AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Ciberdelincuentes envían cartas físicas suplantando a Trezor y Ledger para robar criptomonedas

admin

#### Introducción

En un giro preocupante dentro del panorama de amenazas, actores maliciosos han comenzado a emplear técnicas de ingeniería social a través de correspondencia física para comprometer la seguridad de usuarios de carteras de hardware de criptomonedas. Este modus operandi, que combina elementos tradicionales y digitales, pone en jaque los esquemas de protección habituales y supone un desafío adicional para los equipos de ciberseguridad y los usuarios avanzados de activos digitales.

#### Contexto del Incidente

Durante el segundo trimestre de 2024, múltiples informes han señalado que usuarios de carteras hardware de marcas reconocidas como Trezor y Ledger han recibido cartas físicas fraudulentas en sus domicilios. Estas misivas, cuidadosamente diseñadas para simular comunicaciones oficiales de los fabricantes, buscan inducir a los destinatarios a revelar su frase de recuperación (seed phrase), lo que permitiría a los atacantes tomar control total de los fondos almacenados en las wallets. El uso de correo tradicional representa una evolución en las tácticas de ingeniería social, tradicionalmente centradas en el phishing digital (correo electrónico, SMS, etc.).

#### Detalles Técnicos

La campaña detectada se apoya en la suplantación de identidad (impersonation) y la manipulación psicológica avanzada. Las cartas suelen incluir logotipos, tipografía y lenguaje similares a los materiales originales de Trezor y Ledger, con instrucciones precisas para “verificar la seguridad” o “restablecer” la wallet debido a supuestos incidentes de seguridad o actualizaciones críticas.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **T1566.002 – Phishing: Spearphishing via Service:** En este caso, el servicio es el correo postal.
– **T1204 – User Execution:** El ataque requiere que el usuario interactúe activamente proporcionando su seed phrase.
– **T1583.001 – Acquire Infrastructure: Domains:** Los atacantes suelen incluir en las cartas URLs personalizadas o códigos QR que redirigen a páginas de phishing, a menudo alojadas en dominios recientemente registrados y con certificados SSL válidos para dotar de legitimidad aparente.

**Indicadores de Compromiso (IoC):**
– URLs de phishing que simulan ser subdominios oficiales de Ledger/Trezor.
– Códigos QR que enlazan a formularios falsos.
– Plantillas de carta con errores sutiles en la redacción o el código postal del remitente.

A fecha de redacción, no se ha identificado un CVE específico asociado, dado que el vector de ataque no aprovecha una vulnerabilidad técnica en el software, sino un fallo humano inducido por ingeniería social.

#### Impacto y Riesgos

El impacto potencial es crítico: la revelación de la seed phrase concede acceso total e irreversible a los activos almacenados, permitiendo la transferencia inmediata y anónima de fondos a direcciones bajo control de los atacantes. Según estimaciones de Chainalysis y Elliptic, el valor de criptomonedas robadas mediante técnicas de phishing en 2023 superó los 250 millones de dólares, y se prevé un crecimiento del 30% en 2024 debido a la sofisticación de los ataques.

Las víctimas de este tipo de fraude no tienen posibilidad de recuperar sus fondos, debido a la naturaleza descentralizada y pseudónima de la blockchain. Además, el incidente puede suponer una violación de la GDPR si las empresas no han protegido adecuadamente la información personal de sus clientes.

#### Medidas de Mitigación y Recomendaciones

– **Formación continua:** Instruir a los usuarios sobre la importancia de nunca compartir la seed phrase, bajo ninguna circunstancia, ni siquiera ante comunicaciones aparentemente legítimas.
– **Verificación de comunicaciones:** Confirmar cualquier notificación de Trezor o Ledger a través de los canales oficiales (sitio web, aplicación oficial, soporte).
– **Monitorización de dominios:** Utilizar herramientas de threat intelligence para identificar nuevos dominios sospechosos relacionados con Trezor y Ledger.
– **Evaluación de fuga de datos:** Realizar auditorías de seguridad para detectar posibles brechas de datos que hayan permitido a los atacantes obtener direcciones físicas de clientes.
– **Denuncia y colaboración:** Notificar los intentos de fraude a las autoridades competentes y a los equipos de seguridad de las marcas afectadas.

#### Opinión de Expertos

Varios expertos en ciberseguridad, como Josep Albors (ESET España) y Chema Alonso (Movistar), han advertido que la combinación de ingeniería social avanzada y técnicas offline representa una evolución preocupante en el robo de criptomonedas. “El factor humano sigue siendo el eslabón más débil, y los atacantes están sabiendo explotar la confianza depositada en la marca y en la seguridad física del entorno doméstico”, señala Albors.

#### Implicaciones para Empresas y Usuarios

Las empresas del sector deben reforzar sus políticas de privacidad y minimizar la exposición de datos de clientes. Los CISOs y responsables de cumplimiento deben revisar la adecuación de sus medidas a los requisitos del GDPR y la NIS2, especialmente en lo relativo a filtraciones de datos personales y respuesta ante incidentes.

Para los usuarios, la recomendación es clara: desconfiar de cualquier solicitud, por cualquier medio, que implique compartir la frase de recuperación. La educación y la verificación proactiva son las mejores defensas frente a estos ataques.

#### Conclusiones

La campaña de envío de cartas físicas fraudulentas dirigidas a usuarios de Trezor y Ledger marca un nuevo hito en la creatividad de los ciberdelincuentes. Frente a una amenaza que trasciende los límites digitales, la concienciación y la vigilancia constante se consolidan como pilares fundamentales de la seguridad, tanto para profesionales como para usuarios finales.

(Fuente: www.bleepingcomputer.com)