AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Robo masivo de criptomonedas tras la distribución de una actualización maliciosa en la extensión de Trust Wallet para Chrome**

admin

### 1. Introducción

El panorama de amenazas dirigido al sector de las criptomonedas sigue evolucionando, y los atacantes perfeccionan constantemente sus métodos para comprometer activos digitales. El último incidente relevante afecta a Trust Wallet, uno de los monederos de criptomonedas más populares, cuya extensión para Google Chrome fue objeto de una actualización comprometida el pasado 24 de diciembre. Numerosos usuarios han reportado el vaciado completo de sus fondos tras instalar dicha actualización, desencadenando una respuesta urgente de la compañía y el lanzamiento de advertencias a la comunidad.

### 2. Contexto del Incidente

Trust Wallet, propiedad de Binance, es un monedero multi-chain ampliamente utilizado tanto en entornos personales como corporativos para la gestión de activos digitales. El día 24 de diciembre de 2023, los responsables de la extensión para Chrome publicaron una actualización que, según los análisis posteriores, había sido comprometida por actores maliciosos. En cuestión de horas, decenas de usuarios comenzaron a reportar pérdidas totales de fondos, lo que llevó a Trust Wallet a emitir una alerta y recomendar la revocación inmediata de permisos y la migración de activos a una nueva cartera.

Simultáneamente, investigadores de BleepingComputer detectaron la aparición de nuevos dominios de phishing que imitaban la interfaz de Trust Wallet, incrementando el nivel de riesgo para los usuarios afectados.

### 3. Detalles Técnicos

La extensión afectada corresponde a la versión 1.9.0 de Trust Wallet para Chrome, lanzada oficialmente el 24 de diciembre. Se ha confirmado la presencia de código malicioso insertado en el proceso de construcción de la extensión, permitiendo la exfiltración de frases semilla, claves privadas y datos sensibles a servidores controlados por los atacantes.

**Vectores de ataque:**
– **Actualización de software comprometida:** El canal oficial de distribución (Chrome Web Store) fue utilizado para propagar la extensión modificada, lo que sugiere un acceso no autorizado al entorno de desarrollo o publicación de Trust Wallet.
– **Phishing:** Paralelamente, dominios como `trvstwallet[.]com` y `trustwaliet[.]io` (detectados por BleepingComputer) replicaron la interfaz de Trust Wallet para engañar a usuarios desprevenidos y obtener sus credenciales.

**Técnicas y Tácticas (MITRE ATT&CK):**
– **T1555 – Credentials from Password Stores:** Robo de frases semilla y claves privadas almacenadas localmente.
– **T1566 – Phishing:** Creación de portales fraudulentos para capturar información de acceso.
– **T1041 – Exfiltration over C2 Channel:** Tráfico de salida cifrado hacia servidores de comando y control.

**Indicadores de Compromiso (IoC):**
– Hashes de la extensión maliciosa.
– URLs de exfiltración detectadas en logs de análisis forense.
– Direcciones IP asociadas a la infraestructura atacante.

Por el momento, se desconoce la explotación de una vulnerabilidad específica (sin CVE asignado), ya que el vector fue la manipulación intencionada del proceso de actualización.

### 4. Impacto y Riesgos

El impacto de este incidente es significativo tanto a nivel individual como corporativo. Trust Wallet cuenta con millones de usuarios en todo el mundo, y aunque la compañía no ha publicado cifras oficiales, estimaciones preliminares calculan que decenas de miles de carteras pudieron verse afectadas, con pérdidas que podrían superar los 4 millones de dólares equivalentes en distintos activos digitales.

El riesgo principal reside en la pérdida irreversible de fondos, dada la naturaleza descentralizada de las criptomonedas. Además, la reputación de la compañía y la confianza en el ecosistema de extensiones para navegadores se ven gravemente dañadas.

### 5. Medidas de Mitigación y Recomendaciones

Trust Wallet ha recomendado de inmediato a todos los usuarios de la extensión para Chrome:
– **Desinstalar la extensión afectada** (v1.9.0) y cualquier otra versión sospechosa.
– **Transferir los fondos a una nueva cartera**, generando una nueva frase semilla.
– **Revocar permisos de acceso** en protocolos DeFi y dApps asociados.
– **Monitorizar transacciones** recientes y reportar cualquier movimiento no autorizado.
– Evitar el acceso a enlaces recibidos por correo o redes sociales que redirijan a portales que emulan la interfaz de Trust Wallet.

Desde el punto de vista corporativo, se recomienda implementar controles de seguridad sobre los procesos de CI/CD y reforzar la autenticación en los sistemas de publicación de extensiones. Los equipos de seguridad deben actualizar listas negras de IoC y monitorizar tráfico hacia los dominios y direcciones IP identificados como maliciosos.

### 6. Opinión de Expertos

Especialistas en ciberseguridad, como los equipos de S21sec y CrowdStrike, destacan que este incidente subraya la importancia de la cadena de suministro de software como vector crítico de ataque. “La confianza en los canales oficiales de distribución no debe ser absoluta; la verificación de integridad y la monitorización constante son claves”, señala Juan Carlos Pascual, analista senior en S21sec.

Asimismo, expertos en cumplimiento normativo recuerdan que, bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2, las empresas proveedoras de servicios digitales deben notificar incidentes de seguridad a las autoridades competentes y a sus usuarios en plazos muy ajustados.

### 7. Implicaciones para Empresas y Usuarios

Este incidente pone de manifiesto la necesidad de fortalecer tanto las prácticas de higiene digital de los usuarios —incluyendo la rotación periódica de carteras y la verificación de actualizaciones— como las políticas de seguridad de las empresas desarrolladoras de software. El incidente también puede desencadenar revisiones regulatorias en la UE, donde la protección de activos digitales y la transparencia en la gestión de incidentes son cada vez más prioritarias.

Para los equipos SOC y administradores de sistemas, resulta esencial mantener sistemas de alerta temprana ante cambios en extensiones críticas y establecer procesos de respuesta a incidentes que contemplen el robo de credenciales y activos digitales.

### 8. Conclusiones

El caso de Trust Wallet confirma que la cadena de suministro de software sigue siendo uno de los eslabones más débiles en la ciberseguridad moderna, especialmente en el ámbito de las criptomonedas. La rápida detección del incidente y la comunicación transparente han limitado el daño, pero la magnitud de las pérdidas pone en entredicho la confianza en mecanismos de actualización automática y subraya la necesidad de controles adicionales.

La vigilancia proactiva, la educación de los usuarios y la colaboración entre la industria y los organismos reguladores serán factores determinantes para minimizar el impacto de futuros ataques similares.

(Fuente: www.bleepingcomputer.com)