AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Robo de criptomonedas en macOS: falsa app Ledger Live en la App Store compromete 9,5 millones de dólares

admin

#### Introducción

Un reciente incidente de seguridad ha puesto de manifiesto una preocupante brecha en la cadena de suministro de software de Apple: una aplicación fraudulenta que suplantaba a “Ledger Live” estuvo disponible en la App Store oficial para macOS, permitiendo a actores maliciosos robar más de 9,5 millones de dólares en criptomonedas a al menos 50 víctimas en cuestión de días. Este ataque, que aprovecha la confianza depositada en los mecanismos de control de la propia tienda de Apple, subraya la sofisticación creciente de las amenazas dirigidas a usuarios y empresas que gestionan activos digitales.

#### Contexto del Incidente

Ledger es uno de los fabricantes líderes de monederos físicos (hardware wallets) para criptomonedas, y su aplicación oficial, Ledger Live, es la interfaz central para la gestión y transacción segura de activos digitales. El pasado mes, investigadores de seguridad detectaron la presencia en la App Store de macOS de una falsa aplicación denominada “Ledger Live Web3”, que imitaba fielmente la apariencia y funcionalidades de la aplicación legítima.

El hecho de que la aplicación estuviera disponible en la tienda oficial de Apple representa un cambio en los vectores de ataque tradicionales, que históricamente se han centrado en la distribución de malware a través de canales alternativos o phishing externo. El incidente pone en tela de juicio la fiabilidad de los procesos de revisión y control en los marketplaces oficiales de software, y se suma a la tendencia creciente de ataques de cadena de suministro y subversión de confianza.

#### Detalles Técnicos

La aplicación fraudulenta fue identificada en la App Store de macOS bajo el nombre de “Ledger Live Web3”, firmada con un certificado de desarrollador legítimo, lo que permitió superar las barreras de seguridad de Gatekeeper y las revisiones automáticas de Apple. El identificador de la app y la interfaz gráfica simulaban con precisión la experiencia del software original.

El vector de ataque principal consistía en la captación de credenciales y frases semilla de recuperación (seed phrase) de los monederos Ledger de las víctimas. Al introducir estos datos en la app fraudulenta, los atacantes obtenían acceso completo a los fondos almacenados en las carteras afectadas, permitiendo la sustracción inmediata de los activos.

Según análisis forenses, los TTPs observados se alinean con las técnicas MITRE ATT&CK siguientes:

– **T1176 (Browser Extensions):** aunque en este caso la app era nativa, la técnica de suplantación y captura de credenciales es análoga.
– **T1078 (Valid Accounts):** uso de credenciales legítimas (semillas de recuperación).
– **T1556 (Modify Authentication Process):** interceptación y modificación del flujo de autenticación.
– **T1195 (Supply Chain Compromise):** distribución a través de un canal legítimo.

Entre los IoC detectados figuran hashes de la app fraudulenta y direcciones de wallet de los atacantes, que ya han sido compartidas con exchanges y plataformas de seguimiento de blockchain para su monitorización.

#### Impacto y Riesgos

El ataque ha resultado en la pérdida directa de aproximadamente 9,5 millones de dólares en criptomonedas, afectando a al menos 50 usuarios confirmados, aunque la cifra real podría ser mayor según avancen las investigaciones. La rapidez con la que se han producido los robos –en apenas unos días desde la publicación de la app– demuestra la efectividad de este tipo de ataques, especialmente cuando logran infiltrarse en canales de distribución “de confianza”.

El riesgo se extiende más allá de los afectados directos; la existencia de apps fraudulentas en la App Store debilita la percepción de seguridad de la plataforma y abre la puerta a futuros ataques de mayor escala o sofisticación. Para empresas que gestionan criptoactivos, este incidente supone una amenaza crítica a la integridad de sus operaciones y a la cadena de custodia de claves.

#### Medidas de Mitigación y Recomendaciones

Tras la denuncia por parte de la comunidad de ciberseguridad y de Ledger, Apple ha eliminado la aplicación de su tienda. No obstante, se recomienda a todos los usuarios que hayan descargado cualquier versión de “Ledger Live” desde la App Store de macOS en las últimas semanas que:

– Verifiquen la integridad y procedencia de su aplicación Ledger Live, descargándola solo desde el sitio web oficial de Ledger.
– Cambien inmediatamente las frases semilla si han introducido sus credenciales en la app fraudulenta.
– Monitoricen sus wallets en busca de movimientos sospechosos y empleen sistemas de alerta temprana.

Para equipos de seguridad corporativos, es fundamental reforzar las políticas de whitelisting de aplicaciones, implementar soluciones de EDR con monitorización de integridad y educar a los usuarios sobre los riesgos asociados a la descarga de apps incluso desde marketplaces oficiales.

#### Opinión de Expertos

Expertos en ciberseguridad como los equipos de Threat Intelligence de MalwareHunterTeam y analistas de Chainalysis han destacado la sofisticación del ataque. “Estamos ante un caso paradigmático de subversión de la cadena de confianza. Si ni la App Store es segura, es imperativo reforzar la verificación de identidad y la auditoría de aplicaciones”, señala un analista de Kaspersky.

Por su parte, Ledger ha reiterado que **nunca solicita frases semilla a través de aplicaciones** y ha reforzado sus alertas a usuarios y partners.

#### Implicaciones para Empresas y Usuarios

Este incidente subraya la necesidad de revisar los procedimientos de security onboarding y gestión de aplicaciones dentro de los entornos corporativos, especialmente en sectores críticos como las finanzas descentralizadas (DeFi), exchanges y custodia de activos digitales. La exposición legal en el ámbito GDPR y NIS2 es considerable si la fuga de fondos implica datos personales o compromete la seguridad de infraestructuras esenciales.

Además, la tendencia a ataques contra la cadena de suministro de software y marketplaces oficiales se consolida, lo que obligará a los vendors y a los responsables de seguridad a extremar las revisiones y controles, tanto técnicos como formativos.

#### Conclusiones

El caso de la falsa “Ledger Live” para macOS en la App Store demuestra que ningún entorno es completamente seguro y que los atacantes continúan perfeccionando sus métodos para explotar la confianza en los canales oficiales. Para los profesionales de la ciberseguridad, la vigilancia proactiva y la educación continua de usuarios y empleados son más críticas que nunca.

(Fuente: www.bleepingcomputer.com)