Un usuario y cliente de Ledger advierte sobre un dispositivo de hardware falso que llegó a su casa vía correo y que, a simple vista, parece “auténtico”.
Las víctimas del hack de seguridad que sufrió Ledger en julio del año pasado y, que expuso los datos personales de más de 1 millón de usuarios, continúan siendo el objetivo de los estafadores que quieren robar sus criptomonedas a cualquier precio.
En las últimas horas, un cliente y usuario de Ledger reveló que había recibido en su casa un dispositivo hardware de reposición que supuestamente envió la compañía para compensar por los daños causados desde la filtración de seguridad. El usuario advierte que el dispositivo parece “auténtico” a simple vista, viene sellado e incluye una carta supuestamente firmada por Pascal Gauthier, CEO de la compañía.
Por supuesto, el dispositivo es completamente falso y corresponde a una nueva estrategia planificada por estafadores que quieren robar las criptomonedas de los usuarios confiados o desprevenidos a todo coste.
Ledger es el mayor fabricante de hardware wallets para criptomonedas del mundo por lo que cuenta con millones de usuarios en el mundo.
Te puede interesar: Ledger informa sobre un hackeo que filtró información de sus clientes durante los dos últimos meses
Los pequeños grandes detalles de la nueva estafa
Como explica el usuario que ha recibido el dispositivo de reposición, a simple vista todo parece “normal”, pero errores ortográficos en la supuesta carga de Gauthier y una “nueva estructura” en el monedero Ledger Nano X fueron alertas suficientes para comenzar a sospechar, además del hecho de que en ningún momento realizó solicitudes para un dispositivo de reposición a la compañía.
En Reddit, “Jirand” escribió que recibió un paquete de Ledger aunque no había solicitado ninguno. El usuario dijo que es una de las víctimas del hack de Ledger del año pasado pero que en realidad no posee criptomonedas, ya que compró un dispositivo Ledger para darlo como obsequio. Sin embargo, Jirand escribió en la red para confirmar o desmentir el asunto, aunque ya estaba bastante seguro que se trataba de una estafa.
Jirand publicó fotos del paquete recibido y de su contenido. El interior de la caja hecho de plástico muestra que ha sido manipulado además de una carta mal escrita, afirmó, por lo que decidió abrir el monedero hardware para publicar su estructura.
Los usuarios de Reddit no tardaron en expresar su asombro por la “estafa de siguiente nivel” que se está gestando, reconociendo que los estafadores están dedicando grandes esfuerzos para tratar de engañar a los usuarios de criptomonedas.
Dispositivo manipulado vs Dispositivo real
Mike Grover, investigador de seguridad, afirmó que el monedero hardware había sido manipulado comparando la foto publicada por Jirand con una foto de la estructura real de una Ledger Nano X. Aunque los detalles pueden pasar desapercibido para algunos, Grover señaló que los estafadores “agregaron una unidad flash y la conectaron al conector USB”, como informó BleepingComputer.
Grover explicó que, a juzgar por el trabajo realizado al dispositivo falso, los estafadores buscan robar la frase de recuperación o frase semilla de las víctimas para controlar y robar sus criptomonedas.
En su mensaje, Jirand señaló que el paquete venía con instrucciones de configuración que piden a los usuarios ejecutar una aplicación adjunta de Ledger Live falsa e ingresar la frase semilla de sus monederos para importar la wallet al nuevo dispositivo.
Ledger advierte sobre la nueva estafa
Ledger, que está al tanto del nuevo intento de estafa, advirtió a los usuarios que los dispositivos Ledger Nano X no contienen, en ningún caso, ninguna aplicación para descargar e instalar en una computadora.
La compañía recordó a sus clientes que la aplicación Ledger Live solo puede descargarse desde el sitio web oficial de Ledger, y no desde anuncios en la web ni páginas de terceros, y mucho menos desde aplicaciones integradas a los supuestos dispositivos.
“Un Ledger Nano no es un dispositivo USB. No contiene ninguna aplicación para descargar e instalar en su computadora. La única forma de descargar la aplicación Ledger Live es utilizando la página de descarga oficial”.
Por último, la compañía advirtió que ni Ledger ni la app Ledger Live pedirán a los usuarios compartir la frase de recuperación de 24 palabras de sus monederos en ningún momento y bajo ninguna circunstancia.
Desde la vulnerabilidad de seguridad que sufrió la compañía hace un año, miles de usuarios son asediados por los estafadores que quieren robar sus criptomonedas. Debido a la situación, los usuarios deben sospechar de actualizaciones de software, mensajes de texto, correos electrónicos, llamadas y cualquier forma de contacto de sitios o personas que dicen ser o pertenecer a Ledger, para evitar caer víctimas de las estafas y proteger sus activos digitales.
Continúa leyendo: El equipo de Ledger advierte sobre un posible ataque phishing en curso