Un reciente informe de investigación ha destapado una campaña que buscaba vaciar carteras de criptomonedas mediante aplicaciones fraudulentas alojadas en la App Store de Apple. Investigadores de seguridad han identificado 26 apps maliciosas que se hacían pasar por billeteras conocidas —Metamask, Coinbase, Trust Wallet, OneKey y otras— con la intención de capturar las frases de recuperación (seed phrases) y permitir el robo directo de fondos.
La ingeniería del engaño combinaba técnicas sencillas pero efectivas: variaciones ortográficas del nombre de las aplicaciones legítimas (typosquatting), logos y capturas falsificadas y hasta la publicación de esas apps como juegos o calculadoras para ocultar su objetivo real. Esa apariencia «inocua» tuvo un propósito estratégico: muchas de las aplicaciones de cripto están restringidas o directamente bloqueadas en ciertos mercados, por lo que presentarlas como software inofensivo es una forma de sortear las barreras y ganarse la confianza del usuario.
Según el análisis de Kaspersky, los 26 ejemplares forman parte de una única campaña etiquetada como FakeWallet, que los investigadores relacionan con una operación previa conocida como SparkKitty. Cuando una víctima abre la app, el flujo la redirige a páginas de phishing que imitan perfectamente las portadas web de los servicios de cripto. Esas páginas no solo piden credenciales: inducen al usuario a descargar versiones troceadas de monederos usando perfiles de provisión de iOS, un mecanismo legítimo de Apple que, cuando es abusado, permite el sideloading de código no aprobado por la App Store.
El abuso de los perfiles de provisión es el eslabón crítico de la estafa. Apple ofrece mecanismos para empresas y desarrolladores que facilitan la instalación directa de apps en dispositivos; esos mismos mecanismos pueden utilizarse para evitar la revisión habitual de la tienda y distribuir software malicioso. Kaspersky documenta cómo las páginas fraudulentas instalan perfiles que permiten ejecutar las apps trojanizadas fuera del flujo normal de la App Store.
Una vez instaladas, estas apps incluyen código que intercepta las frases mnemónicas en los momentos en que el usuario crea o recupera una cartera. El texto capturado se cifra y se envía al operador del fraude. En el caso de carteras frías (hardware wallets) como Ledger, los atacantes utilizaron pantallas de verificación fraudulentas dentro de la app para persuadir al usuario de que introdujera manualmente su seed phrase bajo la excusa de una comprobación de seguridad. Esa frase, que no debería compartirse nunca, permite restaurar la cartera en otro dispositivo y transferir inmediatamente los activos.
Hay que entenderlo sin tecnicismos: la seed phrase es la llave maestra de una cartera. Quien la conoce puede recrear la cartera y mover los fondos sin posibilidad de revertir la operación en la mayoría de blockchains. Por eso los especialistas repiten una máxima sencilla y contundente: nunca introduzcas tu frase de recuperación en una app o web, ni siquiera si parece oficial.
El equipo de Kaspersky advierte que, aunque la campaña se centró en usuarios en China, el código y los métodos no incorporan restricciones geográficas intrínsecas: si los operadores deciden ampliar su objetivo, usuarios de otras regiones podrían verse afectados. Apple eliminó las 26 aplicaciones del App Store tras la notificación responsable de Kaspersky, pero quedan preguntas sobre cómo consiguieron esos binarios pasar los controles iniciales de la tienda y si hubo vulneraciones en el proceso de validación.
El incidente no es aislado. La semana pasada se informó también de una app falsa de Ledger que llegó a la App Store y, según reportes, facilitó el robo de aproximadamente 9,5 millones de dólares en criptomonedas desde ordenadores macOS de usuarios afectados. Medios especializados como BleepingComputer han tratado de obtener más información de Apple sobre cómo se eludieron los controles, sin recibir respuesta inmediata al momento de su publicación.
¿Qué medidas prácticas pueden tomar los usuarios para protegerse? En primer lugar, verifica siempre la procedencia del enlace que utilizas para descargar una cartera: accede desde la página oficial del proveedor o desde los enlaces que ese proveedor publica en sus canales verificados. Si una app solicita instalar un perfil de provisión o acceder a opciones avanzadas del sistema, hay que sospechar por defecto y cerrar el proceso hasta comprobar su legitimidad.
Además, evita introducir la seed phrase en aplicaciones o sitios web. Las carteras hardware están diseñadas para que la frase nunca salga del dispositivo; si alguna pantalla te pide la semilla «por seguridad», es señal de fraude. Las compañías de hardware wallet suelen explicar el uso seguro de la frase en sus recursos de ayuda, como la guía de Ledger sobre qué es una seed phrase (Ledger Academy).
Actualizar el sistema operativo y las aplicaciones, leer con atención la identidad del desarrollador en la ficha de la App Store y desconfiar de instalaciones que dependen de perfiles empresariales son pasos adicionales para minimizar riesgos. Si has instalado recientemente una app que solicitó un perfil y dudas de su origen, desinstálala y elimina cualquier perfil asociado desde los ajustes del dispositivo. Para entender mejor el marco técnico que los atacantes explotan, la documentación sobre los programas de desarrollador y de empresa de Apple ofrece contexto sobre los perfiles de provisión (Apple Developer Enterprise Program).
Si crees que tu seed phrase ha sido comprometida, lo más prudente es mover los fondos a una nueva cartera cuyo backup nunca se haya expuesto en ningún sitio y, si usas hardware wallet, activar funciones avanzadas de protección como passphrases o cuentas protegidas adicionales. También conviene notificar el incidente al proveedor de la billetera y denunciar el fraude ante las autoridades locales y las plataformas donde encontraste la app.
En el fondo, estos ataques recuerdan una lección clásica de seguridad digital: las cadenas de confianza son tan fuertes como el eslabón más débil. Cuando una app maliciosa logra simular un servicio legítimo, la responsabilidad recae en parte en los mecanismos de detección y en la precaución del usuario, pero también en la necesidad de que las tiendas de apps y los desarrolladores refuercen controles y canales oficiales de distribución. Mantener la guardia y aplicar prácticas de higiene digital sigue siendo la mejor defensa.
Para más detalles técnicos y el seguimiento de esta campaña puede consultarse el informe de Kaspersky (análisis FakeWallet en Securelist) y la cobertura de incidentes relacionados en medios especializados como BleepingComputer.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...