Sustitución de billeteras directamente en el navegador: así la popular plataforma AppsFlyer comprometió a miles de sitios
Actores no identificados aprovecharon la infraestructura de AppsFlyer para atacar la cadena de suministro de software
La popular plataforma de marketing AppsFlyer se vio inesperadamente en el centro de un incidente con código malicioso. A través de su kit para desarrolladores oficial, la plataforma durante algún tiempo distribuyó un interceptador oculto de billeteras de criptomonedas. Los atacantes reemplazaban las direcciones de transferencia de fondos directamente en el navegador del usuario.
El incidente fue descubierto el 9 de marzo de 2026 por especialistas de Profero. Durante la revisión se detectó código sospechoso en la versión web del kit para desarrolladores de AppsFlyer. La plataforma AppsFlyer se utiliza para analizar campañas de marketing y seguir las acciones de los usuarios. Los desarrolladores integran el kit para desarrolladores en aplicaciones y sitios web para entender de dónde proviene el usuario y qué acciones realizó. Ese código está instalado en miles de servicios en todo el mundo.
Durante el análisis, los especialistas hallaron que en lugar del kit habitual el sitio web websdk.appsflyer.com entregaba un JavaScript muy ofuscado. El código mantenía el funcionamiento del kit legítimo, pero al mismo tiempo añadía funciones ocultas. El código malicioso vigilaba las acciones en la página, interceptaba las solicitudes de red y comprobaba los campos de entrada en busca de direcciones de billeteras de criptomonedas.
Si el usuario introducía la dirección de una billetera para transferir fondos, el script reemplazaba la dirección por la de los atacantes. Al mismo tiempo, la dirección original y datos adicionales se enviaban a un servidor de control. Ese mecanismo permitía redirigir transferencias de criptomonedas sin que se notara.
El código malicioso podía trabajar con varias criptomonedas populares, entre ellas Bitcoin, Ethereum, Solana, Ripple y TRON. En el interior del script se encontraron direcciones de billeteras de los atacantes preconfiguradas. El código también se comunicaba con un servidor remoto y podía recibir nuevas direcciones para cambiarlas con el tiempo y dificultar su bloqueo.
La gravedad del caso aumenta por la vía de distribución del código malicioso. El script se cargaba desde el dominio oficial de AppsFlyer, en el que normalmente confían desarrolladores y sistemas de seguridad. Por eso lo ocurrido puede considerarse un ataque a la cadena de suministro de software. Pudieron verse amenazadas empresas que usan la versión web del kit para desarrolladores, así como los usuarios de los sitios y servicios donde se ejecutaba ese código.
Según los datos disponibles, el script malicioso se propagó aproximadamente desde el 9 de marzo, alrededor de las 22:45 UTC, hasta el 11 de marzo. Se recomienda a las organizaciones que revisen los registros de conexiones de red al dominio websdk.appsflyer.com y se aseguren de que en ese periodo se cargó la versión correcta del kit para desarrolladores.
Aún no hay una confirmación oficial de una intrusión por parte de AppsFlyer. La empresa solo informó de «un problema de disponibilidad del servicio». Además, la plataforma ya había aparecido en noticias a principios de año. En enero de 2026 el grupo ShinyHunters declaró el robo de más de 10 millones de registros de servicios de citas de Match Group, incluyendo Hinge, Match.com y OkCupid. En declaraciones publicadas, ShinyHunters atribuyó la fuga a AppsFlyer, aunque la empresa negó su implicación.