Atacantes están usando la divulgación pública de la vulnerabilidad en el chip TROPIC01 de la hardware wallet Trezor Safe 7 para distribuir mensajes falsos que instruyen a los usuarios a actualizar el firmware de su dispositivo, según alertó el desarrollador bitcoiner Jameson Lopp este 4 de junio a través de X.
El enlace incluido en esos mensajes dirige a una aplicación web falsa que simula ser Trezor Suite con el objetivo de robar los fondos del usuario. Lopp compartió además la imagen del mensaje que envían los hackers:
Trezor Suite es la aplicación oficial de la wallet Trezor para gestionar fondos y configurar el dispositivo desde una computadora. La versión fraudulenta imita su apariencia para inducir al usuario a ingresar información sensible. Este tipo de ataque se denomina phishing: una técnica en la que los atacantes suplantan la identidad de una entidad legítima para engañar al usuario y obtener acceso a sus fondos o datos personales.
En este caso, aunque no se conozca cómo los atacantes obtuvieron los datos de contacto de los destinatarios de los mensajes fraudulentos, podrían haber accedido a ellos tras la filtración que ocurrió en Trezor en el año 2021. En esa ocasión, datos de más de 66 mil usuarios quedaron expuestos.
La campaña explota el contexto generado por el anuncio del 3 de junio, en el que, como notificó KriptoNoticias, Trezor reconoció una debilidad en el chip TROPIC01 de su modelo Safe 7. La empresa aclaró que los fondos y las claves privadas permanecen protegidos y que los usuarios no necesitan tomar ninguna medida. Trezor no solicitó ninguna actualización de firmware como respuesta a esa vulnerabilidad.
Matías Mathey, experto en autocustodia de Bitcoin y educador bitcoiner, señaló que el vector real del ataque no es técnico sino de ingeniería social: una modalidad en la que los cibercriminales no necesitan vulnerar el hardware del usuario sino manipular su comportamiento. «No necesitan hackear tu hardware wallet. Solo necesitan un clic en donde no debes», escribió.
¿Cómo no caer en la trampa?
Mathey enumeró dos recomendaciones para evitar este tipo de estafas. En primer lugar, nunca actualizar el firmware (el software base que controla el funcionamiento interno del dispositivo) desde enlaces recibidos por email, Telegram, WhatsApp o redes sociales. Las actualizaciones legítimas se realizan exclusivamente desde la aplicación oficial del fabricante.
Y en segundo orden, la seed (o frase semilla, la secuencia de palabras que permite recuperar el acceso a una wallet y con la que quien la posee controla los fondos) jamás debe escribirse en una computadora conectada a internet.
El episodio expone un patrón en el que las divulgaciones de vulnerabilidades de alto perfil son aprovechadas de forma sistemática para lanzar campañas de ingeniería social dirigidas a usuarios que aún no procesaron el contenido real del anuncio original. El miedo a perder los fondos precede a la lectura, y esa ventana es la que los atacantes explotan.
