Atacantes están enviando mensajes que simulan ser comunicaciones oficiales de Trezor para dirigir a los usuarios a una app falsa que roba sus fondos. Jameson Lopp lo alertó el 4 de junio. Acá lo que tenés que saber para no caer
¿Cuál fue el conflicto?
El 3 de junio, Trezor reconoció públicamente una vulnerabilidad en el chip TROPIC01 de su modelo Safe 7. No obstante, los fondos y las claves privadas permanecen protegidos, y los usuarios no necesitan tomar ninguna medida. Y la empresa Trezor ha informado que no pidió ninguna actualización de firmware.
Veinticuatro horas después, los atacantes ya estaban usando esa noticia para estafar usuarios. El desarrollador bitcoiner Jameson Lopp alertó el 4 de junio en X que hay una campaña activa de phishing que envía emails simulando ser comunicaciones oficiales de Trezor, pidiendo actualizar el firmware del dispositivo. El enlace lleva a una aplicación web falsa que imita visualmente a Trezor Suite, la app oficial. El objetivo es que el usuario ingrese su información sensible ahí y les entregue el acceso a sus fondos.
¿De dónde pueden conseguir tu correo?
En 2021, Trezor sufrió una filtración que expuso datos de más de 66.000 usuarios. Nombres, emails y datos de contacto quedaron disponibles. Es probable que esa base de datos sea la fuente que están usando los atacantes ahora para enviar esta campaña. Si se utiliza Trezor desde antes de 2022, el email puede estar en esa lista.
Lo que hay que hacer y lo que no
Dos reglas simples que pueden salvarte los fondos:
- Una: nunca se debe actualizar el firmware del hardware wallet desde un enlace recibido por email, Telegram, WhatsApp o redes sociales. Las actualizaciones legítimas de Trezor se hacen exclusivamente desde la aplicación oficial del fabricante, descargada desde el sitio oficial. No desde ningún link externo, sin importar qué tan oficial parezca el mensaje.
- Dos: la frase semilla, la secuencia de palabras que da acceso total a los fondos, jamás debe escribirse en una computadora conectada a internet. Ninguna app legítima la va a pedir nunca. Si se recibe un email de este tipo, no se debe hacer clic, ni responder y se debe marcar como phishing.
Conclusión
Este ataque parece seguir un patrón de divulgación de vulnerabilidad de alto perfil + campaña de ingeniería social inmediata. Los atacantes saben que el miedo a perder los fondos puede ser sumamente cegador, provocando que no se preste atención a la lectura, y explotan esa ventana de oportunidad.
La mejor defensa es no actuar por pánico y verificar siempre en la fuente oficial antes de hacer cualquier cosa.