Las consecuencias de la importante violación de datos de Ledger continúan sintiéndose casi un año después. Un colaborador del foro r/Ledgerwallet en Reddit, escribiendo bajo la etiqueta u/jjrand y autoidentificado como uno de los afectados por la violación, ha publicado imágenes de lo que parece ser una billetera Ledger Nano X falsa recibida por correo.

Envuelto en un embalaje aparentemente auténtico, el dispositivo incluía, no obstante, varios signos reveladores que despertaron las sospechas del colaborador. Lo más chocante es que el paquete venía acompañado de una carta mal escrita que decía estar firmada por el CEO de Ledger, Pascal Gauthier, en la que le decía a su destinatario:

“Por motivos de seguridad, le hemos enviado un nuevo dispositivo, debe cambiar a un nuevo dispositivo para mantenerse a salvo. Hay un manual dentro de su nueva caja que puede leer para aprender cómo configurar su nuevo dispositivo. Por esta razón, hemos cambiado la estructura de nuestro dispositivo. Ahora garantizamos que este tipo de brecha nunca volverá a suceder".
Caja que contiene un dispositivo Ledger supuestamente fraudulento, recibida por el usuario de reddit u/jjrand. Fuente: Reddit
Carta de estafa supuestamente escrita y firmada por el CEO de Ledger, Pascal Gauthier. Fuente: Reddit

Además de la carta, u/jjrand también recibió un manual falso, que incluía instrucciones sobre cómo usar el dispositivo y, lo que es más importante, le pide al usuario que ingrese su frase privada de recuperación de Ledger para conectar su billetera de criptomonedas al nuevo hardware. Sobre la base de más imágenes que muestran la placa de circuito del dispositivo cargada en Reddit, el investigador de seguridad Mike Grover le dijo a BleepingComputer que el dispositivo falso fue manipulado:

“Esto parece ser simplemente una unidad flash sujeta al libro mayor con el propósito de ser una especie de entrega de malware. Todos los componentes están en el otro lado, por lo que no puedo confirmar si es SOLO un dispositivo de almacenamiento, pero a [...] juzgar por el trabajo de soldadura para principiantes, probablemente sea solo una mini unidad flash lista para usar que se quitó de su carcasa".

Grover destacó una sección de la parte posterior del dispositivo, mostrando el implante de la unidad flash y señalando que "esos 4 cables llevan las mismas conexiones para el puerto USB del Ledger"

Parte trasera del falso dispositivo Ledger. Fuente: Reddit, con lo más destacado añadido por Mike Grover
Parte trasera de un auténtico dispositivo Ledger. Fuente: BleepingComputer

Sobre la base del análisis de Grover y BleepingComputer, parece que el atraco está diseñado para interceptar la frase de recuperación ingresada por el usuario para redirigir los detalles a un dispositivo controlado por los estafadores, que luego pueden usar para robar los holdings de criptomonedas asociadas.

En una publicación en línea fechada el 10 de mayo, pero no citada por u/jjrand, Ledger ya había advertido a los clientes contra la carta y el dispositivo falsos, afirmando que:

"La falsa guía de usuario que viene en la caja del Nano pide al usuario que conecte el dispositivo a un ordenador. Para inicializar el dispositivo, se pide al usuario que introduzca sus 24 palabras en una falsa aplicación Ledger Live. Esto es una estafa. No conecte el dispositivo a su ordenador y nunca comparta sus 24 palabras. Ledger nunca le pedirá que comparta su frase de recuperación de 24 palabras".

Aunque la advertencia forma parte de la lista online de Ledger de las campañas de phishing de las que la empresa tiene conocimiento, no está claro si la empresa se ha puesto en contacto con los usuarios directamente, especialmente con aquellos cuyos datos filtrados pueden dejarlos más susceptibles de caer en la trampa.

Cointelegraph se ha puesto en contacto con Ledger para obtener comentarios y actualizará este artículo con más información sobre este problema.

Como se informó anteriormente, otras consecuencias de la filtración de datos han sido que los usuarios de Ledger han recibido correos electrónicos de extorsionistas que amenazan con violencia física u otros ataques criminales. La filtración de datos original se produjo en en junio y julio de 2020 e incluía 1.075.382 direcciones de correo electrónico de usuarios suscritos al boletín de Ledger. En particular, también supuso la filtración de información personal (incluidas las direcciones de los domicilios) asociada a 272.853 pedidos de monederos de hardware

Sigue leyendo: