Una aplicación maliciosa para teléfonos inteligentes en la App Store de Apple, que imita el nombre y el estilo visual de las carteras de hardware Trezor, se utilizó para robar 17,1 Bitcoin (BTC) a un usuario desprevenido, con un valor de 600.000 dólares en ese momento, y más de un millón de dólares en la actualidad.
Según un reportaje de The Washington Post, el usuario de Trezor, Phillipe Christodoulou, había almacenado sus Bitcoin en un monedero de hardware de Trezor y, para comprobar su saldo, descargó una aplicación que decía ser de Trezor en la App Store de iOS.
Aunque Trezor no es actualmente compatible con el sistema operativo móvil iOS de Apple y no tiene una aplicación móvil, la aplicación utilizaba el nombre y la marca de la empresa, y tenía una calificación de los usuarios de casi cinco estrellas, por lo que parecía fiable.
[embedded-post id=54355 /]Después de que Christodoulou descargara la aplicación e introdujera sus credenciales, todas sus criptomonedas desaparecieron inmediatamente.
"Han traicionado la confianza que tenía en ellos. Apple no se merece salirse con la suya", dijo Christodoulou.
Christodoulou no es la única persona que ha sido víctima de la estafa; James Fajcz, residente en Georgia, también declaró al medio que perdió 14.000 dólares en Bitcoin y [link term_id="32054"]Ethereum por la aplicación falsa.
Trezor no es la única app con problemas de phishing
Apple promociona su tienda como "el mercado de aplicaciones más fiable del mundo". En declaraciones al Washington Post, un portavoz de Apple explicó que todas las aplicaciones se someten a un riguroso proceso de revisión, pero reconoció que ha habido otras estafas con criptomonedas en la App Store. La aplicación que se utilizó para estafar a Christodoulou estuvo disponible en la App Store al menos del 22 de enero al 3 de febrero y se descargó unas 1.000 veces.
En este caso concreto, la falsa aplicación Trezor se presentó inicialmente en la categoría de "criptografía" -como una solución para encriptar archivos del iPhone y almacenar contraseñas- antes de que los desarrolladores la cambiaran por una aplicación de monedero de criptomonedas. Apple declaró al Washington Post que el año pasado había eliminado 6.500 aplicaciones por "funciones ocultas e indocumentadas", pero reconoció que depende de que los usuarios y clientes denuncien las aplicaciones falsas. Cuando Christodoulou comprobó las reseñas escritas sobre la falsa aplicación Trezor, leyó numerosas quejas de otras personas que habían sido estafadas del mismo modo.
Apple no es la única empresa cuya tienda de aplicaciones ha acogido aplicaciones falsas de monederos de criptomonedas. En enero de este año, Trezor acudió a Twitter para advertir a los usuarios de una aplicación maliciosa para Android en Google Play Store que se había descargado más de 1.000 veces.
Warning to all Trezor owners using Android devices!
This app is malicious and has no relation to Trezor or SatoshiLabs. Please, don't install it.
Remember that you should never share your seed with anyone until your Trezor device asks you to do it! pic.twitter.com/6C3iKfPDnR
— Trezor (@Trezor) January 18, 2021
"No permitimos aplicaciones que engañen a los usuarios haciéndose pasar por otra aplicación, desarrollador o empresa, y cuando descubrimos una aplicación que viola nuestras políticas, tomamos las medidas oportunas", dijo el portavoz de Google, Colin Smith, al Washington Post; la empresa señaló que recientemente había identificado y eliminado dos aplicaciones falsas de Trezor de la Google Play Store, aunque la empresa de análisis App Figures habría identificado ocho aplicaciones falsas en la tienda.
En ambos casos, los estafadores utilizaron una técnica de phishing para convencer a los usuarios de carteras de hardware de que introdujeran su frase de recuperación, lo que les permitía crear una copia de la cartera y enviar los fondos que contenía a una dirección de su elección. La empresa de análisis de blockchain Chainalysis informó que los fondos de Christodoulou y Fajcz habían sido enviados a "una cuenta sospechosa".
No hace falta decir que nunca debes introducir la frase de recuperación de tu monedero en una aplicación, por muy convincente que parezca a primera vista.