso de ataque de GlassWorm suele derivar en dos tipos de incidentes: el robo de frases semilla de billeteras como Phantom o la alteración de direcciones de envío en tiempo real. En el primero de estos casos, los usuarios estarían otorgando, sin saberlo, acceso completo a sus billeteras digitales. En el otro, los atacantes tienen la posibilidad de alterar las direcciones de destino durante una transacción sin que el usuario lo note.

Con esto, los investigadores resaltan que la solidez técnica de una red como Solana no basta por sí sola para proteger los activos digitales. La verdadera defensa está en los hábitos cotidianos del usuario, en su capacidad para verificar fuentes, desconfiar de enlaces sospechosos y mantener una atención constante ante cualquier interacción en el entorno Web3.