{"id":28487,"date":"2025-08-27T19:50:27","date_gmt":"2025-08-28T01:50:27","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28487"},"modified":"2025-09-21T20:35:16","modified_gmt":"2025-09-22T02:35:16","slug":"ledger-vulnerability-phishing-scheme","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ledger-vulnerability-phishing-scheme\/28487\/","title":{"rendered":"Estafa de phishing dirigida a propietarios de carteras Ledger"},"content":{"rendered":"

Hasta hace poco, los estafadores se han centrado principalmente en apuntar a las carteras de criptomonedas que pertenecen a usuarios individuales. Sin embargo, parece que las empresas usan cada vez m\u00e1s las criptomonedas, por lo que los atacantes ahora tambi\u00e9n est\u00e1n tratando de conseguir las carteras corporativas. No tienes que buscar muy lejos para encontrar ejemplos. El malware recientemente estudiado Efimer<\/a>, que se distribuy\u00f3 a organizaciones, es capaz de intercambiar direcciones de carteras de criptomonedas en el portapapeles. Por lo tanto, no nos sorprendi\u00f3 mucho observar campa\u00f1as de phishing de criptomonedas dirigidas tanto a usuarios individuales como corporativos. Sin embargo, lo que s\u00ed fue una sorpresa fue la sofisticaci\u00f3n de la tapadera y la sofisticaci\u00f3n general de la estafa.<\/p>\n

El esquema de phishing<\/h2>\n

Este esquema en particular est\u00e1 dirigido a los usuarios de carteras de criptomonedas de hardware de Ledger, espec\u00edficamente Nano\u00a0X y Nano\u00a0S\u00a0Plus. Los estafadores env\u00edan un correo electr\u00f3nico de phishing con una larga disculpa. En el correo electr\u00f3nico se afirma que, debido a un fallo t\u00e9cnico, los segmentos de las claves privadas de los usuarios se transmitieron a un servidor de Ledger. Los datos estaban bien protegidos y cifrados, pero el \u201cequipo de la empresa\u201d hab\u00eda descubierto una filtraci\u00f3n de datos muy compleja. Los atacantes afirman en su historia falsa que hab\u00edan exfiltrado fragmentos de claves y hab\u00edan utilizado m\u00e9todos extremadamente avanzados para descifrar y reconstruir algunos de ellos, \u201clo que llev\u00f3 al robo de activos criptogr\u00e1ficos\u201d. A continuaci\u00f3n, se aconseja a los usuarios que eviten que sus carteras criptogr\u00e1ficas se vean afectadas por la misma vulnerabilidad, y los atacantes recomiendan actualizar inmediatamente el firmware de su dispositivo.<\/p>\n

\"Solicitud<\/a>

Solicitud de phishing para actualizar el firmware<\/p><\/div>\n

Es una historia cautivadora, sin duda. Pero si aplicas un poco de pensamiento cr\u00edtico, surgen algunas inconsistencias. Por ejemplo, no est\u00e1 claro c\u00f3mo se podr\u00eda usar un fragmento de una clave para reconstruir todo. Tambi\u00e9n es completamente desconcertante cu\u00e1les son estos \u201cm\u00e9todos avanzados de descifrado\u201d y c\u00f3mo supuestamente los representantes de Ledger los conocen.<\/p>\n

El correo electr\u00f3nico en s\u00ed est\u00e1 dise\u00f1ado con mucho cuidado: no hay casi nada que criticar. Ni siquiera se envi\u00f3 con la ayuda de herramientas est\u00e1ndar de estafadores; en cambio, los atacantes utilizaron un servicio de correo leg\u00edtimo, SendGrid. Esto significa que los correos electr\u00f3nicos tienen una buena reputaci\u00f3n y, a menudo, eluden los filtros antiphishing. Las \u00fanicas se\u00f1ales de alerta son el dominio del remitente y el dominio del sitio web que los usuarios deben visitar para la actualizaci\u00f3n del firmware. No hace falta decir que ninguno de los dos tiene conexi\u00f3n con Ledger.<\/p>\n

El sitio web de los estafadores<\/h2>\n

El sitio web tambi\u00e9n es muy ordenado y est\u00e1 dise\u00f1ado profesionalmente, es decir, si haces caso omiso del dominio completamente irrelevante en el que est\u00e1 alojado. Es posible que el sitio funcione para varias estafas, ya que no se menciona una actualizaci\u00f3n de firmware y enumera muchos m\u00e1s dispositivos que el correo electr\u00f3nico. \u00a1El sitio web incluso tiene un chat de soporte funcional! Si bien es muy probable que sea un chatbot, responde a preguntas y da consejos aparentemente \u00fatiles. El objetivo del sitio es que introduzcas tu frase semilla despu\u00e9s de seleccionar tu dispositivo.<\/p>\n

\"La<\/a>

La interfaz para introducir frases semilla<\/p><\/div>\n

Una frase inicial es una secuencia de palabras generada aleatoriamente que se utiliza para recuperar el acceso a una cartera de criptomonedas. Y como habr\u00e1s adivinado, no se debe introducir, ya que cualquiera que la conozca puede obtener acceso total a sus activos de criptomonedas.<\/p>\n

Por otro lado, cuando busques sitios similares en Google, encontrar\u00e1s una cantidad sorprendente de p\u00e1ginas falsas similares. Este tipo de estafa es claramente bastante popular.<\/p>\n

\u00bfC\u00f3mo mantenerse fuera de peligro?<\/h2>\n

Ya sea que administres tus activos de criptomonedas en tus propios dispositivos o simplemente uses las aplicaciones bancarias en l\u00ednea habituales, es crucial mantenerse al tanto de las \u00faltimas t\u00e1cticas que est\u00e1n utilizando los atacantes. Para el personal de la empresa, recomendamos herramientas de formaci\u00f3n especializadas para aumentar su conocimiento sobre las ciberamenazas modernas. Una forma eficaz de hacerlo es mediante Kaspersky Automated Security Awareness Platform<\/a>. Para los usuarios dom\u00e9sticos, nuestro blog<\/a> es un gran recurso para obtener informaci\u00f3n sobre c\u00f3mo detectar estafas de phishing.<\/p>\n

Adem\u00e1s, recomendamos instalar una soluci\u00f3n de seguridad s\u00f3lida tanto en los dispositivos personales<\/a> como los de trabajo<\/a> que utilizas para transacciones financieras. Estas soluciones pueden bloquear el acceso a sitios de phishing y evitar filtraciones de datos.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Los atacantes cuentan historias conmovedoras de claves privadas perdidas mientras intentan hacer phishing con frases semilla. <\/p>\n","protected":false},"author":2598,"featured_media":28489,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[1869,6049,6048,6040],"class_list":{"0":"post-28487","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-correo-electronico","11":"tag-criptocarteras","12":"tag-indicios-de-phishing","13":"tag-signos-de-phishing"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ledger-vulnerability-phishing-scheme\/28487\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/ledger-vulnerability-phishing-scheme\/12767\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ledger-vulnerability-phishing-scheme\/31351\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ledger-vulnerability-phishing-scheme\/30032\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ledger-vulnerability-phishing-scheme\/40330\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ledger-vulnerability-phishing-scheme\/13720\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ledger-vulnerability-phishing-scheme\/23116\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ledger-vulnerability-phishing-scheme\/24172\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ledger-vulnerability-phishing-scheme\/32605\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ledger-vulnerability-phishing-scheme\/29595\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/signos-de-phishing\/","name":"signos de phishing"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28487","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=28487"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28487\/revisions"}],"predecessor-version":[{"id":28496,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/28487\/revisions\/28496"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/28489"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=28487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=28487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=28487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}