Una nueva técnica para robar Bitcoin y otras criptomonedas está ganando popularidad, gracias a una filtración de datos del fabricante de monederos físicos Ledger. Es un intento de phishing que no usa correos electrónicos, sino un paquete real que llega a la casa de la víctima.
Ledger es una popular marca de monederos para "guardar" criptomonedas como Bitcoin. Modelos como el Nano S permiten almacenar nuestros datos en un chip seguro, con un número PIN de 8 dígitos. Nuestras claves están así inaccesibles para posibles atacantes que quieran hacerse con nuestra cartera y su contenido.
El nuevo método de ataque se aprovecha de la confianza que el usuario tiene en este dispositivo y la marca; un usuario que probablemente ya sabe que el pasado diciembre de 2020 Ledge sufrió una filtración de datos, con las cuentas de más de 270.000 personas publicadas en un foro frecuentado por hackers.
Si nos encontramos entre los afectados por la filtración, es posible que recibamos un paquete de Ledger en nuestra casa, con una unidad del Ledger Nano X y una carta firmada por el CEO de la compañía; ahí se explica que es necesario que cambiemos de dispositivo por el que viene incluido, debido a la filtración de datos, introduciendo nuestras claves para poder seguir usando el servicio.
Sin embargo, la carta y el paquete son falsos, y sólo hay algunas pistas que lo indican. La caja del dispositivo, por ejemplo, viene precintada como si hubiese salido de fábrica, y el dispositivo parece legítimo. Sin embargo, cuando un usuario de Reddit leyó la carta, se dio cuenta de que tenía faltas de ortografía, algo raro viniendo de una comunicación oficial de un CEO; cuando inspeccionó el dispositivo, las sospechas se confirmaron.
El monedero físico había sido modificado, incluyendo piezas que no se encuentran en el modelo original. Según expertos, entre las partes nuevas se incluye una nueva unidad de almacenamiento conectada al puerto USB, por lo que es capaz de capturar todos los datos cuando lo conectemos a nuestro ordenador.
Las falsas "instrucciones de recuperación" incluidas indican que es necesario conectar el dispositivo a un ordenador, y ejecutar la app que viene en la memoria. Si hacemos eso, se nos pedirá la frase de recuperación que habremos configurado la primera vez que nos creamos nuestra cuenta de Ledger. En realidad, esa información es enviada a los atacantes, que la usan para acceder a nuestra cuenta y robar las criptomonedasq ue tengamos almacenadas.
Ledger ha confirmado este ataque, y ha publicado una advertencia en la que recuerda que nunca deberíamos compartir nuestras claves ni introducir la frase de recuperación en ninguna aplicación que no sea la descargada desde Ledger.com.
Este tipo de ataques "físicos" son cada vez más comunes. Otro muy usado consiste en dejar una memoria USB en el buzón o en un sitio frecuentado por la víctima, para que lo coja y lo conecte a su ordenador; entonces, el malware instalado en la memoria se ejecutará.
