Actores de amenazas están enviando cartas físicas haciéndose pasar por Trezor y Ledger para engañar a usuarios de billeteras de hardware de criptomonedas y que revelen sus frases de recuperación. Las cartas crean urgencia al afirmar que se requieren verificaciones obligatorias para evitar perder el acceso a la billetera. Las víctimas que escanean los códigos QR incluidos son dirigidas a sitios de phishing que roban su información de billetera.
Ciberdelincuentes han lanzado una campaña de phishing utilizando correo postal para dirigirse a usuarios de billeteras de hardware Trezor y Ledger. Las cartas, impresas en papel timbrado oficial falso, pretenden provenir de los equipos de seguridad y cumplimiento de las empresas. Advierten a los destinatarios sobre procedimientos obligatorios próximos, como una «Verificación de autenticación» para Trezor o una «Verificación de transacciones» para Ledger, con plazos del 15 de febrero de 2026 y del 15 de octubre de 2025, respectivamente. nnUna de estas cartas que imita a Trezor, recibida por el experto en ciberseguridad Dmitry Smilyanets, dice: «Para evitar cualquier interrupción en el acceso a su Trezor Suite, escanee el código QR con su dispositivo móvil y siga las instrucciones en nuestro sitio web para activar la Verificación de autenticación antes del 15 de febrero de 2026». Añade que incluso si los usuarios ya han activado la función en su dispositivo, se necesita una acción adicional para la sincronización completa. nnUna carta similar de Ledger, compartida en X, insta a los usuarios a completar la verificación para evitar interrupciones. Los códigos QR enlazan a sitios web fraudulentos, incluidos trezor.authentication-check[.]io y ledger.setuptransactioncheck[.]com. Estos sitios replican las páginas oficiales de configuración y presionan a los usuarios para que ingresen sus frases de recuperación de 12, 20 o 24 palabras bajo la apariencia de verificar la propiedad del dispositivo. nnUna vez enviadas, las frases se transmiten a una API controlada por el atacante en trezor.authentication-check[.]io/black/api/send.php, permitiendo a los ladrones acceder y vaciar las billeteras de las víctimas. Al momento de la publicación, el sitio de Ledger estaba fuera de línea, mientras que el de Trezor fue marcado por Cloudflare como phishing. nnEl ataque dirigido puede provenir de filtraciones de datos pasadas en ambas empresas, que expusieron detalles de contacto de clientes. Trezor y Ledger enfatizan que nunca solicitan frases de recuperación por correo electrónico, sitio web o correo postal. Las frases de recuperación, que representan claves privadas, otorgan control total de la billetera y solo deben ingresarse en el propio dispositivo de hardware. nnEsta táctica de phishing físico es poco común, pero recuerda incidentes anteriores, incluidos dispositivos Ledger modificados enviados por correo en 2021 y una campaña similar contra usuarios de Ledger en abril.
