Los propietarios de los populares monederos de hardware Ledger han sido el blanco de ataques de phishing. Los hackers envían correos electrónicos falsos para engañar a los usuarios y obtener sus frases secretas para acceder a los criptoactivos.
Según Bleeping Computer, las campañas comienzan con correos que se disfrazan de mensajes oficiales de Ledger con el asunto: «Actualización de seguridad: una filtración de datos puede revelar tu frase secreta».
Los correos se envían a través de la plataforma SendGrid y contienen un llamado a los usuarios para que verifiquen sus frases secretas mediante «una herramienta de verificación segura». Al hacer clic en el enlace, estos correos electrónicos redirigen a los usuarios a un sitio falso de Ledger, alojado en Amazon Web Services, en la dirección ledger-recovery[.]info. El sitio imita el portal real de Ledger y solicita ingresar la frase secreta de 24 palabras para «verificar la seguridad».
El sitio falso analiza las palabras ingresadas, comparándolas con una lista de 2048 términos posibles. Incluso si la frase es ingresada correctamente, el sitio informa que es «inválida», obligando al usuario a reingresarla para que los criminales obtengan los datos exactos.
Con acceso a las frases secretas, los hackers tienen control total sobre los monederos, permitiéndoles robar todos los activos digitales.
Ledger no ha confirmado nuevas filtraciones de datos, pero en su declaración en la plataforma X (Twitter) enfatizó:
«Ledger nunca te pedirá tu frase secreta de 24 palabras. Si alguien lo hace, es una estafa».
Los usuarios de Ledger han sido víctimas de campañas de phishing repetidamente después de una filtración de datos en 2020, que reveló información sobre los clientes. Aunque los monederos en sí no fueron hackeados, estos datos se utilizaron para estafas personalizadas.
En diciembre de 2023, la compañía enfrentó un nuevo problema cuando su biblioteca de conectores fue comprometida, lo que resultó en una pérdida de $484 mil.
Por lo tanto:
- Nunca compartas tu frase secreta con nadie, incluso si se presentan como el servicio de soporte de Ledger.
- Siempre verifica la autenticidad de los sitios web y correos electrónicos de Ledger.
- Utiliza solo la aplicación oficial Ledger Live, descargada del sitio web ledger.com.
- Evita mensajes sospechosos que prometan recompensas o airdrops.
Spelling error report
The following text will be sent to our editors: