Grupos criminales han lanzado una nueva ola de estafas con criptomonedas enviando cartas físicas a los propietarios de hardware wallets. Las cartas se hacen pasar por marcas de confianza y presionan a los destinatarios para que actúen rápidamente. En lugar de phishing por correo electrónico, ahora los atacantes utilizan correo impreso y códigos QR.
Como consecuencia, las víctimas pueden confiar en el mensaje porque llega en un sobre formal. Investigadores de seguridad advierten que esta táctica aumenta la credibilidad y reduce la sospecha. La campaña se dirige principalmente a usuarios de dispositivos Trezor y Ledger.
Las cartas afirman que los usuarios deben completar verificaciones de seguridad obligatorias para evitar perder el acceso a la wallet. Algunos avisos mencionan una “Verificación de Autenticación”, mientras que otros promueven una “Verificación de Transacción”.
Además de los plazos urgentes, las cartas advierten sobre la interrupción del dispositivo y la funcionalidad restringida. Los códigos QR dirigen a las víctimas a sitios web que imitan de cerca las páginas oficiales de configuración de wallets.
Los investigadores identificaron dominios como trezor.authentication-check[.]io y ledger.setuptransactioncheck[.]com. Aunque uno de los dominios de phishing dejó de estar en línea, otros siguen activos o han funcionado recientemente. Las páginas falsas solicitan frases de recuperación bajo el pretexto de verificar la propiedad. Asimismo, los sitios muestran cuentas regresivas para presionar a las víctimas a actuar rápidamente.
Expertos en seguridad sospechan que filtraciones de datos anteriores pueden haber expuesto los datos postales de los clientes. Tanto Trezor como Ledger sufrieron filtraciones pasadas que involucraron información de contacto de usuarios. Por lo tanto, los atacantes pueden basarse en esos registros para personalizar las cartas y dirigirse a hogares específicos. Sin embargo, las autoridades no han confirmado la fuente exacta de las listas de correo.
Una vez que las víctimas ingresan a la página de phishing, el sitio solicita una frase de recuperación de 12, 20 o 24 palabras. La página afirma que la frase permite la sincronización del dispositivo y la activación de funciones. En realidad, los atacantes capturan la frase a través de una API backend. Como consecuencia, obtienen control total sobre la wallet y sus fondos.
Las frases de recuperación representan las llaves maestras de las wallets de criptomonedas. Cualquiera que las obtenga puede importar la wallet en otro dispositivo. Es importante destacar que ninguna empresa de hardware wallet solicita frases de recuperación a través de sitios web o correo. Los usuarios solo deben ingresar frases de recuperación directamente en el dispositivo físico durante la restauración.
(adsbygoogle = window.adsbygoogle || []).push({});Especialistas en ciberseguridad instan a los propietarios de wallets a ignorar cartas no solicitadas que exijan acciones urgentes. Además, los usuarios deben verificar cualquier aviso de seguridad a través de los sitios web oficiales de la empresa.
Los expertos recomiendan guardar en favoritos los dominios legítimos en lugar de escanear códigos QR. Asimismo, las personas deben estar atentas a los anuncios de los fabricantes de wallets sobre actualizaciones o funciones de seguridad.
