Cryptonews

Se descubre una estafa sofisticada: hardware falso que se infiltra en los mercados globales y desvía activos digitales.

Fuente
cryptonewstrend.com
Publicado
Se descubre una estafa sofisticada: hardware falso que se infiltra en los mercados globales y desvía activos digitales.

Las carteras de hardware de Counterfeit Ledger están en el centro de una creciente amenaza dirigida a los usuarios de criptomonedas en todo el mundo. Un investigador de seguridad ha documentado una operación a gran escala que distribuye dispositivos Ledger Nano S Plus falsos a través de múltiples mercados en línea. Las unidades comprometidas parecen idénticas a productos legítimos pero llevan hardware interno completamente diferente. Las semillas, los PIN y los datos de la billetera se envían directamente a servidores controlados por el atacante, agotando cualquier billetera inicializada en el dispositivo. Los dispositivos falsificados reemplazan el chip de elemento seguro de Ledger con un microcontrolador ESP32. Este chip sustituto ejecuta un firmware modificado con la etiqueta "Nano S+ V2 1". A diferencia del elemento seguro genuino, este hardware almacena datos confidenciales en texto sin formato. Luego, esos datos se transmiten a servidores remotos controlados por los atacantes detrás de la operación. Más allá del hardware, la campaña también distribuye una versión fraudulenta de Ledger Live. Esta aplicación falsa está creada con React Native y firmada mediante un certificado de depuración. Intercepta transacciones y envía datos confidenciales del usuario a múltiples servidores de comando y control. Los usuarios que descargan esta versión no tienen ninguna indicación visible de que algo esté mal. El ataque abarca cinco vectores distintos: hardware comprometido, APK de Android, ejecutables de Windows, instaladores de macOS y aplicaciones de iOS. Un investigador de seguridad acaba de documentar una operación falsificada a gran escala de Ledger Nano S Plus que vende dispositivos comprometidos en múltiples mercados en línea. Las unidades falsas parecen idénticas a las reales pero contienen hardware completamente diferente. En lugar de la seguridad de Ledger… pic.twitter.com/6ZfP9pJkUU — TFTC (@TFTC21) 16 de abril de 2026 La distribución de iOS utiliza la plataforma TestFlight de Apple para evitar el proceso de revisión estándar de la App Store. Este enfoque permite que el software fraudulento llegue a los usuarios sin activar los controles de seguridad típicos. Cada canal sirve como punto de entrada independiente para la misma estafa subyacente. La función de verificación genuina incorporada en Ledger está diseñada para verificar la autenticidad del dispositivo. Sin embargo, ese proceso de verificación se puede omitir cuando el hardware es manipulado en la fuente. Esto hace que el punto de compra sea una variable de seguridad crítica. Comprar a vendedores no autorizados elimina la única capa confiable de verificación a nivel de hardware. Por otra parte, el investigador en cadena ZachXBT documentó otra aplicación falsa de Ledger Live que pasó por la revisión de la Mac App Store de Apple. Sólo esa operación drenó más de 9,5 millones de dólares de más de 50 víctimas. Entre los afectados se encontraba el músico G. Love, quien perdió 5,92 BTC luego de ingresar su frase de recuperación en la aplicación fraudulenta. La aplicación se presentó como el software complementario legítimo de Ledger. Estas dos operaciones juntas muestran un patrón claro en cómo los atacantes se dirigen a los usuarios de billeteras de hardware. En lugar de explotar las vulnerabilidades del firmware, interceptan a los usuarios antes de que lleguen a un dispositivo genuino. El fraude ocurre a nivel de distribución, no a nivel de protocolo. Este cambio hace que el comportamiento del usuario y la fuente de compra sean más importantes que nunca. Las mejores prácticas de seguridad permanecen sin cambios a pesar de la evolución de las tácticas. Las carteras de hardware sólo deben comprarse directamente en el sitio web oficial del fabricante. Ningún software de billetera legítimo solicitará jamás una frase de recuperación de 24 palabras en la pantalla. Cualquier aplicación que solicite la introducción de una frase inicial está ejecutando una estafa, sin excepción. El mensaje más amplio de ambos incidentes es sencillo. El hardware en sí permanece seguro cuando se obtiene a través de los canales adecuados. La vulnerabilidad ahora reside en la cadena de suministro y el ecosistema de distribución de software. Mantenerse seguro requiere la misma atención tanto al lugar donde se compra un dispositivo como a cómo se obtiene el software complementario.