-
El dispositivo falsificado usaba un chip diferente al elemento seguro original.
-
La operación incluye apps para Android, Windows, macOS e iOS vía TestFlight.
Un investigador de seguridad brasileño anónimo publicó en Reddit un análisis de un dispositivo Ledger Nano S+ falsificado que adquirió en un marketplace chino y detectó que contaba con un chip y firmware adulterados, así como también versiones modificadas de la app Ledger Live, con el fin de drenar fondos de sus víctimas.
Según el reporte del investigador, el dispositivo falsificado contenía un chip ESP32-S3, un microcontrolador genérico de uso común en electrónica de consumo, en lugar del ST33, el elemento seguro (SE) que usa el hardware original de Ledger, diseñado específicamente para almacenar claves criptográficas de forma aislada y resistente a ataques físicos. Las marcas del chip habían sido lijadas físicamente para dificultar su identificación.
El firmware se identificaba como «Ledger Nano S+ V2.1», una versión que no existe. Al analizar la memoria del dispositivo, el investigador encontró frases semillas y PIN almacenados en texto plano, sin ningún tipo de cifrado, lo que significa que cualquier persona con acceso al dispositivo podría leerlos directamente.
Además, el firmware se conectaba automáticamente a un servidor externo controlado por los atacantes, según el reporte, y cualquier semilla ingresada era enviada al atacante de forma inmediata.
El dispositivo tenía capacidad para vaciar wallets en aproximadamente 20 redes distintas, especificó el investigador brasileño.
Cinco vectores de ataque simultáneos
De acuerdo con el investigador, el vendedor también distribuía una versión modificada de Ledger Live, la aplicación oficial que los usuarios instalan en su teléfono o computadora para gestionar su dispositivo.
Esa app falsa para Android interceptaba los comandos entre el dispositivo y el teléfono y enviaba los datos a servidores maliciosos mediante solicitudes de red ocultas. Una app modificada de ese tipo no requiere que el usuario ingrese su semilla manualmente, ya que captura la información en el momento en que el usuario opera normalmente con su dispositivo.
Para Windows y macOS, el investigador identificó ejecutables maliciosos similares a campañas previamente documentadas por investigadores de seguridad.
Para iOS, la operación usaba TestFlight, la plataforma de distribución de pruebas de Apple que permite instalar aplicaciones sin pasar por la revisión de la App Store, eliminando así el principal filtro de seguridad de ese ecosistema.
En total, según el reporte, la operación cubre cinco vectores simultáneos: hardware falsificado, app Android, ejecutable Windows, ejecutable macOS y distribución iOS.
El investigador citó en su publicación de Reddit casos documentados en el foro BitcoinTalk, en los que usuarios habrían perdido más de USD 200.000 por dispositivos falsificados adquiridos en marketplaces de terceros.
Sus recomendaciones son concretas: comprar Ledger exclusivamente en el sitio oficial o en revendedores autorizados, no confiar en verificaciones de autenticidad realizadas por el propio software del dispositivo si el hardware está comprometido desde fábrica, y destruir de inmediato cualquier dispositivo que llegue con una semilla pregenerada o que solicite ingresar la frase de recuperación en una aplicación.
Un patrón que se repite
Un modelo de estafa de igual calibre fue revelado el 12 de abril por el equipo de Dark Web Informer, tras advertir que actores maliciosos venden en la dark web un kit de phishing diseñado para imitar las interfaces de Ledger, con funciones de antidetección, registro de teclas y notificaciones en tiempo real vía Telegram, como lo informó KriptoNoticias.
En coincidencia con ese reporte, aunque sin relación verificada, un usuario afirmó en X haber perdido 5,9 bitcoin (BTC), equivalentes a aproximadamente USD 423.000, tras descargar una aplicación falsa de Ledger desde la App Store de Apple.
El patrón que emerge combina hardware falsificado, apps maliciosas y kits de phishing apuntando al mismo objetivo: la frase de recuperación de 12 o 24 palabras que da acceso total a los fondos de una wallet.
La compañía Ledger, tras viralizarse el caso de los 5,9 BTC robados, emitió un comunicado recordando que nunca solicita esa frase por ningún canal, nunca contacta a usuarios por mensajes directos y distribuye su aplicación oficial exclusivamente desde su web oficial.
