Arturo TrenardAplicación Falsa de Ledger Live en App Store de Apple Roba $9.5 Millones a Más de 50 Víctimas
Una aplicación fraudulenta que imitaba la billetera de hardware Ledger Live se infiltró en la App Store de Apple, resultando en el robo de aproximadamente $9.5 millones en criptoactivos de más de 50 usuarios entre el 7 y el 13 de abril de 2026. Según la investigación del experto onchain ZachXBT, los fondos fueron posteriormente lavados a través del exchange KuCoin. El incidente ha puesto en tela de juicio los procesos de revisión de Apple y ha llevado a advertencias urgentes por parte de Ledger sobre la protección de las frases semilla.
Los Hallazgos de ZachXBT: Alcance y Método del Ataque
La investigación, publicada por ZachXBT en un post de Telegram, detalla la magnitud y el modus operandi de una estafa sofisticada que explotó la confianza de los usuarios en una plataforma oficial.
Magnitud y Cronología del Fraude
El ataque se desarrolló durante una semana, desde el 7 hasta el 13 de abril de 2026, fecha en la que Apple finalmente removió la aplicación falsa de su tienda. En ese período, los atacantes lograron drenar cerca de $9.5 millones de más de medio centenar de víctimas. Los usuarios, al descargar e interactuar con la aplicación maliciosa que se hacía pasar por Ledger Live, ingresaron inadvertidamente su frase semilla de recuperación, entregando así el control total de sus fondos a los estafadores.
Blockchains Afectadas y Pérdidas Destacadas
El fraude no se limitó a una sola red. Los activos fueron robados de carteras en múltiples blockchains, incluyendo Bitcoin, Solana, Tron, XRP Ledger y redes compatibles con la Máquina Virtual de Ethereum (EVM). Entre las pérdidas individuales más cuantiosas identificadas por ZachXBT se encuentran un robo de $3.23 millones en USDT el 9 de abril, otro de $2 millones en USDC el 11 de abril, y una tercera víctima que perdió $1.95 millones en una combinación de Bitcoin (BTC), Ether (ETH) y staked Ether (stETH).
La Ruta del Lavado de Activos
Tras el robo, los ciberdelincuentes iniciaron un complejo proceso para blanquear los fondos. Según el investigador, el dinero fue canalizado a través de más de 150 direcciones de depósito en el exchange de criptomonedas KuCoin. ZachXBT también mencionó en su reporte que estas direcciones estaban vinculadas a un presunto servicio de mezcla centralizado conocido como “AudiA6”, utilizado para dificultar el rastreo de las transacciones.
Reacciones y Advertencias de la Industria
El caso ha generado una respuesta inmediata por parte de la empresa suplantada y ha dejado en evidencia el silencio de las plataformas involucradas en la distribución y el lavado.
La Postura de Ledger y la Advertencia Crucial
Ante la noticia, Charles Guillemet, Director de Tecnología (CTO) de Ledger, emitió una declaración a Cointelegraph reiterando una advertencia de seguridad fundamental.
“Ledger nunca te pedirá tu frase de recuperación de 24 palabras”, afirmó Guillemet.
El ejecutivo subrayó la naturaleza crítica de este principio: “No puedes confiar en el entorno de software que te rodea… los atacantes operan donde existe la oportunidad”. Su mensaje reforzó que ninguna aplicación, navegador o tienda de aplicaciones debe considerarse inherentemente segura para manejar datos tan sensibles como una frase semilla.
Silencio de Apple y KuCoin y Cuestionamientos Legales
Hasta el cierre de esta publicación, ni Apple, dueña de la App Store donde se alojó la aplicación falsa, ni KuCoin, el exchange utilizado para el lavado, habían respondido a las solicitudes de comentario de Cointelegraph. Este silencio ocurre en un contexto donde ZachXBT ha sugerido que el fallo en los procesos de revisión de Apple podría sentar las bases para una posible acción legal colectiva en su contra. El investigador también contextualizó el incidente recordando los recientes problemas regulatorios de KuCoin en la Unión Europea, que llevaron a una prohibición de aceptar nuevos usuarios en febrero de 2026.
Contexto y Casos Similares Recientes
Este ataque no es un hecho aislado, sino parte de una tendencia preocupante que aprovecha la reputación de las tiendas de aplicaciones oficiales.
Un Patrón Preocupante en la App Store
El incidente guarda un paralelismo directo con otro caso reportado apenas el lunes anterior por el músico Garrett Dutton, conocido como “G. Love”. Dutton perdió aproximadamente $420,000 en Bitcoin tras descargar una aplicación falsa similar desde la App Store. Estos eventos consecutivos indican una táctica recurrente y efectiva por parte de los ciberdelincuentes.
El Panorama de la Seguridad Cripto en 2026
El éxito de estas estafas se enmarca en un panorama de seguridad cripto donde las pérdidas siguen siendo significativas. Reportes del sector, como uno citado de la firma Hacken, indican que solo en el primer trimestre de 2026, el ecosistema Web3 perdió alrededor de $482 millones debido a hacks y esquemas de phishing. Estos datos refuerzan que las estafas de suplantación de identidad (phishing) y las aplicaciones falsas continúan siendo vectores de ataque principales.
Conclusión y Lecciones para los Usuarios
El caso de la aplicación falsa de Ledger Live subraya una vulnerabilidad crítica: la confianza mal depositada en tiendas de aplicaciones supuestamente seguras. El ataque, que resultó en una pérdida colectiva de $9.5 millones y utilizó a KuCoin como vehículo para el lavado de fondos, deja una lección inequívoca para todos los usuarios de criptoactivos.
La advertencia de Ledger es la guía principal: nunca se debe introducir la frase semilla o la clave privada en ninguna aplicación, sitio web o formulario, sin importar cuán legítima parezca la fuente. Este incidente recuerda que, en el mundo de la auto-custodia criptográfica, la responsabilidad última de la seguridad recae en el individuo.
