Me llegó carta falsa Ledger Flex: 24 palabras robadas y 55.000 €

Tipo de fraude Phishing postal con suplantación de Ledger y robo de frase de recuperación
Redes afectadas BTC, XRP, ETH, SOL
Destino de los fondos Determinado mediante análisis on-chain caso a caso
¿Fondos recuperables? Solicita un estudio de tu caso para saberlo

⚡ Caso urgente

¿Ha pasado hace menos de 72 horas?

Cada minuto cuenta para intentar frenar los fondos. Rellena el formulario y te llamamos en menos de 1 hora.

→ Solicitar contacto urgente

Sin coste. Sin compromiso. Te llamamos en menos de 1 hora.

Los atacantes sabían que la víctima tenía exactamente un Ledger Flex y un Ledger Recovery Key porque usaron datos de la filtración masiva de Ledger de 2020 para personalizar la carta. Ese nivel de detalle fue lo que convenció a la víctima de que la comunicación era auténtica: una empresa que conoce el modelo exacto de tu dispositivo parece, por fuerza, la empresa que te lo vendió.

El CASO_035 documenta un robo de aproximadamente 55.000 euros en cuatro redes simultáneas mediante una carta postal que imitaba a Ledger SAS con membrete corporativo, logotipo oficial y la firma del CTO real de la empresa. El pretexto era una supuesta actualización de seguridad llamada Quantum Resistance con fecha límite del 30 de abril de 2026. El código QR de la carta llevaba a qr.ledger-codigo.cc, sitio de phishing donde se solicitaban las 24 palabras de la frase semilla. El barrido automático de fondos se ejecutó en segundos.

Cómo funciona este fraude: carta personalizada, QR y barrido instantáneo

La carta llegó al domicilio de la víctima con el aspecto exacto de una comunicación oficial de Ledger SAS: membrete corporativo, logotipo en la posición correcta y la firma del Director de Tecnología real de la empresa. Mencionaba por nombre los dispositivos exactos de la víctima, un nivel de personalización que solo es posible con acceso a los datos de compra originales, exactamente lo que quedó expuesto en la filtración de 2020 que afectó a más de 270.000 clientes.

El pretexto era una actualización de seguridad con fecha límite y advertencias concretas: acceso limitado a la wallet, deshabilitación de funcionalidades e incompatibilidades futuras con el firmware. El código QR dirigía a qr.ledger-codigo.cc, donde se solicitaba introducir las 24 palabras de la frase semilla como parte del proceso de actualización. En el momento en que esas palabras se introdujeron, un script automatizado importó la wallet y ejecutó el barrido de todos los fondos en las cuatro redes simultáneamente en cuestión de segundos.

Lo que distingue este caso es la escala: BTC, XRP, ETH y SOL en simultáneo, con un vaciador preconfigurado compatible con múltiples redes. La infraestructura del ataque apunta a una operación profesional con capacidad de ejecución en paralelo.

Las señales de alerta que pasaron desapercibidas

La frase semilla de recuperación no debe introducirse nunca en ningún sitio web, aplicación ni formulario externo al dispositivo físico. Esa frase es la única llave maestra de todos los fondos, en todas las redes, para siempre. Ledger nunca la solicita para actualizaciones. El único uso legítimo de esa frase es para restaurar el monedero en un dispositivo físico nuevo, sin internet, con el teclado del propio hardware.

El dominio del QR, qr.ledger-codigo.cc, no pertenece a ledger.com. El dominio oficial de Ledger es ledger.com. Cualquier variación es fraudulenta. Antes de introducir cualquier dato en cualquier sitio al que hayas llegado por un código QR, verifica que la URL comienza exactamente por https://ledger.com.

Ledger publica todos sus avisos de seguridad en su web oficial. Si el comunicado fuera real, aparecería en ledger.com/blog y en sus canales verificados antes de que llegara ninguna carta.

Análisis técnico del dominio

qr.ledger-codigo.cc fue registrado el 6 de abril de 2026, apenas dos días antes de la fecha que aparecía en la carta como inicio del período de actualización. Ese timing es deliberado: el dominio se registra en el último momento posible para minimizar la ventana en que los sistemas de threat intelligence pueden detectarlo. Con dos días de vida, aparecía como benigno en todos los escaneos automatizados en el momento del ataque.

El registrador fue NICENIC International Group Co. Limited, con historial documentado de abuso y datos del registrante completamente anonimizados. El TLD .cc no tiene requisitos estrictos de verificación de identidad y es frecuentemente elegido por actores maliciosos. La infraestructura usó Cloudflare como proxy inverso, y la misma dirección IP alojaba otros 1.148 sitios web, patrón incompatible con cualquier empresa financiera legítima.

Qué muestra la trazabilidad blockchain

El análisis on-chain documentó un recorrido de cuatro saltos con los fondos distribuidos entre múltiples redes y destinos. Los fondos en BTC se dividieron entre Binance (con KYC) y hot wallets sin KYC. Los fondos en XRP llegaron a KuCoin, también con KYC. Los fondos en SOL fueron a Fireblocks. Los fondos en redes adicionales llegaron a Binance. La presencia de Binance y KuCoin en el destino final abre vías reales de recuperación parcial. Ninguno de los destinos pasó por un mixer. La trazabilidad está intacta en su totalidad.

Si te ha pasado algo similar, qué puedes hacer

1. No muevas fondos desde la wallet comprometida. Si la frase semilla quedó expuesta, cualquier movimiento puede mezclar evidencia forense. Los fondos en otras wallets con frases distintas deben moverse a wallets nuevas generadas desde cero.

2. Conserva la carta original. Es evidencia material. No la tires, no la mojes. La carta, el sobre con el matasellos y el código QR son evidencias físicas para el procedimiento judicial.

3. Documenta todo lo digital. URL a la que dirigía el QR, capturas de la web de phishing si aún está activa, las transacciones visibles en blockchain y la fecha y hora exactas.

4. Denuncia ante la Policía Nacional o la Guardia Civil. La filtración de Ledger de 2020 que permitió personalizar la carta con los datos exactos del dispositivo es un antecedente relevante que debe constar. Para orientarte: cómo denunciar una estafa en internet en España. Puedes ver otro caso idéntico en nuestro análisis de la carta falsa de Ledger.

5. Solicita análisis pericial on-chain. Binance y KuCoin tienen KYC. Un informe pericial que documente el recorrido completo en las cuatro redes activa los requerimientos judiciales. Más información en nuestra guía sobre qué hacer si te han estafado con criptomonedas y sobre qué hace un perito forense de criptomonedas, y el caso de vaciado de cartera por frase de recuperación robada.

¿Quieres saber si hay opciones reales en tu caso?

Cuéntanos qué ha pasado. Analizamos tu situación y te llamamos en menos de 1 hora.

→ Solicitar estudio de mi caso

Sin coste. Sin compromiso. Te llamamos en menos de 1 hora.

Preguntas frecuentes

¿Ledger envía cartas físicas a domicilio solicitando introducir las 24 palabras de recuperación en una web?

No. Ledger nunca solicita la frase semilla de recuperación por ningún canal, incluyendo cartas postales. Si una carta dice que sí, es una falsificación.

¿Cómo sé si el dominio al que apunta el código QR de una carta de Ledger es el oficial?

El dominio oficial de Ledger es ledger.com. Cualquier variación es un dominio fraudulento. Verifica en la barra del navegador antes de introducir ningún dato.

¿Qué es la filtración de datos de Ledger de 2020 y por qué los estafadores la siguen usando en 2026?

En julio de 2020 una brecha expuso datos de más de 270.000 clientes, incluyendo nombres, domicilios y modelos de dispositivo comprados. Esos datos siguen circulando y permiten personalizar las cartas con información real del comprador.

¿Qué hago si ya introduje mis 24 palabras de recuperación en una web después de escanear un QR de una carta?

Actúa de inmediato. Si aún hay fondos en la wallet, inténtalos mover a una wallet nueva con una frase semilla completamente nueva. Después conserva la carta original, documenta la URL del sitio y las transacciones, y denuncia.

¿Puedo recuperar BTC, XRP y SOL robados de una Ledger Flex mediante un phishing postal?

Depende del destino final de cada red. Los fondos en BTC llegaron parcialmente a Binance y los en XRP a KuCoin, ambos con KYC. Esas porciones tienen posibilidades reales de recuperación parcial mediante requerimiento judicial formal respaldado por análisis pericial.

¿Cómo proteger mi Ledger Flex de ataques de phishing por carta postal?

La protección más efectiva es interiorizar una regla sin excepciones: la frase semilla nunca sale del dispositivo físico bajo ningún pretexto. Cualquier comunicación urgente de Ledger debe verificarse siempre directamente en ledger.com antes de actuar.

¿Has sido víctima de una estafa con criptomonedas?

Analizamos tu caso, trazamos los fondos en cadena y te orientamos sobre las opciones reales que tienes.

→ Solicitar contacto urgente

→ Solicitar estudio de mi caso

Sin coste. Sin compromiso. Te llamamos en menos de 1 hora.


Artículo elaborado por b-block. La información publicada tiene carácter divulgativo y no constituye asesoramiento legal.

Sobre el autor: b-block es un perito informático forense titulado por la Universidad Internacional de La Rioja (UNIR), con 3 años de experiencia. Más de 6,3 M€ analizados en 77 casos investigados.

Publicaciones Similares