Un investigador de ciberseguridad en Brasil ha destapado una sofisticada operación de fraude que pone en alerta a toda la industria cripto. Todo comenzó con una compra aparentemente inocente: una billetera de hardware de Ledger adquirida en un mercado chino a un precio sospechosamente bajo. Lo que descubrió tras abrir el dispositivo no solo confirma los riesgos del mercado paralelo, sino que revela una infraestructura de ataque diseñada para robar fondos en múltiples blockchains a través de Ledger falsas.
Este hallazgo, compartido inicialmente en Reddit por el usuario u/Past_Computer2901, expone una amenaza crítica: dispositivos falsificados que imitan productos legítimos de Ledger, pero que en realidad están diseñados desde cero para comprometer las claves privadas de los usuarios.
TE PUEDE INTERESAR: Ledger alerta sobre vulnerabilidad en Android que permite robar criptomonedas en menos de un minuto
Billeteras “Ledger” falsas con hardware manipulado
Al abrir la supuesta billetera, el investigador detectó una anomalía fundamental: el chip interno no correspondía a los estándares de seguridad de Ledger. En lugar de un componente criptográfico seguro, el dispositivo contenía un microcontrolador típico de dispositivos IoT de bajo costo.
Más preocupante aún, las marcas del chip habían sido físicamente eliminadas —lijadas— para impedir su identificación. Este nivel de manipulación indica un esfuerzo deliberado por ocultar la procedencia del hardware y dificultar su análisis.
Este tipo de intervención no es un simple clon superficial. Se trata de una falsificación profunda que compromete el núcleo mismo del dispositivo: su capacidad de proteger claves privadas.
Firmware malicioso: robo directo de frases semilla de Ledger falsas
El fraude no se limitaba al hardware. El firmware instalado en las Ledger falsas simulaba ser una versión legítima —identificada como “Ledger Nano S+ V2.1”— que, según el investigador, ni siquiera existe oficialmente.
Aquí radica el punto más crítico del ataque:
- Cada frase semilla introducida en el dispositivo era almacenada en texto plano.
- El PIN del usuario también era capturado sin cifrado.
- Toda esta información era enviada automáticamente a un servidor controlado por los atacantes.
El dominio identificado en el análisis fue kkkhhhnnn[.]com, lo que confirma la existencia de una infraestructura activa para recolectar datos sensibles.
Este mecanismo permite a los atacantes acceder instantáneamente a las billeteras de las víctimas, sin necesidad de técnicas adicionales de hacking. El usuario, creyendo que está configurando un dispositivo seguro, entrega voluntariamente el acceso total a sus fondos.
Impacto potencial: drenaje en múltiples blockchains
Uno de los aspectos más alarmantes del informe es el alcance del ataque. Según el investigador, el sistema estaba preparado para operar en aproximadamente 20 blockchains diferentes.
Esto implica que los atacantes no estaban enfocados en una sola red, sino que diseñaron una solución escalable capaz de:
- Robar fondos en múltiples criptomonedas
- Automatizar el drenaje de billeteras
- Operar de forma silenciosa y casi inmediata
En un ecosistema donde la autocustodia es clave, este tipo de amenaza representa un riesgo sistémico para usuarios que buscan seguridad fuera de exchanges centralizados.
TE PUEDE INTERESAR: ALERTA: Si tienes Iphone tus criptomonedas podrían estar en peligro según Google
La trampa continúa: app falsa de “Ledger Live”
Como parte del engaño, el vendedor incluyó una aplicación que supuestamente era Ledger Live, el software oficial para gestionar dispositivos Ledger.
Sin embargo, el análisis reveló que se trataba de una versión modificada con múltiples fallas críticas:
- No estaba correctamente firmada (indicador básico de autenticidad)
- Permitía la exfiltración silenciosa de datos
- Actuaba en segundo plano sin alertar al usuario
Este componente añade una segunda capa de ataque: incluso si el hardware pasara desapercibido, la app aseguraba la captura de información sensible.
Además de Ledger falsas se estaría distribuyendo un malware para múltiples sistemas
El caso no termina en el dispositivo físico. El mismo grupo detrás de esta operación también estaría distribuyendo malware para distintos sistemas operativos:
- Windows
- macOS
- iOS
En el caso de iOS, el uso de TestFlight —la plataforma oficial de pruebas de Apple— sugiere una estrategia avanzada para evadir controles de seguridad y distribuir aplicaciones maliciosas sin pasar por los filtros tradicionales de la App Store.
Este detalle eleva el nivel de sofisticación del ataque, mostrando que no se trata de un fraude aislado, sino de una campaña coordinada con múltiples vectores de infección.
Investigación en curso y respuesta de Ledger
El investigador brasileño ya ha enviado un informe completo al equipo de seguridad de Ledger, lo que abre la puerta a un análisis técnico más profundo por parte de la compañía.
Se espera que en los próximos días o semanas se publique un desglose detallado que permita comprender:
- La cadena de suministro de estos dispositivos falsos
- La infraestructura completa del ataque
- Posibles medidas de mitigación para usuarios afectados
Hasta el momento, el caso sirve como advertencia crítica sobre los riesgos de adquirir dispositivos de seguridad fuera de canales oficiales.
Claves para evitar caer en estafas con Ledger falsas
Este incidente deja varias lecciones claras para la comunidad cripto. Aunque la tentación de comprar más barato puede ser alta, en el caso de dispositivos de seguridad, el riesgo supera ampliamente cualquier ahorro.
Recomendaciones esenciales:
- Comprar dispositivos Ledger únicamente en canales oficiales o distribuidores autorizados
- Verificar siempre la autenticidad del firmware
- Nunca introducir frases semilla en dispositivos de procedencia dudosa
- Evitar instalar software fuera de fuentes oficiales
- Desconfiar de precios excesivamente bajos
TE PUEDE INTERESAR: TENGA CUIDADO: Usuarios de MetaMask en riesgo por estafa con suplantación de 2FA
Una amenaza real para la autocustodia cripto
La exposición de esta operación fraudulenta basada en dispositivos falsos de Ledger confirma una tendencia preocupante: los atacantes están evolucionando más allá del phishing tradicional hacia ataques físicos y de cadena de suministro.
En un entorno donde la seguridad depende en gran medida del usuario, este tipo de incidentes subraya la importancia de la educación, la verificación y la prudencia.
El caso del investigador brasileño no es solo una anécdota técnica, sino una advertencia directa para millones de usuarios de criptomonedas: en seguridad, lo barato puede salir extremadamente caro.
