Usuarios de las carteras Ledger y Trezor están siendo supuestamente objetivo de una nueva campaña de robo de criptomonedas. Según las autoridades, los estafadores de criptomonedas han intensificado sus actividades, abandonando su modelo anterior de atacar a los usuarios de carteras hardware.
Según los informes, los criminales ahora envían cartas físicas a los domicilios de los usuarios de estas carteras, haciéndose pasar por representantes de Trezor y Ledger. Esto se realiza para engañarlos y hacer que proporcionen las frases de recuperación de sus carteras, que luego se utilizan para cometer el robo. Las cartas afirman que los destinatarios deben someterse a comprobaciones obligatorias o verificaciones de transacciones para no perder el acceso a las funcionalidades de la cartera. Los estafadores utilizan esto para crear una sensación de urgencia y presionar a sus víctimas para que escaneen códigos QR que conducen a sitios web maliciosos.
Usuarios de Ledger y Trezor objetivo de una estafa cripto por correo tradicional con código QR
De acuerdo con los reportes, los usuarios de estas carteras hardware han confirmado haber recibido estas cartas impresas en membretes que imitan comunicaciones oficiales de los equipos de seguridad y cumplimiento de Ledger y Trezor. No está claro cómo están siendo seleccionados los usuarios, pero ambas compañías han sufrido brechas de seguridad en el pasado. Estas brechas han comprometido una cantidad considerable de información de usuarios. La brecha más reciente ocurrió en Ledger, donde se robó información de usuarios el mes pasado.
En la carta recibida por usuarios de Trezor y revisada por el experto en ciberseguridad Dmitry Smilyanets, los criminales afirmaban que las comprobaciones de autenticación se volverán obligatorias en Trezor e instaban a los usuarios a completar el proceso antes del 15 de febrero o arriesgarse a perder ciertas funciones en sus dispositivos. La carta afirmaba que los usuarios deben escanear el código QR incluido en la carta y seguir las instrucciones para no perder el acceso a Trezor Suite.
“Nota: Aunque ya puede haber recibido la notificación en su dispositivo Trezor y haber habilitado la Comprobación de Autenticación, completar este proceso sigue siendo necesario para activar completamente la función y asegurar que su dispositivo esté sincronizado con la funcionalidad completa de la Comprobación de Autenticación”, decía la carta de Trezor. Mientras tanto, una carta similar dirigida a usuarios de Ledger se compartió en la plataforma de blogs X, afirmando que los usuarios estarían sujetos a una comprobación obligatoria de transacciones con el mismo plazo.
Fabricantes de carteras hardware emiten advertencias a los usuarios
Según los reportes, escanear el código QR lleva a los usuarios a sitios de phishing creados por los estafadores para hacerse pasar por los dominios oficiales de Trezor y Ledger. Actualmente, el sitio de phishing de Ledger está fuera de línea, mientras que el de Trezor sigue activo. Sin embargo, el sitio web de Trezor ha sido marcado como sitio de phishing. “Los atacantes en el sitio que intentó visitar podrían engañarle para que instale software o revele información como sus contraseñas, números de teléfono o números de tarjetas de crédito. Chrome recomienda encarecidamente regresar a un entorno seguro”, indicaba el sitio web.
Antes de que el sitio de Trezor fuera marcado, mostraba una advertencia diciendo que los usuarios debían completar la comprobación de autorización antes del 15 de febrero para estar seguros. No obstante, destacaba que los usuarios que compraron Trezor Safe 7, Trezor Safe 3, Trezor Safe 1 y Trezor Safe 5 no necesitaban completar las comprobaciones ya que las carteras ya están preconfiguradas. La página de inicio tiene un botón de ‘Comenzar’ que lleva a otra advertencia sobre el fallo al completar el proceso de autenticación.
Estas advertencias fueron diseñadas para crear una mayor urgencia y que las víctimas continúen con el siguiente paso del proceso sin dudarlo. Si las víctimas continúan, la siguiente página les solicita que introduzcan sus frases de recuperación, argumentando que esta información es necesaria para autenticar y verificar la propiedad del dispositivo. Sin embargo, una vez que se ingresa la frase de recuperación, se transmite a los estafadores a través de un endpoint API en el backend.
Las frases de recuperación de las carteras hardware representan las claves privadas que controlan el acceso a las carteras de criptomonedas. Esto significa que cualquier persona con acceso a las frases podrá obtener el control total de la cartera y los fondos en ella. Los fabricantes de carteras hardware como Trezor y Ledger siempre han advertido a los usuarios que no compartan esas frases, ya que nunca las solicitarán bajo ninguna circunstancia. Las frases de recuperación solo deben ingresarse en los dispositivos de carteras hardware.
