Operación USB Heist: Cómo dispositivos con keyloggers permitieron un fraude bancario de $100M

Un audaz ataque cibernético contra instituciones financieras brasileñas ha expuesto vulnerabilidades críticas en los protocolos de seguridad de dispositivos físicos, con atacantes robando aproximadamente $100 millones utilizando dispositivos USB infectados con malware. La operación, denominada 'USB Heist' por investigadores, representa una peligrosa convergencia entre ingeniería social y explotación de endpoints.

La cadena de ataque comenzó cuando los perpetradores obtuvieron acceso físico a sucursales bancarias, colocando estratégicamente memorias USB modificadas con capacidades de keylogging y troyanos de acceso remoto (RATs). Cuando empleados conectaron estos dispositivos—presumiblemente creyéndolos periféricos legítimos—el malware se instaló silenciosamente, capturando credenciales y códigos de autorización de transacciones.

Análisis técnicos revelan que los USB contenían una carga maliciosa multifase:

1. Un keylogger registrando todas las entradas de teclado incluyendo PINs de seguridad


2. Un screen scraper grabando procesos de verificación de transacciones


3. Un módulo RAT estableciendo conexiones C2 persistentes


4. Herramientas de robo de credenciales enfocadas en el sistema de pagos instantáneos PIX

Los atacantes sincronizaron su operación con períodos pico de transacciones, utilizando credenciales robadas para iniciar transferencias fraudulentas tanto a través de canales bancarios tradicionales como de la plataforma PIX. El Banco Central de Brasil suspendió temporalmente el acceso al PIX de ciertas fintechs durante la contención, restableciendo posteriormente la funcionalidad tras implementar medidas adicionales de verificación.

Expertos en seguridad destacan tres lecciones críticas:

1. Las amenazas por dispositivos físicos siguen subestimadas en el sector financiero


2. Las políticas de control de puertos USB requieren reevaluación urgente


3. Los sistemas de autenticación multifactor deben evolucionar para superar vulnerabilidades a keyloggers

El incidente ha llevado al regulador bancario brasileño a emitir nuevas directrices sobre gestión de endpoints, incluyendo la desactivación obligatoria de puertos USB y requisitos de autenticación basada en hardware. Ataques similares podrían dirigirse a cualquier industria que dependa de controles de acceso físico, haciendo este caso relevante para profesionales de ciberseguridad globales.