Una nueva campaña de fraude está apuntando a los usuarios de billeteras frías Ledger y Trezor mediante cartas físicas enviadas a domicilio, engañando para escanear un QR que lleva a un sitio falso y roba la frase de recuperación, permitiendo así el control total de los activos criptográficos.
La táctica aprovecha la psicología de la “urgencia” mediante plazos y solicita verificaciones obligatorias. Los usuarios deben entender: solo un ingreso erróneo de la frase de recuperación puede llevar a que se retire todo el dinero criptográfico de la billetera.
CONTENIDO PRINCIPAL
El estafador envía cartas falsas haciéndose pasar por Ledger/Trezor, solicitando una “verificación obligatoria” y dirigiendo a los usuarios a escanear un QR.
El QR lleva a un sitio web de phishing, cuyo objetivo es recopilar la frase de recuperación para tomar control de la billetera y retirar fondos.
Ledger/Trezor nunca solicita la frase de recuperación; esta frase solo debe ser ingresada directamente en el dispositivo de la billetera fría.
Los usuarios de Ledger y Trezor están siendo atacados con cartas físicas que contienen un QR falso.
Los estafadores envían cartas físicas a los hogares de los usuarios, haciéndose pasar por el equipo de “seguridad/cumplimiento” de Ledger o Trezor y pidiendo escanear un QR para realizar una verificación, cuyo objetivo final es engañar a la víctima para que proporcione la frase de recuperación.
Estas cartas están impresas en un encabezado que parece un aviso oficial. El contenido suele decir que los usuarios deben completar la “verificación” o “revisión de transacciones” para evitar perder ciertas funciones o perder acceso a la aplicación de gestión de la billetera.
El peligro es que las cartas físicas crean una sensación de “credibilidad” mayor que el correo basura. El estafador diseña el escenario como un procedimiento interno, usando términos como “Verificación de Autenticación”, “verificación de transacción” para aumentar la validez y hacer que el receptor actúe de inmediato.
No está claro cómo seleccionan a las víctimas, pero ambas empresas han tenido incidentes de filtración de datos. Las filtraciones de información en el pasado podrían permitir a los malhechores tener más datos para enviar cartas a la dirección correcta, al grupo de usuarios correcto.
Las cartas de phishing establecen un plazo del 15/02 para crear presión psicológica.
La carta de phishing establece un plazo del 15/02 y advierte sobre la pérdida de funciones si no se completa, con el fin de crear presión temporal para que la víctima escanee el QR y siga las instrucciones sin verificar la autenticidad.
Según el contenido de la carta enviada a los usuarios de Trezor, el estafador declara que la “verificación de autenticación” se volverá obligatoria y exige completarla antes del 15/02 para evitar perder ciertas funciones, mientras cita la necesidad de “sincronización completa” con Trezor Suite.
Una carta similar dirigida a los usuarios de Ledger también fue compartida en la plataforma X, describiendo la “verificación de transacción obligatoria” con el mismo plazo. El patrón común es presentar una “sanción” vaga pero aterradora, activando un reflejo de acción inmediata.
Por ejemplo, la carta de Trezor citada en el artículo tiene un enlace: una captura del contenido de la carta en X. Este enlace ayuda a los usuarios a identificar el tipo de presentación y el tono que suelen tener las campañas.
Escanear el QR llevará a un sitio web de phishing que imita el dominio de Ledger/Trezor.
El QR en la carta lleva a las víctimas a sitios web falsificados, imitando la interfaz de Ledger/Trezor y mostrando una advertencia “obligatoria” para engañar a los usuarios a ingresar la frase de recuperación, y luego envían los datos al servidor del estafador.
Los informes indican que el sitio de phishing dirigido a Ledger ha sido desconectado, mientras que el dirigido a Trezor todavía estaba activo y había sido marcado como fraude por navegadores/proveedores de seguridad. Las advertencias de tipo Chrome suelen indicar que el atacante puede engañarte para que instales software o reveles información sensible.
Antes de ser marcado, este sitio falso mostraba un aviso de que era necesario completar la “verificación de autorización” antes del 15/02 para “estar seguro”. También hacían excepciones para algunos modelos de billeteras como “preconfigurados” para hacer que el contenido parezca más detallado y creíble, aunque el objetivo seguía siendo llevar a los usuarios al paso de ingresar la frase semilla.
La página de destino suele tener botones como “Comenzar” para empujar a los usuarios al siguiente flujo, además de una advertencia de “fallo en la verificación” si no se ha completado. Esta es una técnica para aumentar gradualmente la urgencia, haciendo que la víctima ignore las señales de alerta.
El sitio falso solicita ingresar la frase de recuperación y transfiere datos a través de API al estafador.
Cuando la víctima ingresa la frase de recuperación en el sitio falso, esta frase se enviará al estafador (generalmente a través de una API en segundo plano), permitiéndoles recuperar la billetera en otro dispositivo y retirar todos los fondos criptográficos.
El proceso a menudo está disfrazado como “verificación de propiedad del dispositivo” o “activación de funciones”. Pero técnicamente, la frase de recuperación es la “clave” para regenerar la clave privada, por lo que cualquiera que tenga esta frase puede tomar el control de la billetera.
Una vez que se tiene la frase semilla, el malhechor no necesita tu dispositivo físico. Pueden ingresar la frase en una billetera de software/hardware diferente, firmar transacciones y transferir activos a una dirección que controlan. Dado que las transacciones en blockchain son difíciles de revertir, la posibilidad de recuperación es generalmente muy baja.
Principio de seguridad: Ledger y Trezor nunca solicitan la frase de recuperación.
Ledger y Trezor nunca piden a los usuarios que proporcionen la frase de recuperación; la frase de recuperación solo debe ser ingresada directamente en el dispositivo de la billetera fría, no en un sitio web, QR, correo electrónico o formulario.
La frase de recuperación es una forma de que los usuarios respalden el acceso a la billetera. Representa el control de la clave privada, por lo que compartir esta frase equivale a entregar toda la billetera a otra persona.
Si recibes una carta/correo electrónico/llamada que solicita la frase semilla, considera que es una estafa. Además, mantente alerta ante mensajes que presionan por plazos, piden “verificación obligatoria”, o guían a escanear un QR para “sincronizar” la billetera.
Prácticas mínimas de seguridad: no escanear QR de fuentes no verificadas, escribir la dirección del sitio web desde fuentes oficiales, y solo realizar la verificación/restauración directamente en la pantalla del dispositivo de la billetera fría. Si ya ingresaste la frase semilla, debes considerar que esa billetera ha sido comprometida y transferir los activos a una nueva billetera con una nueva frase semilla tan pronto como sea posible.
Preguntas frecuentes.
¿La carta física que solicita escanear un QR para “verificar la billetera” es un aviso real de Ledger/Trezor?
No. Esta es una señal típica de fraude: carta falsa, creando una sensación de urgencia y llevándote a escanear un QR hacia un sitio web falso para obtener la frase de recuperación.
¿Por qué basta con que se filtre la frase de recuperación para perder todos los fondos criptográficos?
La frase de recuperación puede usarse para restaurar la billetera en otro lugar y otorgar control sobre la clave privada. Quien posea esta frase puede firmar transacciones y transferir activos sin necesidad de tu dispositivo.
Si has escaneado un QR e ingresado la frase de recuperación, ¿qué debes hacer de inmediato?
Considera que la billetera antigua ha sido comprometida. Crea una nueva billetera con una nueva frase de recuperación en un dispositivo de confianza, y transfiere todos los activos a la nueva dirección de billetera lo antes posible.
¿Cómo identificar un sitio web de phishing que imita a Ledger/Trezor?
Estas páginas a menudo te obligan a ingresar la frase semilla, establecen plazos, advierten sobre pérdida de funciones y utilizan el botón “Comenzar” para forzar la continuación. Ledger/Trezor no solicita la frase semilla en el sitio web.