AI News CryptoTRADE THE NEWS
A black device in a green sealed pouch beside a

Estafas con cartas de wallets: el "engaño migratorio" roba…

By AI News Crypto Editorial Team9 min read

Las estafas de cartas de billeteras de hardware falsas utilizan el correo físico para hacerse pasar por Ledger, Trezor y otras marcas, luego presionan a los destinatarios para que realicen un "reemplazo de seguridad" o "actualización de firmware" que extrae su frase semilla. Una vez que esas 12, 18 o 24 palabras se filtran, los atacantes pueden recrear la billetera en otro lugar y mover fondos en transacciones que son típicamente irreversibles.

Puntos clave

  • Estas estafas son una trampa de "migración" en dos etapas: una carta o paquete físico fabrica autoridad, luego un paso de recuperación o importación forzada captura la frase semilla..
  • El atacante no necesita romper la criptografía de una billetera de hardware. Solo necesita la frase semilla, que las empresas de billeteras legítimas no necesitan y no pedirán.
  • El embalaje "sellado" y las cartas que parecen de marca no son señales de seguridad. La procedencia y la verificación independiente son.
  • Si los fondos se mueven después de una filtración de clave, la recuperación suele ser poco probable incluso cuando los investigadores pueden rastrear el rastro, por lo que la prevención es mejor que la respuesta.

Cómo funcionan las estafas de cartas de billeteras falsas

La estafa comienza con correo físico porque elude los filtros mentales de spam que las personas utilizan para el correo electrónico y los mensajes directos. Una carta en papel de marca, a veces acompañada de un dispositivo no solicitado, crea la sensación de que un fabricante conocido está llevando a cabo una remediación oficial.

Por eso, este patrón a menudo se describe como phishing físico: el método de entrega es fuera de línea, pero la carga útil sigue siendo un flujo de trabajo de phishing.

La estructura de la estafa es consistente en las variantes de "carta falsa de Ledger" y "estafa de carta de Trezor". La carta afirma que hay una violación, explotación o un problema de seguridad urgente y enmarca al destinatario como expuesto en este momento. PCMag documentó una versión donde los estafadores enviaron hardware falso de Ledger con una carta que afirmaba que el dispositivo existente de la víctima no era seguro.

Binance describió más tarde una configuración similar: un paquete no solicitado que contenía un dispositivo Ledger y una carta que afirmaba que se había enviado debido a una violación de datos de Ledger, instruyendo al usuario a reemplazar su dispositivo.

A partir de ahí, la carta canaliza a la víctima hacia un paso de migración. Las instrucciones generalmente apuntan a una URL o un código QR de estafa de billetera que lleva a un sitio similar o solicita la descarga de una aplicación. Se le dice a la víctima que "verifique", "recupere" o "importe" para asegurar los fondos. Ese paso es todo el objetivo.

Si la víctima escribe la frase semilla en cualquier cosa conectada a internet, la compra de la billetera de hardware se ha convertido en un evento de extracción de claves.

Por eso, la categoría más amplia de estafas de billeteras de criptomonedas y cómo evitarlas sigue volviendo a una regla. La estafa colapsa si la verificación ocurre a través de canales oficiales encontrados de manera independiente y la frase semilla nunca sale del propio proceso de respaldo fuera de línea de la víctima.

El mecanismo detrás del robo

Una billetera de hardware es un dispositivo de firma, no una bóveda mágica. Está diseñada para mantener las claves privadas fuera de una computadora conectada a internet mientras aún permite que las transacciones sean firmadas. El punto débil que se apunta con el correo de phishing de billetera de hardware no es la criptografía del dispositivo. Es el camino de recuperación.

El camino de recuperación es la frase semilla: típicamente 12, 18 o 24 palabras que controlan los fondos. La BitcoinEl manual es explícito en dos puntos que importan aquí. Primero, esas palabras funcionan como la clave de la billetera. Segundo, las empresas de billeteras legítimas no las necesitan y no las pedirán. Por eso la narrativa de "reemplaza tu dispositivo" es tan efectiva. Introduce una solicitud por el único secreto que importa en un flujo de trabajo que suena como soporte al cliente.

Una vez que un atacante tiene la frase semilla, el resto es sencillo. Pueden restaurar la billetera en su propio dispositivo o billetera de software y moveractivosfuera. La billetera de hardware original de la víctima puede seguir estando físicamente en mano y aún ser "segura" en el sentido estricto, mientras que los fondos ya se han ido porque el atacante está operando desde un estado de billetera clonada.

El embalaje "sellado" no soluciona esto. Cointelegraph describió un caso en el que un usuario confió en una billetera de hardware sellada adquirida a través de TikTok y perdió 6.9 millones de dólares. El extracto no detalla completamente si la compromisión provino de una semilla pre-generada, un flujo de configuración manipulado o un paquete re-sellado, pero la lección es clara: el embalaje no es una garantía criptográfica de procedencia.

Cuando las claves se filtran y los fondos se mueven, las opciones del defensor se reducen rápidamente. Cointelegraph señala que SlowMist podría rastrear los fondos robados, pero describió pocas esperanzas de recuperación después de lafiltración de claves de la billetera fría.Esa es la asimetría que estos fraudes explotan.

Ejemplos del mundo real y cebos comunes

La capa de persuasión es notablemente repetitiva a través de los canales. El Manual de Bitcoin describe campañas de phishing que se apoyan en frases de urgencia como “actualización de seguridad”, “activos en proceso de actualización” y “actividad sospechosa”, combinadas con suplantación de marca. La versión en carta física utiliza el mismo guion, solo que entregada en un sobre.

Tres ejemplos documentados mapean el patrón:

1. 20 de junio de 2021: PCMag informó que estafadores enviaban dispositivos Ledger falsos con una carta que afirmaba que el dispositivo existente del destinatario era inseguro. La carta es el accesorio de autoridad, y el dispositivo es el amplificador de confianza. 2.

24 de enero de 2024: El Manual de Bitcoin describe un incidente de correo electrónico de suplantación de Trezor vinculado a una violación de un proveedor externo y cita a Blockaid reportando pérdidas que superan los $600,000 de víctimas que respondieron. Esto no es una carta, pero muestra cuán efectivas pueden ser las comunicaciones de marca “con apariencia oficial” incluso cuando provienen de un dominio legítimo. 3.

12 de agosto de 2025: Cointelegraph relató la pérdida de $6.9 millones de la “billetera sellada” de TikTok y señaló a TikTok y plataformas sociales similares como lugares comunes para la venta de billeteras de hardware comprometidas y otras estafas.

Las trampas convergen en una acción: hacer que la víctima realice una recuperación o importación que no inició. Por eso los códigos QR aparecen tan a menudo. Un código QR elimina la fricción de escribir una URL, y hace que la transición de papel a teléfono se sienta como un paso normal de incorporación.

Algunos flujos también intentan escalar de la captura de semillas al phishing de firmas, donde se empuja a la víctima a aprobar una transacción o mensaje que otorga acceso o permisos. La condición de victoria central de la estafa de carta sigue siendo la frase semilla, pero se utilizan los mismos trucos de urgencia y autoridad para obtener firmas cuando el atacante no puede obtener las palabras.

Cómo identificarlos y evitarlos

La defensa no es “ser más inteligente”. Es eliminar las dos ventajas de la estafa: el tiempo y el canal. La urgencia es la ventaja, y el código QR de la carta oenlacees la trampilla.

Un proceso de decisión simple descompone la mayoría de las estafas de cartas de billeteras de hardware falsas:

1. Detenga el flujo de trabajo de inmediato. No escanee el código QR, no haga clic en el enlace y no conecte un dispositivo no solicitado. 2. Verifique a través de canales independientes. Use un marcador conocido o navegue manualmente al sitio oficial del fabricante, luego busque un aviso de seguridad allí. No use los datos de contacto impresos en la carta. 3.

Trate cualquier solicitud para ingresar una frase semilla en un sitio web o aplicación como hostil. La regla del Manual de Bitcoin es la que importa: las empresas de billeteras legítimas no la necesitan y no la pedirán. 4. Separe “reemplazo de dispositivo” de “divulgación de clave”. Un nuevo dispositivo se puede configurar sin nunca escribir la semilla en una página web.

La única vez que se debe usar la frase semilla es en una recuperación que el propietario inicia, utilizando software de confianza, no una “actualización de seguridad” iniciada por otra persona.

Aquí es donde las mejores prácticas de billeteras de hardware dejan de ser una lista de verificación genérica y se convierten en una postura. Asuma que los dispositivos entrantes son no confiables hasta que se demuestre lo contrario, y asuma que las instrucciones entrantes son adversariales hasta que se verifiquen.

El caso de TikTok es la etiqueta de advertencia clara para la procedencia. Cointelegraph describe las plataformas de redes sociales, incluyendo TikTok, como lugares comunes para estafas y ventas de billeteras de hardware comprometidas. "Sellado" es una señal de marketing, no una prueba de seguridad.

Cerca del final de cualquier conversación sobre prevención, el marco más amplio importa: hábitos de prevención de estafas de billetera. La misma disciplina de verificación que bloquea una carta falsa de Ledger también bloquea dominios similares, descargas de aplicaciones maliciosas e hilos de soporte suplantados.

Si ya interactuó con uno

El daño depende de qué paso se tomó. Abrir una carta no es el punto de fallo. El punto de fallo es entregar secretos o migrar bajo las instrucciones del atacante.

Triage la situación en orden:

1. Si la frase semilla fue escrita en cualquier sitio o aplicación, trátela como comprometida. El modelo del Manual de Bitcoin es implacable aquí: quien tenga las 12, 18 o 24 palabras controla los fondos. 2. Si se firmó una transacción o se aprobó un mensaje bajo presión, asuma que el atacante estaba intentando phishing de firma y revise lo que se autorizó. El objetivo en estos flujos es convertir un momento de pánico en un permiso duradero. 3.

Si los fondos ya se han movido, espere una baja probabilidad de recuperación. El ejemplo de Cointelegraph señala que SlowMist podría rastrear los fondos robados, pero describió pocas esperanzas de recuperación después de la filtración de la clave.

El objetivo inmediato después de una exposición sospechada es detener más pérdidas, no discutir con la carta. Eso significa detener cualquier paso de "actualización" adicional, verificar a través de canales oficiales encontrados de manera independiente y tratar cualquier nuevo mensaje entrante como parte de la misma campaña.

La incómoda verdad es que la respuesta suele ser peor que la prevención porque las transferencias de criptomonedas son generalmente irreversibles una vez confirmadas. Esa es la razón por la que estas estafas están construidas en torno a un momento irreversible: sacar la frase semilla del dispositivo y fuera del control del propietario.

La Perspectiva

He visto a personas tratar un sobre de marca como si fuera una actualización de seguridad de Apple. Ese reflejo es exactamente lo que las estafas de cartas de billeteras de hardware falsas están comprando con el franqueo. La carta no es el hackeo. El hackeo es el flujo de trabajo de "migración" forzada que convierte una billetera de hardware en un evento de extracción de frase semilla.

La concepción errónea más costosa es pensar que el empaque es el límite de seguridad. La pérdida de $6.9 millones de Cointelegraph en TikTok por la "billetera sellada" es el recordatorio de que la procedencia supera al plástico retráctil. Detén el reloj, verifica desde tus propios marcadores y mantén la frase semilla en su lugar. Si esas palabras nunca se escriben en un sitio o aplicación, la estafa no tiene nada que robar.

Fuentes

Frequently Asked Questions

¿Qué debo hacer si recibo una carta diciendo que mi Ledger o Trezor está comprometido?

Trátalo como hostil por defecto y detén el flujo de trabajo. No escanees ningún código QR ni uses ningún enlace o número de teléfono impreso en la carta. Verifica navegando al sitio oficial del fabricante a través de tu propio marcador o escribiendo manualmente y comprobando si hay un aviso de seguridad coincidente.

¿Alguna vez los equipos de soporte de Ledger o Trezor piden tu frase semilla?

No. La frase semilla suele ser de 12, 18 o 24 palabras y funciona como la clave de los fondos, y las empresas de billeteras legítimas no la necesitan y no la pedirán. Cualquier solicitud para ingresarla en un sitio web o aplicación es una señal de alerta.

¿Es segura una billetera de hardware sellada si parece no haber sido abierta?

No necesariamente. Cointelegraph describió un caso donde confiar en una billetera de hardware sellada adquirida a través de TikTok llevó a una pérdida de 6.9 millones de dólares. El embalaje no es una prueba criptográfica de procedencia, especialmente cuando el dispositivo proviene de redes sociales o mercados.

¿Cómo se conectan las estafas de billeteras con código QR a las cartas de billeteras de hardware?

El código QR es a menudo el puente de una carta física a un sitio de phishing o descarga maliciosa. Reduce la fricción y hace que el flujo de “reemplazo/actualización” parezca oficial. El objetivo final suele ser que reveles tu frase semilla o apruebes una acción insegura.

Si ingresé mi frase semilla en un sitio web, ¿puedo recuperar mi cripto?

La recuperación a menudo es poco probable una vez que las claves se filtran y los fondos se mueven. Cointelegraph señala que SlowMist podría rastrear fondos robados en un caso, pero describió pocas esperanzas de recuperación después de la filtración de la clave de la billetera fría. La prioridad se convierte en detener más pérdidas y tratar la frase semilla como comprometida.