Este artículo ha sido actualizado con comentarios de un portavoz de Ledger.
Un investigador de seguridad brasileño ha descubierto una sofisticada operación de dispositivos Ledger falsificados tras hallar hardware modificado diseñado para extraer criptomonedas de usuarios desprevenidos.
El investigador de seguridad, conocido en línea como “Past_Computer2901”, compartió sus hallazgos en Reddit después de comprar lo que parecía ser un Ledger Nano S Plus estándar en un mercado chino.
A pesar de que el embalaje y el precio coincidían con los estándares minoristas oficiales, la unidad falló una “Verificación de Autenticidad” al conectarse a la aplicación de escritorio auténtica de Ledger Live.
Esta señal de alarma llevó a un desmontaje físico del dispositivo, revelando que la circuitería interna había sido alterada para incluir antenas WiFi y Bluetooth, características completamente ausentes del modelo legítimo.
Los estafadores están utilizando estos dispositivos manipulados para explotar a los compradores primerizos a través de un proceso de configuración engañoso.
Un código QR incluido en el embalaje dirige a los usuarios a una versión fraudulenta de la aplicación Ledger Live, que está programada para eludir las advertencias de seguridad y emitir una verificación falsa de la autenticidad del hardware.
Una vez que un usuario sigue las indicaciones para generar o introducir una frase semilla, el firmware comprometido captura los datos, permitiendo a los atacantes vaciar la billetera a su antojo.
“Esto no pretende causar pánico, sino más bien servir como una seria advertencia; sinceramente, todavía estoy un poco conmocionado por la magnitud de esta operación”, señaló el investigador.
El análisis interno de la unidad mostró que los estafadores hicieron grandes esfuerzos para ocultar el fraude, incluyendo el raspado de las marcas originales del chip.
Dispositivo Ledger falsificado. Fuente: Reddit.
Aunque el dispositivo se identificó inicialmente como un Nano S Plus 7704 durante la fase de arranque, la secuencia final reveló al fabricante como Espressif Systems, una empresa de semiconductores con sede en Shanghái.
Estas modificaciones rompen fundamentalmente la premisa de seguridad de los productos Ledger, que están diseñados para mantener las claves privadas en un entorno estrictamente offline.
“Al comprar en un marketplace, Ledger recomienda encarecidamente a los usuarios que verifiquen la identidad del vendedor. Los usuarios deben asegurarse de que solo descargan las aplicaciones oficiales de Ledger Wallet en escritorio y móvil. La situación implicó hardware falsificado, emparejado con un flujo de aplicación complementaria falsa diseñado para simular el proceso de incorporación, distribuido a través de canales no oficiales”, dijo un portavoz de Ledger a crypto.news.
“Ledger nunca pedirá a los usuarios sus 24 palabras. Si alguien que dice ser Ledger, o cualquier aplicación que pretende ser una aplicación de Ledger, pide sus 24 palabras, debe asumir inmediatamente que es una estafa”, añadieron.
El descubrimiento sigue a un incidente separado a principios de este mes, donde una aplicación fraudulenta eludió la seguridad de la App Store de Apple mediante una táctica de "bait-and-switch" (cebo y cambio). El software malicioso engañó con éxito a más de 50 personas para que revelaran sus frases de recuperación, lo que resultó en el robo de 9,5 millones de dólares antes de que la plataforma eliminara el listado. Desde entonces, la aplicación ha sido eliminada por funcionalidad maliciosa de "bait-and-switch", según Apple.
“Manténganse a salvo ahí fuera. Solo descarguen Ledger Live desde ledger.com. Solo compren hardware desde ledger.com. Si su dispositivo falla la Verificación de Autenticidad, dejen de usarlo inmediatamente”, advirtió el investigador.
