Los estafadores envían cartas falsas de Ledger y Trezor para robar frases de recuperación

Los estafadores utilizan cartas postales falsas y códigos QR para engañar a los usuarios de Trezor y Ledger y hacer que revelen las frases semilla de sus carteras.

Los ataques de phishing en criptomonedas ya no se limitan a correos electrónicos y anuncios falsos. Los criminales ahora envían cartas físicas a los usuarios de carteras hardware. El correo parece oficial y urge a una acción rápida, con el objetivo de engañar a las personas para que entreguen sus frases de recuperación y robar sus fondos.

Usuarios de Trezor y Ledger advertidos sobre cartas de phishing con códigos QR

Los actores maliciosos están enviando cartas a los usuarios impersonando a Trezor y Ledger, dos importantes fabricantes de carteras hardware. Las cartas afirman que los usuarios deben completar una “Verificación de Autenticidad” o “Verificación de Transacción” requerida. Advierten que no hacerlo podría causar problemas de acceso a la cartera. Cada carta incluye un código QR que lleva a los destinatarios a sitios web de phishing.

Los informes muestran que las cartas parecen oficiales y usan los logotipos y la marca de la empresa. Mientras tanto, ambas compañías sufrieron brechas de datos pasadas que expusieron detalles de contacto de los clientes. La información de envío robada podría haber permitido ampliar la campaña.

El experto en ciberseguridad Dmitry Smilyanets compartió una de estas cartas falsas en una publicación en X. En ese caso, los estafadores impersonaron a Trezor y dijeron a los usuarios que completaran una verificación de autenticidad antes del 15 de febrero de 2026. La no realización supuestamente significaba que se interrumpiría el acceso a Trezor Suite.

Además, la carta indicaba a los usuarios que escanearan un código QR con su teléfono y siguieran las instrucciones en un sitio web. Añadieron presión diciendo que era necesaria una acción, incluso si la función ya estaba activada. El objetivo de los estafadores era que las personas actuaran rápidamente sin pensar.

Una carta similar fue dirigida a usuarios de Ledger. Afirmaba que una “Verificación de Transacción” obligatoria se acercaba pronto. Con la fecha límite fijada para el 15 de octubre de 2025, el mensaje advertía que ignorarla podría causar problemas en las transacciones.

Escanear los códigos QR conducía a sitios web falsos que parecían páginas oficiales de Trezor o Ledger. El sitio relacionado con Ledger posteriormente quedó fuera de línea, mientras que el sitio falso de Trezor permaneció en línea pero fue identificado como phishing por Cloudflare.

La página falsa de Trezor mostraba un banner de advertencia, instando a los usuarios a completar la autenticación antes del 15 de febrero de 2026. Se añadió una excepción para ciertos modelos más nuevos de Trezor Safe comprados después del 30 de noviembre de 2025. La afirmación sugería que esos dispositivos estaban preconfigurados.

Además, la página final solicitaba a los usuarios que ingresaran su frase de recuperación de la cartera. El formulario permitía 12, 20 o 24 palabras. Para confirmar la propiedad, el sitio requería una frase para activar la autenticación. En realidad, ingresarla daría a los estafadores acceso completo a la cartera.

Seguridad de la frase semilla en foco ante el aumento de estafas cripto offline

El phishing físico sigue siendo menos común que las estafas por correo electrónico. Sin embargo, campañas postales ya han aparecido antes. En 2021, criminales enviaron dispositivos Ledger modificados diseñados para capturar frases de recuperación durante la configuración. Otra ola de phishing postal dirigida a usuarios de Ledger surgió en abril.

Los proveedores de carteras hardware advierten repetidamente a los clientes que nunca compartan sus frases de recuperación. Ninguna actualización legítima o verificación de seguridad requiere ingresar una frase semilla en línea. Las empresas no solicitan estos datos por correo, email o teléfono.

Mientras tanto, la creciente sofisticación de las estafas indica un riesgo continuo para los poseedores de criptomonedas. Las tácticas offline pueden parecer más creíbles para algunos usuarios, ya que las cartas impresas pueden parecer oficiales y urgentes.

Por ello, los usuarios deben verificar cualquier aviso de seguridad directamente en los sitios web oficiales. Es más seguro escribir manualmente las direcciones web conocidas que escanear códigos QR desconocidos. Las cartas sospechosas deben ser reportadas inmediatamente a los proveedores de carteras y a las autoridades de ciberseguridad.