Aplicación falsa de Ledger en el App Store: cómo los estafadores robaron $9.5 millones y cómo proteger tu cartera

Aplicación falsa de Ledger en el App Store: cómo los estafadores robaron $9.5 millones y cómo proteger tu cartera

Garrett Dutton llevaba más de treinta años tocando el blues bajo el seudónimo G. Love. En ese tiempo acumuló seguidores en todo el mundo y guardó algo para su vejez – 5.9 bitcoins, aproximadamente $420,000 al tipo de cambio de abril de 2026. Llamaba a estas monedas su fondo de pensiones. En abril descargó una aplicación del App Store, introdujo la frase semilla – y en cuestión de minutos perdió todos sus ahorros.

La historia de Dutton llegó a los titulares no por ser una celebridad, sino porque no fue el único. El investigador de blockchain ZachXBT contabilizó más de 50 afectados que en total perdieron $9.5 millones. Los fondos salieron de carteras en Bitcoin, Tron y Solana – y acabaron en direcciones vinculadas a un mezclador que utiliza la plataforma KuCoin.

No es un rincón oscuro de internet. Es el App Store oficial de Apple.

Qué ocurrió: un Ledger Live falso en la tienda de Apple

Ledger es una empresa francesa que fabrica algunos de los monederos de hardware más populares del mundo. La aplicación oficial Ledger Live está pensada para gestionar los dispositivos Ledger: consultar el saldo, enviar transacciones y actualizar el firmware. La aplicación es gratuita y su versión oficial está disponible en el sitio web de la propia compañía.

Los estafadores crearon un clon – una copia visualmente idéntica de Ledger Live – y de algún modo superaron la moderación de Apple. La aplicación apareció en el Mac App Store y permaneció allí el tiempo suficiente para sumar decenas de víctimas. Según ZachXBT, la campaña duró aproximadamente una semana.

El esquema funcionaba mediante phishing de la frase semilla. La aplicación tenía el aspecto del Ledger Live original y pedía a los usuarios que introdujeran su frase mnemónica de 24 palabras – supuestamente para «sincronizar» o «restaurar el acceso». En cuanto la víctima escribía las palabras, los atacantes obtenían el control total de la cartera y retiraban los fondos de inmediato.

«Garrett Dutton's 5.9 Bitcoin has already been sent to deposit addresses associated with KuCoin» – ZachXBT, abril 2026

Apple reaccionó después del escándalo público: eliminó la aplicación y expulsó al desarrollador del programa App Store. En un comentario para Cointelegraph, la empresa confirmó la eliminación. Sin embargo, la pregunta de por qué la falsificación superó la revisión y cuánto tiempo tardó la reacción quedó sin respuesta clara.

Por qué la moderación del App Store no detuvo a los estafadores

Apple lleva años posicionando su tienda como un ecosistema seguro – a diferencia de Android, donde las aplicaciones pueden instalarse desde fuentes externas. Precisamente esa confianza jugó en contra de los usuarios: muchos no dudaron de la autenticidad de la aplicación porque la veían en la tienda oficial.

Cómo superó exactamente la revisión la aplicación falsa aún no está del todo claro. La moderación del App Store combina controles automáticos con revisión manual, pero se centra principalmente en la seguridad del código y no en las intenciones del desarrollador. Una aplicación que simplemente muestra un formulario para introducir palabras y las envía a un servidor puede técnicamente no contener «código malicioso» en el sentido clásico.

Además, los estafadores pudieron haber utilizado varias técnicas para eludir la revisión:

• Subir primero una versión inofensiva de la aplicación y luego actualizar su funcionalidad tras la aprobación
• Usar un nombre similar al original pero que formalmente no infrinja las normas sobre marcas registradas
• Apuntar a una audiencia pequeña para no llamar la atención con quejas de usuarios

ZachXBT planteó públicamente la cuestión de la responsabilidad de Apple. Si la plataforma cobra una comisión a los desarrolladores y posiciona su moderación como protección para los usuarios, ¿asume alguna responsabilidad por las pérdidas que esa moderación no pudo evitar? No hay respuesta legal por el momento, pero el daño reputacional es evidente.

Adónde fue el dinero: Bitcoin, Tron, Solana y el rastro del mezclador

Merece especial atención la forma en que los estafadores retiraron los fondos. ZachXBT siguió el rastro del dinero y determinó que los activos robados – en Bitcoin, Tron y Solana – pasaron por un mezclador vinculado a la plataforma KuCoin. Este es un esquema habitual para la anonimización rápida: los fondos se dividen en pequeñas cantidades, se mezclan a través de múltiples direcciones y luego se trasladan a una plataforma donde resulta más difícil rastrearlos.

La propia plataforma KuCoin no tiene la culpa en este caso – los atacantes utilizaron direcciones asociadas a ella, no la plataforma en sí. Pero este rastro es importante: demuestra que los criminales contaban con una infraestructura preparada de antemano para el lavado, no con improvisación. No son hackers ocasionales, sino un grupo organizado con un plan de acción claro.

Por eso la verificación de direcciones mediante herramientas AML cobra tanta importancia – especialmente al recibir fondos de fuentes desconocidas. Si una dirección ya ha aparecido en esquemas de lavado, un buen escáner AML lo detectará. En nuestro portal disponemos de un verificador AML para eso – comprueba direcciones en Bitcoin y otras blockchains contra bases de datos de carteras fraudulentas conocidas y fuentes de alto riesgo.

El principal error de las víctimas: la frase semilla nunca se introduce en una aplicación

Suena obvio, pero es un error que se repite una y otra vez – incluso entre usuarios con experiencia. La frase semilla (frase mnemónica de 12 o 24 palabras) es la llave maestra de la cartera. Quien tenga esas palabras, controla las monedas. Sin excepciones.

La aplicación auténtica Ledger Live nunca pide introducir la frase semilla. Nunca. Este es un principio fundamental del funcionamiento de los monederos de hardware: las claves privadas nunca salen del dispositivo, y la frase semilla solo se necesita para la recuperación física de la cartera en un nuevo dispositivo – y se introduce en el propio dispositivo, no en un programa del ordenador.

Si una aplicación pide la frase semilla – es un fraude. Da igual cómo se vea ni dónde se haya descargado. Sin excepciones.

Lo que hay que recordar sobre la frase semilla

• Nunca introducir la frase semilla en software del ordenador o del teléfono
• Nunca fotografiarla ni guardarla en formato digital
• Nunca compartirla con nadie – ni siquiera con el soporte técnico
• Conservarla solo en papel o en un soporte metálico en un lugar seguro

Cómo los estafadores elegían a sus víctimas

Los monederos de hardware los usan personas que ya entienden algo de criptomonedas. No son principiantes que compraron sus primeros $100 en una plataforma – son titulares que eligieron conscientemente el almacenamiento en frío para proteger cantidades significativas. Por eso el importe medio de las víctimas resultó tan elevado: la suma total de pérdidas de $9.5 millones repartida entre más de 50 afectados supone casi $190,000 por persona de media.

Los estafadores apuntaron donde estaba el dinero. Sabían que los usuarios de Ledger no son personas al azar. Y sabían que la confianza en el ecosistema de Apple crea una falsa sensación de seguridad.

G. Love probablemente pensaba que, al usar un monedero de hardware y descargar la aplicación desde la tienda oficial, estaba a salvo. Es una trampa típica: la persona toma la decisión correcta (monedero de hardware), pero luego comete un error crítico en el último paso.

La pregunta a Apple: quién asume la responsabilidad

Tras las publicaciones de ZachXBT y la oleada de cobertura mediática, Apple retiró rápidamente la aplicación y cerró la cuenta del desarrollador. Pero eso no responde a la pregunta sistémica.

El App Store no es simplemente un catálogo de aplicaciones. Es un ecosistema cerrado por cuyo acceso Apple cobra el 30% de los ingresos de los desarrolladores y una cuota anual de membresía. La compañía vende la confianza como producto. El eslogan «We review every app» no es solo marketing – es una promesa de seguridad.

Cuando esa promesa se incumple y los usuarios pierden dinero real, surge una pregunta lógica: ¿puede un afectado reclamar una compensación a Apple? Por ahora – casi con toda seguridad no. Las condiciones de uso del App Store eximen a la empresa de responsabilidad por el contenido de aplicaciones de terceros. Pero la presión regulatoria sobre las plataformas en materia de responsabilidad por el contenido crece en todo el mundo, y este incidente es un argumento más para quienes consideran que las grandes plataformas deben asumir mayor responsabilidad.

ZachXBT preguntó directamente: ¿es Apple responsable de los $9.5 millones robados? No obtuvo respuesta.

No es la primera vez: historia del phishing a través de tiendas de aplicaciones

El caso de Ledger no es único. A lo largo de varios años han aparecido periódicamente en el App Store y Google Play versiones falsas de carteras de criptomonedas populares y aplicaciones de gestión de activos. La moderación las detecta – pero no siempre con rapidez, y no siempre antes de que los usuarios resulten perjudicados.

En 2021 ocurrió algo similar con una aplicación falsa de Trezor – otro fabricante popular de monederos de hardware. En 2023 se registraron casos con aplicaciones falsas de MetaMask y Trust Wallet. Cada vez el esquema es prácticamente el mismo: una copia visual convincente, una solicitud de introducir la frase semilla o la clave privada, y una retirada inmediata de los fondos.

El sector cripto reacciona de distintas maneras. Ledger advierte regularmente a sus usuarios: la aplicación debe descargarse únicamente desde el sitio oficial ledger.com, y no desde las tiendas de aplicaciones, donde el control es más laxo. Pero la mayoría de las personas no lo sabe – o no le da importancia cuando ve un conveniente botón de «Instalar» en una interfaz familiar.

Cómo verificar que se usa la aplicación auténtica

Pasos concretos para quienes usan monederos de hardware o planean usarlos:

Para usuarios de Ledger

• Descargar Ledger Live únicamente desde el sitio oficial ledger.com – y en ningún otro lugar
• Verificar la firma digital del instalador si se descarga en Windows o Linux
• No instalar Ledger Live desde el App Store ni Google Play – oficialmente la empresa recomienda el sitio web
• Consultar regularmente los canales oficiales de Ledger para estar al tanto de alertas sobre falsificaciones

Normas generales de seguridad para cualquier cartera de criptomonedas

• La frase semilla nunca se introduce en software
• Antes de instalar cualquier aplicación relacionada con criptomonedas, verificar al desarrollador: nombre, fecha de publicación y número de reseñas
• Desconfiar de aplicaciones con pocas reseñas o fecha de publicación reciente
• Usar un dispositivo exclusivo para operar con cantidades grandes
• Verificar regularmente las direcciones contra bases de datos de carteras fraudulentas

Herramientas que ayudan a protegerse

Hemos reunido varias herramientas que contribuyen a operar con criptomonedas de forma más segura – y no solo en el contexto de este incidente.

Verificación AML de direcciones. Antes de aceptar una transferencia de una fuente desconocida o enviar fondos a una nueva dirección, conviene revisar su historial. Nuestro verificador AML analiza direcciones en Bitcoin, Ethereum, Tron y otras blockchains y muestra si la dirección está vinculada a esquemas fraudulentos conocidos, mezcladores o listas de sanciones. Precisamente este tipo de herramienta habría permitido identificar las direcciones a las que fueron a parar los fondos de las víctimas del Ledger falso – aunque en este caso ya eran los destinatarios finales, no los remitentes.

Comparativa de plataformas. Parte de los afectados probablemente guardaba activos en carteras calientes y utilizaba plataformas para gestionar su cartera. Elegir una plataforma fiable también es un elemento de seguridad. En nuestra sección de análisis de plataformas hemos reunido evaluaciones actualizadas de las principales, teniendo en cuenta su política de seguridad, fondos de seguros e historial de incidentes.

Gestión de cartera. Distribuir los activos entre distintas carteras y plataformas reduce los riesgos. Si todo está en un solo lugar, un único error puede costarlo todo. Nuestro rastreador de cartera permite seguir los activos en distintas direcciones y plataformas desde una sola interfaz, sin ceder las claves privadas.

Por qué los monederos de hardware siguen siendo la mejor opción

La historia del Ledger falso puede dar la impresión de que los monederos de hardware no son fiables. No es así. El propio monedero de hardware – el dispositivo – no fue comprometido. Las claves privadas de G. Love no salieron de su Ledger Nano. Perdió el dinero porque introdujo la frase semilla en una aplicación de terceros – es decir, entregó las llaves a los estafadores él mismo.

El monedero de hardware funciona precisamente porque guarda las claves sin conexión a internet. Si el usuario respeta las normas básicas de seguridad – nunca introduce la frase semilla en formato digital, no instala software no verificado – sus fondos están a salvo, incluso si el ordenador está infectado con un virus.

El problema no está en la tecnología. Está en el factor humano y en las plataformas que asumen el papel de guardianes pero no están a la altura de ese papel.

Lo que este incidente dice sobre la madurez del sector

Las criptomonedas han recorrido un largo camino desde los foros de Bitcoin hasta los productos financieros de consumo masivo. Pero junto con el crecimiento de la audiencia crece también el atractivo para los estafadores. $9.5 millones robados a más de 50 personas en una semana no es un incidente menor. Es una campaña organizada con infraestructura preparada, dirigida a explotar la confianza en una gran compañía tecnológica.

El sector reacciona de distintas maneras. Unos reclaman mayor responsabilidad a las plataformas. Otros recuerdan los fundamentos: no son tus claves, no son tus monedas, y nunca confíes a una aplicación tu frase semilla. Ambas posiciones son correctas – y no se contradicen.

Mientras reguladores y plataformas debaten la responsabilidad, cada usuario puede protegerse por sí mismo. Eso requiere conocimiento y atención – pero no habilidades técnicas de desarrollador.

Conclusión: qué hacer ahora mismo

Si tienes un monedero de hardware, comprueba desde dónde descargaste la aplicación de gestión. Si fue desde una tienda de aplicaciones y no desde el sitio oficial del fabricante – desinstálala y vuelve a descargarla desde la fuente correcta. No es necesario introducir la frase semilla en ningún momento.

Si estás pensando en pasarte al almacenamiento en frío – sigue siendo la mejor forma de proteger cantidades grandes. Lo fundamental es entender las normas una sola vez, sin confiar en la primera aplicación que se parezca a la auténtica.

Puedes verificar tus direcciones en busca de riesgos ahora mismo – en nuestro verificador AML. Y si estás eligiendo una cartera o quieres comparar opciones de almacenamiento, visita nuestra sección de análisis de carteras – donde hemos reunido evaluaciones actualizadas de soluciones de hardware y software, teniendo en cuenta la seguridad, la usabilidad y las redes compatibles.

G. Love perdió su fondo de pensiones por un único error que duró apenas unos segundos. Esta historia es dolorosa – pero muestra con claridad dónde se encuentra la línea entre la seguridad y el desastre. Esa línea pasa por la frase semilla.