Usuarios de monederos hardware Trezor y Ledger están recibiendo cartas postales falsas que se hacen pasar por comunicaciones oficiales de seguridad. A diferencia del phishing tradicional por correo electrónico, esta campaña utiliza sobres físicos cuidadosamente diseñados para inducir a las víctimas a escanear un código QR y revelar su seed phrase, otorgando a los atacantes control total sobre sus criptomonedas.
Phishing por correo postal: cómo funciona la campaña contra Trezor y Ledger
Las víctimas describen sobres con logotipos de Trezor o Ledger, tipografía corporativa y un lenguaje formal que imita avisos de seguridad legítimos. El contenido de las cartas menciona supuestas «nuevas medidas obligatorias» como verificación de autenticación o «comprobación de transacciones», presentadas como un requisito indispensable para seguir usando el monedero hardware sin restricciones.
En las misivas se insta al usuario a escanear un código QR para acceder a una página «especial de verificación». Se advierte de que, si no se completa el proceso antes de una fecha límite concreta, ciertas funciones del monedero dejarán de estar disponibles. En algunos casos se han observado fechas como el 15 de febrero de 2026 para Trezor y el 15 de octubre de 2025 para Ledger, plazos diseñados para generar urgencia, un recurso clásico de la ingeniería social.
Del QR al vaciado del monedero: cadena técnica de la estafa
Los códigos QR redirigen a sitios web de phishing que clonan visualmente las páginas oficiales de Trezor y Ledger. La estructura, los colores, los iconos y los textos están elaborados para minimizar sospechas, especialmente en usuarios que no revisan con atención la barra de direcciones ni el certificado del sitio.
En estas páginas fraudulentas se informa al usuario de posibles «riesgos técnicos»: errores al firmar transacciones, fallos de firmware o futuras limitaciones si no completa el supuesto proceso de seguridad. Como paso final, se muestra un formulario en el que se solicita introducir la frase semilla de 12, 18 o 24 palabras para «confirmar la titularidad del dispositivo».
Por qué la seed phrase es el objetivo principal
La seed phrase (frase semilla) es, en la práctica, el “llave maestra” de un monedero de criptomonedas. A partir de ella se pueden regenerar todas las claves privadas y restaurar completamente el monedero en otro dispositivo compatible. Una vez introducida en el formulario fraudulento, la frase es enviada de inmediato al servidor del atacante mediante servicios backend o APIs.
Con esa información, los delincuentes pueden restaurar el monedero en su propio dispositivo y transferir los fondos a direcciones bajo su control. Dado que las transacciones en la mayoría de las cadenas de bloques son irreversibles, no existe un mecanismo para recuperar los activos una vez efectuado el envío.
Por qué el phishing contra criptomonedas se traslada al mundo físico
El uso de phishing offline por correo postal refleja una evolución en las tácticas de los ciberdelincuentes. Al operar fuera del canal digital tradicional, los atacantes evitan filtros antispam, sistemas de detección de phishing y soluciones de seguridad corporativas que analizan correos electrónicos y enlaces.
Además, un sobre físico con el nombre y la dirección reales del destinatario suele percibirse como más «oficial» que un simple e‑mail. Este efecto psicológico aumenta la probabilidad de que el usuario confíe en el contenido, escanee el QR y siga las instrucciones sin verificar su legitimidad en los canales oficiales de Trezor o Ledger.
Filtraciones de datos y selección específica de víctimas
La cuestión clave es cómo obtienen los atacantes los datos postales de los propietarios de monederos hardware. En años recientes, empresas del ecosistema de criptomonedas han sufrido filtraciones de bases de datos de clientes. En el caso de Ledger, por ejemplo, en 2020 se hizo pública una brecha que expuso datos personales de cientos de miles de usuarios, incluidos correos electrónicos y direcciones físicas, según informes ampliamente difundidos.
Con este tipo de información, los delincuentes pueden organizar campañas de phishing altamente dirigidas, enviando cartas solo a personas que con una alta probabilidad poseen un monedero físico. Esta precisión incrementa la tasa de éxito y hace que el phishing por correo postal sea rentable a pesar de sus mayores costes logísticos.
Buenas prácticas para proteger monederos hardware del phishing offline
La principal medida de seguridad es categórica: ningún fabricante legítimo de monederos hardware solicitará jamás tu seed phrase por carta, correo electrónico, teléfono o formulario web. La frase semilla solo debe introducirse en el propio dispositivo o, en casos muy controlados de recuperación, en el software oficial descargado desde el sitio legítimo y por iniciativa del usuario.
Ante cualquier mensaje —físico o digital— que mencione «verificación urgente», «reactivar tu monedero» o «comprobar transacciones», es recomendable desconfiar sistemáticamente. Una práctica segura es escribir manualmente en el navegador la URL oficial de Trezor o Ledger y comprobar en sus secciones de noticias o soporte si existe realmente la campaña mencionada, en lugar de seguir enlaces o QR desconocidos.
Cualquier carta que exija completar una «verificación crítica» mediante un enlace o código QR, y especialmente si solicita la seed phrase, debe considerarse sospechosa. Lo más prudente es no escanear el QR, no introducir ningún dato sensible y destruir la carta.
Como capa adicional de protección, se recomienda habilitar funciones avanzadas como la passphrase adicional BIP39, segmentar grandes cantidades de criptomonedas en varios monederos independientes y revisar periódicamente la configuración de seguridad de cuentas, dispositivos y correos asociados al ecosistema cripto.
El aumento de campañas de phishing offline contra monederos hardware demuestra que los atacantes se adaptan rápidamente a las defensas técnicas. Adoptar una postura de escepticismo activo ante cualquier «comunicación oficial» inesperada, reforzar los hábitos de higiene digital y mantenerse informado sobre las últimas técnicas de ingeniería social son pasos esenciales para conservar el control de las criptomonedas y reducir significativamente el riesgo de robo.
