-
El kit incluye funciones de antidedetección, registro de teclas y notificaciones vía Telegram.
-
En coincidencia con la detección del kit, un usuario perdió 5,9 BTC al usar una app falsa de Ledger.
Dark Web Informer, un equipo de análisis y de ciberseguridad, informó este 12 de abril que un actor malicioso vende un kit de phishing diseñado para imitar las interfaces de Ledger, el fabricante de hardware wallets.
El kit incluye funciones de antidetección, registro de teclas y notificaciones en tiempo real a través de Telegram, lo que permite al atacante recibir alertas instantáneas cuando una víctima ingresa su información, según el reporte Dark Web Informer.
En coincidencia con lo explicado por Dark Web Informer aunque sin relación verificada, un usuario aseguró en X haber perdido 5,9 bitcoins (BTC), equivalentes a aproximadamente USD 423.000, tras descargar una aplicación falsa de Ledger desde la App Store de Apple.
«Perdí mi fondo de retiro en un hackeo. Todo mi BTC desapareció en un instante. Perdí 5,9 BTC, todo lo que tenía durante diez años», escribió.
¿Por qué una app falsa de Ledger es peligrosa?
Las hardware wallets de Ledger, es decir, los dispositivos físicos, almacenan las claves privadas del usuario de forma aislada, sin conexión a internet. Sin embargo, para operar, el dispositivo necesita conectarse a una aplicación de software instalada en el ordenador o teléfono del usuario, llamada Ledger Live. Esa aplicación es la interfaz que permite ver saldos, enviar y recibir criptomonedas y gestionar el dispositivo.
Una aplicación falsa que imite a Ledger Live puede engañar al usuario para que ingrese su frase de recuperación, las 24 palabras que permiten restaurar el acceso a los fondos en cualquier dispositivo. Si un atacante obtuviera esa frase, puede acceder a los fondos sin necesitar el dispositivo físico y vaciar la wallet.
Ese engaño es precisamente lo que se conoce como phishing. Se trata de una técnica en la que un atacante suplanta la identidad de un servicio legítimo, en este caso Ledger, para que la víctima entregue voluntariamente información sensible creyendo que interactúa con la plataforma real.
A diferencia de un hackeo técnico que fuerza el acceso a un sistema, el phishing explota la confianza del usuario; no rompe la cerradura, sino que engaña a la víctima para que entregue la llave.
Las recomendaciones de Ledger
El 13 de abril, el equipo de Ledger publicó en X una serie de recordatorios de seguridad. De acuerdo con su comunicado, Ledger nunca contacta a sus usuarios por mensajes directos ni llamadas telefónicas para brindar soporte, nunca solicita la frase de recuperación de 24 palabras, nunca pide ingresarla en línea ni fotografiarla, y solo distribuye su aplicación oficial a través de su sitio web ledger.com.
Finalmente, el equipo también recordó que la frase de recuperación debe permanecer offline en todo momento y que cualquier aplicación, correo, mensaje o sitio web que la solicite es un intento de robo.
