Alerta en la App Store: Apple borra aplicación falsa de Ledger tras millonario robo en criptomonedas

Apple retiró de su tienda oficial una aplicación fraudulenta que se hacía pasar por el servicio de Ledger, luego de que una investigación vinculara su descarga con el robo de cerca de 10 millones de dólares en criptomonedas. El incidente vuelve a poner en cuestión la capacidad de las grandes plataformas digitales para detectar y frenar aplicaciones maliciosas que imitan servicios legítimos.

De acuerdo con los hallazgos del analista de blockchain ZachXBT, al menos 9,5 millones de dólares en activos digitales —incluyendo Bitcoin, Solana y Tron— fueron sustraídos entre el 7 y el 13 de abril. Las víctimas habrían descargado una app falsa que replicaba la interfaz de Ledger y que, bajo engaño, solicitaba información sensible como la frase semilla.

Apple confirmó que la aplicación ya fue eliminada de la App Store y que la cuenta del desarrollador responsable fue suspendida. Según explicó un portavoz a DL News, el software utilizaba una técnica conocida como bait-and-switch, en la que aparenta ofrecer un servicio legítimo para luego modificar su comportamiento y engañar al usuario.

¿Cómo operó el fraude?

El ataque no explotó vulnerabilidades técnicas en las billeteras, sino un factor más común: la ingeniería social. La aplicación imitaba el diseño y funcionamiento de Ledger, generando confianza en los usuarios. Una vez instalada, inducía a introducir la frase semilla, que actúa como la clave maestra de acceso a los fondos.

Al obtener esa información, los atacantes podían reconstruir la billetera en otro dispositivo y transferir los activos sin necesidad de acceder físicamente al hardware. En este tipo de esquemas, el control total de los fondos pasa a manos del atacante en cuestión de segundos.

La investigación identificó más de 50 posibles víctimas, lo que sugiere una operación coordinada. Además, se detectó que los fondos robados fueron movidos desde direcciones vinculadas al exchange KuCoin y posteriormente blanqueados mediante servicios de mezcla, dificultando su rastreo.

El impacto del caso

El episodio ganó notoriedad cuando el músico G. Love relató públicamente que perdió 5,9 bitcoins tras descargar la aplicación falsa. Según su testimonio, el incidente ocurrió cuando intentaba configurar su dispositivo en una nueva computadora.

“Perdí mi fondo de jubilación en un hack/estafa”, escribió el artista, quien reconoció haber sido engañado para introducir su frase semilla. Su caso ilustra cómo incluso usuarios con experiencia en el ecosistema pueden caer en este tipo de fraudes.

Los datos también muestran que las mayores pérdidas se concentraron en pocas víctimas. Tres usuarios habrían perdido en conjunto más de 7 millones de dólares, principalmente en stablecoins como USDC y USDT.

La respuesta de Apple

Tras el incidente, Apple defendió sus mecanismos de control dentro de la App Store. La compañía aseguró que durante 2024 rechazó más de 320.000 aplicaciones por considerarlas spam o copias, y que bloqueó más de 37.000 productos potencialmente fraudulentos.

Estas cifras buscan reforzar la idea de que el sistema de revisión sigue siendo una barrera efectiva. Sin embargo, el caso demuestra que algunos actores maliciosos logran superar estos filtros iniciales, especialmente cuando replican marcas reconocidas y aprovechan la confianza del usuario.

Hasta el momento, Ledger no ha emitido una respuesta pública detallada sobre el incidente, lo que deja abierta la discusión sobre el rol de las empresas del sector en la educación de sus usuarios.

Un problema recurrente en el ecosistema cripto

El fraude mediante aplicaciones falsas no es un fenómeno nuevo. En años recientes se han documentado múltiples casos en distintas plataformas, donde ciberdelincuentes replican interfaces y nombres de servicios legítimos para engañar a los usuarios.

Uno de los ejemplos más conocidos involucra al empresario Mark Cuban, quien perdió cerca de 900.000 dólares tras interactuar con una versión fraudulenta de una billetera digital. Estos antecedentes muestran que el problema afecta tanto a principiantes como a perfiles experimentados.

En el entorno de autocustodia, la seguridad depende en gran medida del usuario. A diferencia de los sistemas bancarios tradicionales, no existe una entidad que pueda revertir transacciones una vez que se ejecutan en la red.

Por ello, especialistas insisten en una regla básica: ninguna plataforma legítima solicita la frase semilla fuera de sus canales oficiales ni tras descargas no verificadas. Verificar siempre el desarrollador, acceder a enlaces oficiales y desconfiar de solicitudes urgentes son medidas clave para evitar este tipo de ataques.

El caso de la falsa app de Ledger reabre el debate sobre la responsabilidad compartida entre plataformas tecnológicas, desarrolladores y usuarios. En un ecosistema donde un solo error puede traducirse en pérdidas millonarias, la prevención sigue siendo la principal línea de defensa.