Arturo TrenardApple Elimina Aplicación Falsa de Ledger en su App Store Tras Robo de $9.5 Millones a Inversores
Un análisis on-chain revela que más de 50 víctimas cayeron en la estafa de “cebo y cambio”, destacando los riesgos en plataformas de terceros.
Apple confirmó este martes la eliminación de una aplicación maliciosa que suplantaba a la billetera de autocustodia Ledger Live de su App Store, tras una investigación que reveló pérdidas por aproximadamente 9.5 millones de dólares en criptoactivos. El fraude, que afectó a más de 50 inversores entre el 7 y el 13 de abril de 2026, fue ejecutado mediante una sofisticada estrategia de “cebo y cambio” para robar las frases semilla de las víctimas. El desarrollador responsable, identificado como “SAS Software Company”, ha sido expulsado de la plataforma.
El Mecanismo del Fraude y la Respuesta de Apple
La estafa operó bajo la táctica conocida como bait-and-switch (cebo y cambio). Según la investigación, los estafadores primero obtuvieron la aprobación de Apple para una aplicación que parecía legítima. Una vez publicada en la App Store, actualizaron su contenido, cambiando las capturas de pantalla y la descripción para imitar fielmente la aplicación oficial de Ledger Live.
El objetivo final era engañar a los usuarios para que ingresaran sus frases semilla de recuperación de 12 o 24 palabras, lo que otorga a los atacantes control total sobre los fondos asociados.
En respuesta a las consultas, Apple emitió una declaración a Cointelegraph confirmando las acciones tomadas.
“La aplicación falsa fue removida y el desarrollador ‘SAS Software Company’ fue dado de baja”,
señaló la compañía, añadiendo que identificaron que el desarrollador había violado sus estrictas políticas contra las prácticas de bait-and-switch.
El Alcance del Daño: Cifras y Víctimas
El investigador independiente de blockchain ZachXBT fue clave en exponer la magnitud del robo. Su análisis on-chain determinó que la estafa estuvo activa durante una semana, entre el 7 y el 13 de abril de 2026, resultando en pérdidas de alrededor de $9.5 millones para más de 50 víctimas.
Entre las pérdidas individuales más cuantiosas se encuentran una de 3.23 millones de dólares en USDT, otra de 2 millones en USDC, y una tercera de 1.95 millones de dólares en una combinación de Bitcoin (BTC), Ethereum (ETH) y ETH apostado (staked). El músico Garrett “G. Love” Dutton se reveló públicamente como una de las víctimas, perdiendo aproximadamente $420,000 en Bitcoin tras descargar la aplicación fraudulenta.
Un Problema Recurrente en las Tiendas de Apps
Este incidente pone de relieve un desafío de seguridad persistente. Aunque Apple implementa procesos de revisión, sus propias estadísticas indican la escala del problema. Solo en 2024, la compañía reportó haber rechazado o bloqueado más de 374,000 aplicaciones por ser identificadas como spam, copias o potencialmente fraudulentas. De ese total, más de 17,000 aplicaciones fueron específicamente bloqueadas por emplear tácticas de bait-and-switch.
Los antecedentes históricos muestran que este no es un fenómeno aislado. En 2013, un clon no autorizado del juego “Pokémon Yellow” logró colarse en la App Store. Más recientemente, en 2023, estafas similares que eludieron el proceso de revisión de Microsoft Store resultaron en el robo de cerca de $600,000 en criptomonedas. Estos casos demuestran que los actores maliciosos continúan refinando sus métodos para explotar las plataformas de distribución.
Lecciones y Recomendaciones de Seguridad
El caso subraya la necesidad crítica de que los usuarios mantengan una postura de verificación proactiva. Las tiendas de aplicaciones de terceros, a pesar de sus revisiones, no son infalibles. La recomendación principal de seguridad es verificar siempre la autenticidad de una aplicación de criptomonedas visitando exclusivamente el sitio web oficial del proyecto (en este caso, Ledger.com) y utilizando únicamente los enlaces de descarga proporcionados allí.
La advertencia fundamental sigue siendo la misma: nunca se debe compartir la frase semilla de recuperación con ninguna aplicación, servicio o persona. Una aplicación legítima de autocustodia nunca solicitará esta información. Como señales de alerta, los inversores deben revisar minuciosamente la información del desarrollador, desconfiar de aplicaciones con pocas reseñas o comentarios genéricos, y ser cautelosos con cualquier software que solicite información sensible de una manera no estándar.
La eliminación de la falsa aplicación de Ledger por parte de Apple subraya la sofisticación persistente de los ciberdelincuentes en el ecosistema cripto. Aunque las plataformas implementan medidas de revisión, este incidente sirve como un recordatorio crucial de que la seguridad última recae en el usuario. La verificación meticulosa de las fuentes de descarga y la protección absoluta de las frases semilla siguen siendo los pilares fundamentales para la autocustodia segura de activos digitales.
