Me llegó carta phishing de Ledger: frase de recuperación robada y rastro OTC
| Tipo de fraude | Robo de hardware wallet mediante phishing postal y frase de recuperación comprometida |
| Redes afectadas | BTC, ETH |
| Destino de los fondos | Determinado mediante análisis on-chain caso a caso |
| ¿Fondos recuperables? | Solicita un estudio de tu caso para saberlo |
⚡ Caso urgente
¿Ha pasado hace menos de 72 horas?
Cada minuto cuenta para intentar frenar los fondos. Rellena el formulario y te llamamos en menos de 1 hora.
Sin coste. Sin compromiso. Te llamamos en menos de 1 hora.
Los fondos ETH robados acabaron en una cartera TRX que actualmente tiene 400.000 USDT congelados por Tether por estar involucrada en otro caso de fraude. Eso no es una coincidencia: es el rastro que deja una operación profesional dedicada al robo de activos digitales a escala. El mismo presunto atacante opera contra múltiples víctimas de forma sistemática.
El CASO_036 documenta un robo instantáneo mediante carta postal falsa de Ledger que solicitaba la frase de recuperación a través de un código QR. En la investigación paralela, el análisis on-chain identificó que una de las wallets intermedias fue reportada en Reddit por otra víctima que había comprado un hardware wallet de segunda mano en eBay con fondos ya comprometidos. El mismo presunto atacante opera tanto mediante phishing postal como mediante la reventa de dispositivos manipulados.
Cómo funciona este fraude: carta física, QR y sweep automático
El ataque comenzó con una carta física que suplantaba a Ledger. El formato y el contenido imitaban las comunicaciones oficiales de la empresa: logo, tipografía y tono corporativo. El pretexto era una supuesta actualización de seguridad urgente con plazo límite y amenaza de pérdida de funcionalidad si no se completaba el proceso. La carta incluía un código QR que dirigía a una web de phishing donde se solicitaba introducir la frase de recuperación del dispositivo.
En el momento en que esas palabras se introducen en cualquier sitio externo al dispositivo físico, el control de todos los activos pasa al atacante de forma irreversible. El barrido de los fondos es automático e inmediato.
Lo que distingue este caso es la investigación paralela que el análisis on-chain permitió realizar. Una de las wallets intermedias usadas en el recorrido de los fondos había sido reportada previamente en Reddit por otra víctima: había comprado un hardware wallet de segunda mano en eBay y los fondos que depositó desaparecieron de inmediato. Esa coincidencia apunta a que el mismo presunto atacante opera en dos vectores simultáneos: el phishing postal masivo y la reventa de dispositivos manipulados en marketplaces. El rastro en cadena también identificó vinculación con 001kBot, una plataforma de intercambio OTC de origen ucraniano.
Las señales de alerta que pasaron desapercibidas
La frase de recuperación de una Ledger no debe introducirse nunca en ningún sitio web, aplicación o formulario, independientemente de lo oficial que parezca. Ledger nunca la solicita, ni para actualizaciones, ni para restauraciones, ni por ningún otro motivo. Cualquier comunicación que solicite esas palabras es un ataque, sin excepciones.
Comprar hardware wallets de segunda mano en eBay, Wallapop o cualquier marketplace de reventa es un riesgo que no tiene sentido asumir. Un hardware wallet cuyo historial de custodia no es completamente verificable puede haber sido manipulado antes de la venta. Los hardware wallets deben comprarse siempre directamente al fabricante o a distribuidores oficiales verificados.
Una wallet de Bitcoin que interactua con plataformas OTC como 001kBot tiene un perfil de riesgo elevado. Ese tipo de interacción es el perfil operativo de alguien que convierte regularmente grandes volúmenes de criptomonedas en fiat a través de canales de bajo control regulatorio.
Análisis forense: el dato clave de los USDT congelados por Tether
Los fondos ETH fueron canalizados a través de MEXC, de donde salieron hacia una cartera en red TRX. Esa cartera tiene actualmente 400.000 USDT congelados por Tether por vinculación con otro caso de fraude. Tether solo congela carteras ante evidencia sólida de actividad ilícita documentada. Su presencia en el rastro del caso es un indicador técnico externo que confirma que el presunto atacante opera de forma sistemática contra múltiples víctimas. Las wallets intermedias también muestran vinculación con plataformas como Paxful, LBank y NoOnes. Ninguno de los fondos pasó por un mixer convencional.
Qué muestra la trazabilidad blockchain
El análisis on-chain documentó un recorrido de cuatro saltos para los fondos en BTC. Los destinos finales identificados son KuCoin, Kraken, Coinbase y Binance, los cuatro exchanges con KYC obligatorio. Esa distribución en cuatro plataformas simultáneas es una técnica de dispersión, pero también significa que cuatro plataformas distintas tienen identificados a los titulares de las cuentas de destino y tienen obligación de cooperar ante requerimientos judiciales formales.
Si te ha pasado algo similar, qué puedes hacer
1. No muevas ningún fondo adicional desde la wallet afectada. Si la frase de recuperación quedó comprometida, cualquier movimiento puede mezclar evidencia forense. Si tienes fondos en otras wallets no afectadas, muévelos a un monedero completamente nuevo.
2. Documenta todo. Conserva la carta física original, capturas de la web a la que dirigía el QR, todas las transacciones visibles en la blockchain y la fecha exacta en que introdujiste la frase.
3. Denuncia ante la Policía Nacional o la Guardia Civil. La carta original es evidencia material principal. Para orientarte: cómo denunciar una estafa en internet en España. Puedes ver otros casos similares en nuestro análisis de la carta falsa de Ledger.
4. Solicita análisis pericial on-chain. Cuatro destinos finales en exchanges con KYC representan cuatro líneas de requerimiento judicial simultáneas. Más información en nuestra guía sobre qué hacer si te han estafado con criptomonedas y sobre qué hace un perito forense de criptomonedas, y el caso de vaciado de cartera por frase de recuperación robada.
¿Quieres saber si hay opciones reales en tu caso?
Cuéntanos qué ha pasado. Analizamos tu situación y te llamamos en menos de 1 hora.
→ Solicitar estudio de mi caso
Sin coste. Sin compromiso. Te llamamos en menos de 1 hora.
Preguntas frecuentes
¿Qué ocurre con mi Bitcoin si alguien obtiene las 12 palabras de mi Ledger?
Pierde el control de todos los fondos de forma inmediata e irreversible. La frase de recuperación es la llave maestra de todos los activos almacenados en esa wallet, en todas las redes. Quien tiene esas palabras puede importar la wallet en cualquier dispositivo en segundos y drenar todos los saldos.
¿Puede Tether congelar USDT en una cartera si se demuestra que son fondos robados?
Sí. Tether tiene la capacidad técnica de congelar USDT directamente a nivel de contrato inteligente ante evidencia sólida de actividad ilícita. En este caso, la cartera TRX de destino tenía 400.000 USDT congelados por vinculación con otro caso de fraude, indicador técnico externo del perfil del presunto atacante.
¿Es seguro comprar una Ledger de segunda mano en eBay o Wallapop?
No. Un hardware wallet de segunda mano puede haber sido manipulado antes de la venta: el vendedor puede conocer la frase de recuperación y esperar a que el comprador deposite fondos para drenarlos de inmediato. Los hardware wallets deben comprarse siempre directamente al fabricante o a distribuidores oficiales con garantía de sellado original.
¿Qué es 001kBot y por qué aparece en investigaciones de robo de criptomonedas?
001kBot es una plataforma de intercambio OTC de origen ucraniano que permite intercambiar criptomonedas por fiat de forma peer-to-peer, con niveles de control regulatorio inferiores a los de un exchange convencional. Su aparición en el rastro de fondos robados indica que los presuntos atacantes la usan para convertir activos ilícitos en moneda fiat con menos fricción.
¿Pueden KuCoin, Kraken o Coinbase congelar fondos si reciben una orden de las autoridades?
Sí. Los tres son exchanges regulados con KYC obligatorio y tienen procedimientos establecidos de cooperación con autoridades judiciales ante requerimientos formales. La distribución de los fondos robados entre cuatro exchanges con KYC significa que en cada uno de ellos existe un titular identificado y una vía de requerimiento judicial.
¿Cómo sé si la dirección Bitcoin que recibió mis fondos está vinculada a otras estafas?
Existen bases de datos públicas y plataformas de threat intelligence blockchain donde se reportan direcciones vinculadas a actividades ilícitas. También puedes buscar la dirección en exploradores de bloques públicos y en foros especializados como Reddit, donde otros usuarios reportan sus experiencias con direcciones concretas.
¿Has sido víctima de una estafa con criptomonedas?
Analizamos tu caso, trazamos los fondos en cadena y te orientamos sobre las opciones reales que tienes.
→ Solicitar estudio de mi caso
Sin coste. Sin compromiso. Te llamamos en menos de 1 hora.
Artículo elaborado por b-block. La información publicada tiene carácter divulgativo y no constituye asesoramiento legal.
Sobre el autor: b-block es un perito informático forense titulado por la Universidad Internacional de La Rioja (UNIR), con 3 años de experiencia. Más de 6,3 M€ analizados en 77 casos investigados.