Apple retira falsa app de Ledger tras robo de casi USD $10 millones en criptomonedas

Apple retiró una aplicación falsa de Ledger de su App Store luego de que una investigación atribuyera a esa descarga el robo de casi USD $10 millones en criptomonedas. El caso vuelve a poner bajo presión a las grandes plataformas tecnológicas por la presencia de apps maliciosas que imitan servicios legítimos.
***

• Una investigación atribuyó el robo de USD $9,5 millones a una falsa app de Ledger descargada desde la App Store.
• Apple aseguró que retiró la aplicación por una táctica de bait-and-switch y suspendió la cuenta del desarrollador.
• Más de 50 presuntas víctimas habrían sido afectadas entre el 7 y el 13 de abril, según el investigador ZachXBT.

Apple defendió su desempeño en la detección de software sospechoso dentro de la App Store luego de que una investigación señalara que una aplicación falsa de Ledger fue utilizada para robar casi USD $10 millones en criptomonedas. El episodio reavivó las dudas sobre la capacidad de los grandes marketplaces digitales para frenar campañas de suplantación dirigidas a usuarios del sector cripto.

De acuerdo con la investigación citada por DL News, el analista de blockchain ZachXBT identificó que USD $9,5 millones en Bitcoin, Solana, Tron y otros activos digitales fueron sustraídos en abril después de que varias personas descargaran una aplicación maliciosa que se hacía pasar por la billetera de Ledger. La empresa tecnológica indicó que la app ya fue retirada.

Un portavoz de Apple dijo al medio que la compañía eliminó la aplicación por presentar una funcionalidad de bait-and-switch, una práctica en la que una app aparenta ofrecer un servicio legítimo, pero cambia su comportamiento real para engañar al usuario. Apple también señaló que la cuenta del desarrollador fue suspendida.

El caso es relevante porque Ledger es una de las marcas más conocidas en el mercado de billeteras de hardware. Para muchos usuarios, estos dispositivos representan una capa extra de seguridad frente a hackeos en exchanges o plataformas en línea. Sin embargo, esa protección puede quedar anulada si el usuario entrega voluntariamente su frase semilla a una interfaz fraudulenta.

Apple responde tras el incidente

En su defensa, Apple afirmó que mantiene un esfuerzo constante para combatir aplicaciones maliciosas dentro de su ecosistema. Según el portavoz citado, durante 2024 la empresa rechazó más de 320.000 envíos de aplicaciones por considerarlas spam o por copiar otras apps, además de tomar medidas para impedir que más de 37.000 productos potencialmente fraudulentos llegaran a los usuarios de la App Store.

Esas cifras buscan reforzar la idea de que la revisión previa de aplicaciones sigue siendo un filtro relevante. Aun así, el caso de la falsa billetera de Ledger deja ver que algunos actores maliciosos todavía logran superar controles iniciales y alcanzar a usuarios finales, especialmente cuando aprovechan marcas reconocidas y momentos de alta confianza del consumidor.

Ledger no respondió de inmediato a las preguntas del medio sobre el incidente. Esa ausencia de comentarios deja abierta la discusión sobre si las empresas del ecosistema cripto también deben reforzar sus campañas educativas para advertir que nunca deben introducirse frases semilla en apps no verificadas o en formularios inesperados.

El problema no se limita a una sola tienda de aplicaciones ni a una sola marca. En el mundo cripto, los atacantes suelen copiar nombres, logotipos y diseños de servicios legítimos para construir páginas, anuncios o apps capaces de engañar incluso a usuarios con años de experiencia en el mercado.

El caso ganó visibilidad por una víctima conocida

La historia atrajo más atención durante el fin de semana, cuando el cantante estadounidense G. Love relató públicamente que había perdido 5,9 BTC, valorados en más de USD $436.293 a precios actuales, tras descargar la aplicación falsa. Su testimonio ayudó a dimensionar el impacto humano detrás del fraude y a evidenciar que la suplantación no afectó solo a usuarios novatos.

Según contó, descargó la app al intentar cambiar su Ledger a una nueva computadora. Luego fue inducido a introducir su frase semilla en la aplicación. En el entorno de autocustodia, esa frase funciona como la llave maestra de la billetera. Si un tercero la obtiene, puede reconstruir el acceso y vaciar los fondos sin necesidad de tocar físicamente el dispositivo.

“Hoy tuve un día realmente duro. Perdí mi fondo de jubilación en un hack/estafa cuando cambié mi Ledger a mi nueva computadora y accidentalmente descargué una aplicación maliciosa de Ledger de la tienda de Apple”, escribió el músico. También agregó: “Todo mi BTC desapareció en un instante”.

En otra declaración, G. Love dijo que fue “engañado” para introducir su frase semilla y reconoció que, pese a llevar años en el ecosistema, fue sorprendido por la operación. “Estoy en el circo cripto desde 2017. Hoy me agarraron desprevenido”, señaló. Ni el artista ni su equipo respondieron a preguntas adicionales, según la misma cobertura.

Más de 50 víctimas y fondos movidos desde KuCoin

La investigación de ZachXBT concluyó que el robo afectó a más de 50 presuntas víctimas entre el 7 y el 13 de abril. El volumen total identificado asciende a USD $9,5 millones, distribuidos entre Bitcoin, Solana, Tron y otros activos. Ese dato sugiere una operación coordinada, no un incidente aislado contra uno o dos usuarios.

Según el investigador, los fondos fueron movidos posteriormente desde direcciones del exchange KuCoin y luego blanqueados mediante un mezclador centralizado llamado AudiA6. Ese detalle es importante porque muestra la rapidez con la que los atacantes intentan romper el rastro on-chain una vez que consolidan los activos obtenidos en una campaña de phishing.

Las mayores pérdidas correspondieron a tres víctimas que habrían perdido en conjunto USD $7,25 millones, principalmente en USDC y USDT. La concentración de una parte tan grande del botín en pocos casos revela que no solo pequeños inversionistas fueron afectados, sino también usuarios con posiciones muy significativas en stablecoins y otros criptoactivos.

En términos de seguridad, el episodio confirma una lección repetida dentro del ecosistema: la infraestructura blockchain puede ser transparente, pero el punto más vulnerable suele seguir siendo la ingeniería social. Cuando el usuario es convencido de entregar sus credenciales o su frase semilla, el atacante obtiene una ruta directa a los fondos.

Un patrón que ya se había visto antes

Los ciberdelincuentes llevan años explotando aplicaciones falsas y anuncios engañosos para robar criptomonedas. En 2023, ZachXBT ya había advertido sobre pérdidas superiores a USD $500.000 en Bitcoin por descargas de una falsa aplicación de Ledger en la tienda de aplicaciones de Microsoft. El nuevo caso, por tanto, no aparece como una anomalía, sino como parte de un patrón más amplio.

Ese mismo año, el empresario Mark Cuban también fue víctima de un engaño relacionado con una falsa versión de la billetera MetaMask que apareció como anuncio en Google. En ese episodio, perdió casi USD $900.000 en criptomonedas. La referencia resulta útil porque muestra que incluso perfiles con recursos, visibilidad pública y experiencia en inversiones pueden caer en esquemas de suplantación bien ejecutados.

Para los usuarios menos familiarizados con la custodia propia, conviene subrayar un principio básico: una billetera legítima nunca requiere que el usuario comparta su frase semilla en un entorno improvisado ni tras una descarga dudosa. La recomendación general es verificar siempre al desarrollador, confirmar el sitio oficial del proveedor y desconfiar de cualquier mensaje que presione para introducir datos sensibles.

La defensa de Apple sobre sus cifras de revisión no elimina el impacto reputacional del incidente. El fraude con la falsa app de Ledger vuelve a abrir un debate incómodo sobre la responsabilidad de las plataformas, la necesidad de auditorías más estrictas para apps financieras y la urgencia de mejorar la educación de seguridad en una industria donde un solo error puede costar millones.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín