La app suplantaba a la legítima Ledger Live
Microsoft reivindica sus métodos de verificación de aplicaciones
Los usuarios perdieron tanto bitcoins como altcoins
El mundo de las criptomonedas vuelve a verse sacudido por una estafa de gran magnitud. Sólo que en este caso el culpable es una aplicación fraudulenta que ha estado durante casi un mes disponible nada menos que en la tienda de aplicaciones de Microsoft —lo que pone en tela de juicio los procedimientos vigentes de verificación de aplicaciones por parte de esta compañía—.
Su presencia en la Microsoft Store ha disparado su difusión de tal manera que, una vez que la app empezó a funcionar de manera maliciosa, ha causado que sus usuarios perdieran alrededor de 768 mil dólares en activos digitales.
Pero lo que más llama la atención del caso es que esta app, denominada "Ledger Live Web3" suplantaba a "Ledger Live", la aplicación oficial de las criptocarteras (o 'wallets') físicas Ledger, que se promocionan como una de las maneras más seguras de almacenar criptomonedas, lejos de Internet.
Esa lejanía de la nube debería prevenir los hackeos… pero ningún sistema de seguridad es 100% a prueba de humanos: de nada sirven las previsiones del fabricante si, a la hora de conectar la criptocartera a nuestro dispositivo, la aplicación que estamos ejecutando no es la oficial sino un 'suplente malicioso'.
Así robaba la app
El modus operandi de los estafadores era sencillo pero efectivo: Ledger Live Web3 replicaba la interfaz de la app legítima. Hizo su aparición en la Microsoft Store el pasado 19 de octubre, pero no fue sino hasta inicios de noviembre cuando se empezaron a detectar las pérdidas de sus usuarios…
…fue el investigador de criptomonedas ZachXBT fue quien alertó a la comunidad el 5 de noviembre, tras identificar numerosas transacciones dudosas que sumaban aproximadamente 600.000 dólares en Bitcoin. Posteriormente, se descubrió que la suma ascendía a 768.000 dólares, incluyendo también pérdidas en Ethereum.
Microsoft actuó con rapidez tras la alerta, eliminando la aplicación de su tienda. Sin embargo, el mal ya estaba hecho.
Diversas víctimas se comunicaron con ZachXBT, incluido un caso desgarrador publicado en Reddit, donde un usuario lamentaba haber perdido sus ahorros de toda la vida, valorados en 26.500 dólares, minutos después de ingresar su frase de recuperación de 24 palabras en la aplicación maliciosa:
"Descargué una nueva aplicación Ledger que encontré en Microsoft Store después de reinstalar Windows en mi PC hace aproximadamente 1-2 horas. Hacía un tiempo que no había accedido a Ledger y se me pidió que ingresara mi frase de recuperación inicial de 24 palabras.
No le di muchas vueltas […] pero... pasaron sólo unos minutos antes de que viera desaparecer todas mis criptomonedas, 18.500 dólares en mil bitcoins y alrededor de 8.000 en altcoins".
La situación no es inédita. En el pasado, ya se habían notificado aplicaciones falsas de Ledger Live en la misma plataforma de Microsoft. Y es que la despreocupación con que actúan los usuarios a la hora de instalar apps procedentes de estas 'stores' oficiales —creyendo erróneamente que su presencia en las mismas garantiza su fiabilidad— hacen que la tarea de infiltrar software en las mismas resulte, aunque complejo, enormemente rentable.
Lecciones de lo ocurrido
La descripción que fue copiada palabra por palabra casi en su totalidad de la app legítima disponible en la Apple Store… pero, en la Microsoft Store, la aplicación solo tenía una calificación de "5.0" cuando fue retirada, y sus creadores usaban un nombre de desarrollador tan poco fiable como "Official Dev".
La lección es clara: los usuarios deben informarse sobre el software antes de descargarlo, leer las reseñas, revisar las políticas de privacidad y verificar la información del desarrollador y la empresa.
En el caso de las 'wallets' de criptomonedas, el consejo universal sigue siendo descargar aplicaciones únicamente desde las páginas oficiales de los fabricantes.
El caso también pone de manifiesto la importancia de la prudencia al manejar frases de recuperación de criptomonedas, cuya exposición puede resultar en pérdidas irreversibles.
Vía | Bleeping Computer
Imagen | Marcos Merino mediante IA
Ver todos los comentarios en https://www.genbeta.com
VER 4 Comentarios