Esta semana se detectó una intrusión preocupante en la cadena de suministro digital: el Web SDK de AppsFlyer, una biblioteca que muchas páginas y aplicaciones cargan para medir campañas de marketing, estuvo sirviendo código malicioso capaz de robar criptomonedas. El atacante aprovechó la confianza depositada en un tercero ampliamente desplegado para alterar direcciones de billeteras y desviar fondos, una técnica que convierte un simple script de analítica en una puerta trasera dirigida a usuarios finales.
AppsFlyer no es una herramienta menor: según la propia compañía, su plataforma se utiliza por unas 15.000 empresas y en más de 100.000 aplicaciones móviles y web, lo que multiplica la posibilidad de impacto cuando una dependencia así se ve comprometida. Puede consultarse información corporativa de AppsFlyer en su página oficial AppsFlyer — About.
La intrusión fue reportada por investigadores de Profero, quienes identificaron JavaScript ofuscado entregado desde el dominio oficial del SDK web. Su análisis, publicado en el blog de la compañía, muestra que el código malicioso fue diseñado para pasar desapercibido: mantiene la funcionalidad del SDK visible para la página pero, en segundo plano, descifra cadenas ofuscadas y se engancha a las solicitudes de red del navegador. Puedes leer la investigación completa en el informe de Profero: Hijacked at the source — Profero.
El mecanismo de la estafa es directo y efectivo: el script monitorea formularios y entradas donde los usuarios suelen pegar o escribir direcciones de billetera de criptomonedas; al detectar una dirección válida, la sustituye por una controlada por el atacante y, simultáneamente, envía la dirección original y metadatos asociados a servidores remotos. De este modo, una transferencia que crees autorizar hacia tu destinatario real puede terminar en una cuenta del atacante sin que la víctima lo note hasta verificar la cadena de bloques.
Los tipos de direcciones que el código buscaba incluyen las más usadas en el mercado: Bitcoin, Ethereum, Solana, Ripple y TRON, abarcando así buena parte de las transacciones cotidianas en criptomonedas. Esto refuerza la idea de que el objetivo no era un usuario aislado sino el engaño a gran escala a través de una infraestructura compartida.
Profero estima una ventana de exposición inicial entre la noche del 9 de marzo (22:45 UTC) y el 11 de marzo, aunque el alcance exacto —cuántos sitios y cuántos usuarios resultaron afectados— aún no está completamente verificado. Algunos usuarios y operadores comenzaron a advertir el problema en foros y redes; un hilo en r/cybersecurity recogió reportes tempranos del comportamiento sospechoso reportados por múltiples usuarios.
AppsFlyer emitió una comunicación breve en su página de estado donde atribuye lo ocurrido a un incidente con el registrador de dominios que, durante un periodo breve, permitió la entrega de código no autorizado desde el dominio del SDK web. La compañía señala que el SDK móvil no se vio afectado y que, hasta ahora, no hay evidencia de acceso a datos de clientes dentro de sus sistemas. La nota de estado está disponible en: AppsFlyer — Incident status.
Situaciones como esta subrayan la fragilidad de la cadena de suministro de software: las dependencias de terceros, aunque necesarias, introducen riesgos que pueden propagarse en cascada. Organizaciones y desarrolladores deberían abordar esta realidad como una parte integral de su gestión de riesgos, adoptando buenas prácticas de verificación de integridad, control de versiones y monitoreo del tráfico saliente.
Mientras las empresas afectadas completan sus investigaciones forenses con ayuda externa, hay medidas prácticas que conviene considerar de inmediato. Revisar los registros de telemetría para detectar peticiones inusuales hacia websdk.appsflyer.com, restaurar versiones previas y verificadas del SDK, y auditar cualquier script cargado desde dominios de terceros son pasos razonables. Además, es prudente avisar a usuarios que hayan realizado transferencias en las fechas de la posible exposición para que revisen sus operaciones en la cadena de bloques y, si procede, contacten con los servicios de soporte de las plataformas criptográficas implicadas.
Para quienes mueven o gestionan criptomonedas, esta amenaza pone en valor prácticas sencillas pero efectivas: verificar manualmente las direcciones antes de pegar, preferir métodos que eviten la edición directa del portapapeles (códigos QR, URI firmados en hardware wallets), y mantener software y extensiones de navegador al día. También conviene informarse sobre riesgos específicos en bibliotecas y SDKs consultando recursos sobre seguridad en la cadena de suministro, como los materiales de la comunidad de seguridad del software: OWASP — Supply Chain Security.
No es la primera vez que una dependencia de AppsFlyer aparece en el foco de incidentes más amplios, y la recurrencia hace que muchos equipos de seguridad revisen con más atención cualquier integración de terceros. Mientras tanto, los investigadores y algunos medios han hecho seguimiento del caso y se espera que AppsFlyer publique más detalles cuando finalice su investigación forense y pueda compartir resultados verificables.
En definitiva, este episodio recuerda que la seguridad no es solo responsabilidad del proveedor del servicio afectado: cuando se confía en componentes distribuidos en cientos de sitios, la responsabilidad se reparte entre proveedores, integradores y quienes operan los servicios finales. La lección es clara: auditar dependencias, monitorizar comportamientos inusuales y tener un plan de respuesta ante compromisos en la cadena de suministro son prácticas que dejan de ser opcionales en un ecosistema cada vez más interconectado.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...