La seguridad del ecosistema cripto enfrenta una nueva amenaza: una campaña de aplicaciones fraudulentas consiguió infiltrarse en la App Store de Apple utilizando identidades visuales que imitaban billeteras reconocidas como MetaMask, Ledger, Trust Wallet y Coinbase. De acuerdo con una investigación de Kaspersky, al menos 26 aplicaciones fueron diseñadas para engañar a los usuarios y conducirlos hacia versiones adulteradas capaces de capturar frases semilla y tomar control de activos digitales.
El hallazgo vuelve a poner bajo presión la confianza en las tiendas oficiales de aplicaciones, especialmente en un momento donde las billeteras móviles y las plataformas de autocustodia se han convertido en herramientas esenciales para millones de usuarios de criptomonedas. Aunque Apple mantiene procesos estrictos de revisión, los atacantes lograron aprovechar mecanismos legítimos del sistema operativo para distribuir malware sin levantar sospechas inmediatas.
La campaña, según el reporte de Kaspersky, habría estado activa desde finales de 2025 y tendría vínculos con actores asociados a SparkKitty, una operación conocida dentro del entorno de ciberseguridad por utilizar tácticas de phishing y distribución encubierta de aplicaciones maliciosas.
TE PUEDE INTERESAR: TENGA CUIDADO: Billeteras Ledger falsas están siendo fabricadas en China
Cómo operaban las apps falsas de criptomonedas en la App Store
El esquema identificado por Kaspersky no se limitaba a publicar aplicaciones fraudulentas de manera directa. Los atacantes desarrollaron un proceso más sofisticado, diseñado para aparentar legitimidad en cada etapa y reducir las probabilidades de detección tanto por parte de Apple como de los usuarios.
Las aplicaciones imitaban nombres, logotipos y diseños de billeteras populares dentro del mercado cripto. Entre las plataformas suplantadas también figuraban TokenPocket, imToken y Bitpie.
Sin embargo, muchas de las apps no mostraban señales evidentes de peligro al ser descargadas. Algunas incorporaban funciones aparentemente inofensivas, como calculadoras, listas de tareas o pequeños juegos, con el objetivo de reforzar la percepción de autenticidad.
El verdadero ataque comenzaba después.
Una vez abiertas, las aplicaciones redirigían al usuario hacia páginas externas que imitaban visualmente la App Store oficial. Allí se invitaba a descargar una “versión actualizada” o “completa” de la supuesta billetera de criptomonedas.
Ese paso era clave dentro del esquema fraudulento.
El uso de perfiles empresariales permitió evitar controles tradicionales
En lugar de distribuir directamente malware desde la App Store, los atacantes aprovecharon herramientas legítimas de Apple destinadas a empresas y desarrolladores corporativos.
Las víctimas eran inducidas a instalar un “perfil de desarrollador” en sus dispositivos iPhone, un mecanismo que normalmente se utiliza para implementar aplicaciones internas fuera de la tienda oficial. Aunque esta función tiene usos legítimos dentro de entornos empresariales, también puede convertirse en un vector de riesgo cuando usuarios desconocidos aceptan permisos sin verificar su origen.
Al aceptar la instalación del perfil, el dispositivo quedaba habilitado para descargar aplicaciones externas sin pasar por las validaciones tradicionales de la App Store.
Fue en ese momento cuando los usuarios terminaban instalando la versión adulterada de la billetera cripto.
Según Kaspersky, estas aplicaciones contenían troyanos diseñados específicamente para capturar información sensible relacionada con activos digitales, incluyendo frases semilla, datos de recuperación y credenciales críticas para acceder a fondos.
El robo de frases semilla era el principal objetivo
La campaña estaba especialmente enfocada en obtener las llamadas “seed phrases” o frases semilla, consideradas uno de los elementos más sensibles dentro de la seguridad de las criptomonedas.
Estas frases funcionan como la llave maestra de recuperación de una billetera digital. Cualquier persona que tenga acceso a ellas puede restaurar la wallet en otro dispositivo y controlar completamente los fondos asociados.
Kaspersky explicó que el comportamiento del malware variaba dependiendo del tipo de billetera que estuviera siendo suplantada.
Ataques contra hot wallets
En las llamadas hot wallets —billeteras conectadas a internet— el malware interceptaba los procesos de creación o recuperación de cuentas.
Cuando la víctima introducía la frase semilla en la aplicación falsa, los datos eran monitoreados y capturados por los atacantes. Desde ese momento, el acceso a los fondos digitales quedaba comprometido.
Este tipo de ataque resulta especialmente peligroso porque muchas personas utilizan billeteras móviles para operar diariamente con criptomonedas, almacenar tokens o interactuar con aplicaciones descentralizadas.
El phishing también apuntó a cold wallets
Las cold wallets o billeteras frías suelen considerarse más seguras porque mantienen las claves privadas fuera de línea mediante dispositivos físicos especializados.
En servicios como Ledger, por ejemplo, la aplicación móvil actúa únicamente como interfaz, mientras las claves permanecen almacenadas dentro del hardware.
Por esa razón, una aplicación legítima nunca debería solicitar la frase semilla del usuario una vez configurado el dispositivo.
Las versiones falsas detectadas por Kaspersky aprovechaban precisamente ese desconocimiento. Mediante tácticas de phishing, intentaban convencer a las víctimas de introducir sus frases de recuperación bajo supuestos procesos de validación o sincronización.
En la práctica, el engaño eliminaba la principal capa de protección de las billeteras frías.
TE PUEDE INTERESAR: Famoso músico estadounidense perdió 5.9 BTC tras descargar una app falsa de Ledger en App Store
Por qué este ataque preocupa al ecosistema cripto
El caso refleja una tendencia creciente dentro del cibercrimen: los atacantes ya no dependen exclusivamente de enlaces sospechosos o sitios web clandestinos para distribuir malware. Ahora también intentan infiltrarse en ecosistemas considerados “seguros” por defecto, como las tiendas oficiales de aplicaciones.
Para muchos usuarios, descargar una aplicación desde App Store representa automáticamente una señal de confianza. Ese comportamiento psicológico es precisamente lo que explotan este tipo de campañas.
Además, el ataque demuestra que los criminales están adaptando sus estrategias al crecimiento de la adopción cripto y al aumento del uso de billeteras de autocustodia.
A diferencia de las cuentas bancarias tradicionales, las transacciones blockchain son irreversibles. Si un atacante obtiene acceso a una wallet y transfiere los fondos, recuperar los activos suele ser extremadamente difícil o imposible.
El impacto potencial no se limita únicamente a pérdidas económicas individuales. Este tipo de incidentes también afecta la percepción de seguridad del ecosistema y aumenta la presión sobre empresas tecnológicas y proveedores de billeteras para fortalecer sus sistemas de verificación y autenticación.
Kaspersky advierte que el riesgo no tenía límites geográficos
Aunque la campaña parecía dirigida inicialmente a un grupo específico de usuarios, Kaspersky señaló que las aplicaciones maliciosas no tenían restricciones regionales.
Eso significa que cualquier persona que utilizara la App Store podía potencialmente quedar expuesta al fraude, independientemente del país donde se encontrara.
La firma de ciberseguridad informó que todos los casos detectados fueron reportados a Apple.
María Isabel Manjarrez, investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky, explicó que el verdadero peligro de estas aplicaciones era su capacidad para construir confianza antes de ejecutar el ataque.
“Estas aplicaciones no parecen peligrosas al inicio, pero funcionan como una puerta de entrada. El engaño lleva al usuario, paso a paso, a instalar una app falsa que termina siendo un virus diseñado para robar sus criptomonedas”.
La declaración resume uno de los elementos más preocupantes del caso: el ataque no dependía de una única acción sospechosa, sino de un proceso gradual cuidadosamente diseñado para reducir la percepción de riesgo.
Cómo evitar caer en aplicaciones falsas de billeteras cripto
Tras revelar la campaña, Kaspersky publicó varias recomendaciones para reducir el riesgo de infección y robo de activos digitales.
Entre las principales medidas de seguridad destacan:
- Evitar hacer clic en enlaces inesperados dentro de aplicaciones móviles.
- No instalar perfiles o certificados de desarrollador desconocidos en iPhone.
- Revisar cuidadosamente el nombre del desarrollador antes de descargar cualquier aplicación relacionada con criptomonedas.
- No compartir frases semilla, contraseñas ni códigos de recuperación en páginas externas.
- Desconfiar de aplicaciones que soliciten restaurar billeteras de forma inesperada.
- Verificar siempre que la descarga provenga de canales oficiales.
Dentro del ecosistema cripto, la protección de la frase semilla continúa siendo la regla más importante. Ningún proveedor legítimo debería solicitarla fuera del proceso inicial de recuperación controlado directamente por el usuario.
TE PUEDE INTERESAR: ALERTA: Si tienes Iphone tus criptomonedas podrían estar en peligro según Google
El incidente expone nuevos desafíos para Apple y las plataformas digitales
La infiltración de aplicaciones falsas relacionadas con criptomonedas en la App Store evidencia que incluso los entornos más controlados pueden ser utilizados por actores maliciosos mediante técnicas indirectas y procesos de ingeniería social.
El caso también pone sobre la mesa un desafío creciente para Apple y otras plataformas tecnológicas: equilibrar herramientas flexibles para empresas y desarrolladores sin abrir puertas que puedan ser explotadas por campañas de malware avanzadas.
A medida que el mercado cripto continúa expandiéndose y más usuarios migran hacia modelos de autocustodia, las billeteras digitales seguirán siendo uno de los objetivos prioritarios para el cibercrimen.
La sofisticación de este ataque demuestra que la seguridad ya no depende únicamente de evitar enlaces sospechosos. En la práctica, los usuarios deben asumir que incluso aplicaciones aparentemente legítimas pueden formar parte de operaciones diseñadas para comprometer sus activos digitales.
