El mundo de las criptomonedas y la posibilidad de diversificar los ahorros, han hecho que a día de hoy muchas personas quieran asumir un riesgo y diversificar su cartera de ahorros incluyendo cripto-activos. En mi caso decidí hacerlo de forma cautelosa y a ser posible de la forma más segura posible usando una billetera fría o “cold wallet”, concretamente el modelo “Ledger Nano S”.
La diferencia fundamental de usar una billetera fría es que tú mismo eres el que custodia la clave privada y la frase semilla que te permite recuperar la billetera en caso de pérdida, a diferencia del uso de un Exchange online.
El 14 de julio de 2020 Ledger fue alertado por un investigador propio de su programa de bug bounty de una posible brecha de seguridad. La brecha consistía en que un tercero no autorizado
podría acceder a una parte de la base de datos de comercio electrónico y marketing mediante una API key que había sido asignada a un tercero. Más tarde se comprobó que el 25 de junio de 2020 fue la fecha en la que el acceso malicioso había comenzado aprovechando dicha brecha.
Ledger informó que aproximadamente 1000000 de direcciones de correo electrónico estaban comprometidas, de las cuales 272.000 clientes estaban afectados por la exposición de datos personales como nombre/apellidos, dirección y teléfono.
A partir de esa fuga de datos, empecé a recibir mails, llamadas y sms fraudulentos, con el fin de conseguir las palabras que forman la frase semilla. La mayoría de estos intentos fueron fáciles de detectar como estafa, aquí muestro algunos ejemplos:
SMS:
Mail:
Mi sorpresa fue mayúscula cuando el ultimo método usado por los estafadores fue el correo postal. Hará cosa de un mes cuando abrí mi buzón y me encontré esto:
A simple vista la carta parecía legitima y aquí muestro su contenido: (por una cara en idioma español y por otra en inglés):
En resumen, la carta avisa que el programa usado por Ledger (ledger live), el cual es legítimo, va a necesitar una capa más de seguridad, y que además será obligatoria, con un programa llamado “transaction check”, donde se incluye un código QR que te lleva a la web descrita.
Para analizar el codigo QR de forma offline yo uso zbar-tools
| sudo apt install zbar-tools zbarimg QR.png QR-Code: https://ledger.app-transaction-recheck[.]com/ scanned 1 barcode symbols from 1 images in 0,01 seconds |
con esto ya tenemos la URL. Seguidamente hice un análisis previo del dominio:
| whois app-transaction-recheck[.]com Domain Name: APP-TRANSACTION-RECHECK.COM Registry Domain ID: 3014387208_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.webnic.cc Registrar URL: http://www.webnic.cc Updated Date: 2025-09-20T10:07:31Z Creation Date: 2025-08-28T17:34:07Z Registry Expiry Date: 2026-08-28T17:34:07Z Registrar: Web Commerce Communications Limited dba WebNic.cc Registrar IANA ID: 460 Registrar Abuse Contact Email: compliance_abuse@webnic.cc Registrar Abuse Contact Phone: +60.189836788 Domain Status: ok https://icann.org/epp#ok Name Server: ALEXIS.NS.CLOUDFLARE.COM Name Server: EMMA.NS.CLOUDFLARE.COM DNSSEC: unsigned |
Se puede observar que la fecha de creación es relativamente nueva. En un principio en VirusTotal no tenía hits, actualmente aparece uno:
Ahora toca revisar que tiene exactamente dicho enlace, desde una sandbox o un sistema de navegación anónimo y seguro:
En la propia web de urlscan.io ya nos avisan de que la web es maliciosa, la web es muy parecida a la oficial:
hace una serie de preguntas de que dispositivo de la marca usas:
Para finalmente pedir las palabras semilla de la frase de recuperación:
tras rellenar las palabras (identifica si son palabras reales), veo que hace una petición Get a la api de Telegram;
Viéndose en la respuesta datos relevantes como el Chat_id que después usaré, pero esto lo veremos en una segunda entrega.
Speak Your Mind