Un sobre con sello en lugar de enlaces: estafadores recurren al "spam analógico" para robar criptomonedas
Una estafa prospera donde las buenas prácticas digitales no bastan.
Los estafadores empezaron a enviar por correo cartas en papel a propietarios de monederos hardware de criptomonedas, que parecen notificaciones oficiales de los fabricantes. Como pretexto alegan una supuesta «verificación» o «activación» de nuevas funciones en las aplicaciones oficiales, y el elemento clave del engaño es un código QR que conduce a un sitio falso.
En uno de esos casos, que se discute en redes sociales, la carta está firmada en nombre de Trezor. En ella promueven una «verificación de autenticidad» obligatoria y piden escanear un código QR para completar una «configuración» en un plazo limitado.
A continuación funciona el típico esquema de phishing. El código QR abre páginas que se hacen pasar por la sección oficial de soporte y «verificación», pero utilizan dominios externos y solicitan introducir la frase semilla. Tras eso, los atacantes obtienen control total del monedero y pueden retirar los activos.
Por separado se informa también de una distribución similar en nombre de Ledger. En esas cartas los atacantes hacen referencia a la función Transaction Check y aseguran que pronto será obligatoria en Ledger Live, intentando que se acceda por código QR para «activarla». Ledger advierte que no envía este tipo de notificaciones por correo postal y que la frase semilla no debe introducirse en sitios web ni en «páginas de verificación».
Cabe señalar que una táctica similar, incluso más sofisticada, ya se observó antes. Por ejemplo, en 2021 los atacantes llegaron a enviar monederos hardware falsos de Ledger en embalajes que imitaban los originales, adjuntando instrucciones detalladas para «transferir» criptomonedas a un nuevo dispositivo. Como explicación mencionaban una fuga de datos de usuarios de Ledger y presentaban el paquete como un reemplazo por motivos de seguridad. El paso clave en las instrucciones era introducir la frase semilla, tras lo cual todos los activos se transferían a un monedero ajeno.
Por lo tanto, si una comunicación «oficial», incluso en soporte papel, le insta a tomar medidas urgentes mediante un código QR, casi siempre se trata de un intento de apoderarse de sus activos. Una verificación fiable no empieza por enlaces o notificaciones, sino por acceder por su cuenta a los canales de soporte conocidos y negarse a compartir datos clave bajo ninguna circunstancia.