-
Monederos de Ledger con malware añadido por atacantes son enviadas a los domicilios de usuarios.
-
Este tipo de estafas produjo pérdidas estimadas en 11 millones de dólares.
La autocustodia de bitcoin (BTC) y otras criptomonedas es, para muchos, el método más seguro para proteger estos activos digitales. Almacenar las claves privadas en dispositivos físicos, como las hardware wallets, ofrece un nivel de seguridad que las plataformas online difícilmente igualan al estar conectadas a internet.
Sin embargo, los atacantes y hackers han encontrado formas de explotar esas soluciones. Uno de los eslabones más frecuentemente comprometidos es la cadena de suministro, un punto que los atacantes explotan para manipular componentes de estos dispositivos e incorporar elementos maliciosos, como informó recientemente CriptoNoticias en relación con un modelo de los monederos Trezor.
Otro tipo de estafa, que en este caso involucra hardware wallets adulteradas y que se expandió entre finales de 2020 y principio de 2021 tras la filtración de datos de Ledger en 2020, «no ha desaparecido», de acuerdo con un informe de Intelligence On Chain (IOC), una plataforma de investigaciones sobre seguridad dentro del ecosistema de criptomonedas.
Así comenzaba esta estafa con Ledgers intervenidas
El reporte detalla que, en 2021, James (nombre ficticio usado por IOC para proteger la identidad de la víctima) usaba una hardware wallet Ledger con el fin de asegurar sus tenencias en criptoactivos, lejos de los riesgos de internet. Un día, sin previo aviso, un paquete inesperado llegó a su puerta.
El empaque “lucía profesional”, con el logo oficial de Ledger. Dentro, encontró un dispositivo que parecía original y una carta enviada por el CEO de la compañía. El mensaje explicaba que, debido a una supuesta brecha de seguridad, su dispositivo anterior estaba comprometido y debía ser reemplazado por este nuevo. La carta incluía detalles personales de James, como su nombre, dirección y correo electrónico, lo que le dio una falsa sensación de autenticidad.
El engaño detrás del dispositivo
La carta instruía a James a configurar el «nuevo» dispositivo y, para «proteger» sus activos, ingresar su frase de recuperación en una aplicación que debía descargar. Aunque dudó, la aparente legitimidad del paquete y el uso de datos personales lo convencieron, conforme lo explicó el comunicado de IOC. Al conectar el dispositivo y seguir las indicaciones, todo parecía normal. Pero en cuestión de minutos, su wallet fue vaciada. Activos como bitcoin, ethereum (ETH) y NFT (tokens no fungibles) que había acumulado desaparecieron.
El dispositivo no era un Ledger auténtico, sino una réplica modificada con malware diseñado para capturar la frase de recuperación y enviarla a los estafadores. Una vez en su poder, los atacantes accedieron a los fondos y los transfirieron de inmediato.
Un malware es un tipo de software malicioso diseñado para infiltrarse, dañar o comprometer un dispositivo, red o sistema informático sin el consentimiento del usuario.
¿Cómo accedieron los atacantes a los datos privados de “James”? ¿Cómo supieron que él tenía una Ledger en su poder? Según el informe de IOC, esta estafa aprovechó una filtración de datos de Ledger ocurrida en 2020, que expuso la información personal de más de 270.000 clientes. Los estafadores usaron estos datos para personalizar sus ataques, haciendo que las víctimas confiaran en la legitimidad de los paquetes.
La investigación del sitio Intelligence On Chain señala que las wallets Ledger fueron comprometidas al manipular sus componentes físicos. Específicamente, es probable que se soldara una memoria USB maliciosa a un dispositivo genuino, la cual contenía el malware.
Lecciones y advertencias de la comunidad
En respuesta al informe de IOC, usuarios en redes sociales han señalado que este tipo de estafas con dispositivos de reemplazo no son nuevas. Un usuario destacó que el uso de proveedores externos por parte de Ledger amplía las oportunidades para que atacantes intercepten y sustituyan dispositivos legítimos, un riesgo conocido como ataque de “hombre en el medio”.
Otro usuario analizó la carta recibida por James, señalando que contenía errores de redacción que deberían haber levantado sospechas, como un tono informal y afirmaciones falsas, como que el dispositivo no podía usarse como una wallet nueva. Un tercer usuario subrayó la importancia de verificar directamente con Ledger cualquier comunicación sospechosa, algo que podría haber evitado la pérdida.
Como indica IOC, una regla de oro en la seguridad es que Ledger, ni ninguna compañía legítima fabricante de hardware wallets, solicitará jamás la frase de recuperación. Ingresarla en un dispositivo no solicitado o en una aplicación desconocida es un error que puede costar todo.
La compañía Ledger ofrece un enlace de soporte en el que usuarios pueden obtener ayuda en casos similares al aquí mencionado.
El impacto de las filtraciones de 2020 sigue vigente
La brecha de datos de Ledger en 2020 no solo expuso información personal, sino que también abrió la puerta a una serie de ataques dirigidos. Según estimaciones de Chainalysis citadas por IOC, las estafas relacionadas con esta filtración causaron pérdidas por al menos 11 millones de dólares.
En foros de Reddit, víctimas recientes de ataques similares han compartido experiencias que muestran la vigencia de esta problemática. Un usuario de Ledger residente del Reino Unido relató a finales de enero de 2025: «Mi correo electrónico, junto con miles de otros, estuvo en la filtración de datos de clientes de Ledger de julio de 2020. Durante meses recibí correos de estafadores, pero luego disminuyeron y apenas recibí algunos durante un par de años. Ahora han comenzado de nuevo. Empezaron a llegar tras una llamada de alguien que se hacía pasar por la policía británica hace tres meses, primero uno o dos correos por semana, ahora uno o dos al día».
También en enero pasado, otro usuario describió: «Recientemente recibí una llamada de una mujer que decía ser de Ledger. Dijo que mi dispositivo estaba comprometido y que necesitaba ejecutar un diagnóstico para verificar si estaba corrupto. Tenían mi nombre completo, número de teléfono y correo. El sitio web que me enviaron tenía un dominio diferente al oficial de Ledger. El sitio ejecuta un diagnóstico en tu dispositivo, genera un mensaje de error falso y te pide que ingreses tus 24 palabras de recuperación».
Por su parte, en diciembre de 2024, el investigador y detective conocido como Tony en X alertó que esta modalidad de estafa estaba renaciendo: «Alguien ha falsificado el correo oficial de soporte de Ledger y lo está enviando para que las personas expongan su frase de recuperación».
Para los usuarios, el caso de “James” y los aquí dispuestos subrayan la importancia de la diligencia. Una hardware wallet, por segura que sea, no es infalible si su portador cae en engaños que comprometen la frase de recuperación. Verificar la autenticidad de cualquier comunicación, evitar descargar software de fuentes no oficiales y, sobre todo, nunca compartir las 24 palabras son prácticas esenciales para proteger los activos.
