SlowMist señala que el ataque a Snap Store dirigido a frases semilla de criptomonedas

• Los atacantes secuestraron a los editores en la Snap Store utilizando dominios caducados y distribuyeron actualizaciones maliciosas para la cartera.
• Las aplicaciones falsas imitaron a Exodus, Ledger Live y Trust Wallet para engañar a los usuarios y que ingresaran sus frases de recuperación.
• El ataque indica una tendencia creciente hacia ataques en la cadena de suministro en lugar de ataques a contratos inteligentes.

La firma de seguridad blockchain SlowMist ha señalado una nueva amenaza basada en Linux que apunta a frases de recuperación de criptomonedas explotando aplicaciones de confianza distribuidas a través de la Snap Store. La compañía advirtió que los atacantes están secuestrando cuentas de editores en la Snap Store de larga data y empujando actualizaciones maliciosas de carteras a través de canales oficiales de distribución, poniendo en riesgo a los usuarios de Linux de toda la vida.

En una publicación en X, el director de seguridad de la información de SlowMist, 23pds, dijo que los atacantes están abusando de dominios caducados vinculados a editores legítimos de la Snap Store. Después de recuperar el control de esos dominios, los atacantes restablecen las credenciales de las cuentas, toman el control de cuentas de desarrolladores de confianza y publican malware disfrazado de actualizaciones de software de cartera. Esta táctica da una ventaja peligrosa al ataque: los usuarios confían a menudo en las actualizaciones de editores establecidos e instalan sin sospechas.

Una vez que las aplicaciones maliciosas llegan al sistema de la víctima, solicitan a los usuarios que ingresen sus frases de recuperación de la cartera de criptomonedas. El malware luego exfiltra esas frases, permitiendo a los atacantes vaciar las carteras rápidamente, a menudo antes de que la víctima se dé cuenta de que algo salió mal.

Los atacantes secuestran editores en la Snap Store usando dominios caducados

La Snap Store es la tienda oficial de aplicaciones para Linux, utilizada para la distribución de software empaquetado como “snaps”. Es considerada una fuente confiable por muchos usuarios, al igual que la App Store o Microsoft Store, ya que ofrece editores verificados, actualizaciones fáciles y una distribución centralizada.

SlowMist afirmó que los atacantes están apuntando a cuentas de editores vinculadas a dominios que han expirado. Una vez que un dominio expira, los criminales pueden volver a registrarlo y acceder a direcciones de correo electrónico vinculadas al dominio. Desde allí, pueden iniciar restablecimientos de contraseña y tomar el control de las cuentas de desarrolladores de la Snap Store.

Este método permite a los atacantes comprometer editores con usuarios activos y historiales de descargas existentes. En lugar de depender de que las víctimas descarguen las nuevas aplicaciones maliciosas, inyectan el malware en las actualizaciones regulares. Esta táctica en la cadena de suministro aumenta la tasa de éxito porque los usuarios son más propensos a aceptar actualizaciones y no verificar todos los cambios.

SlowMist ha identificado al menos dos dominios asociados con las cuentas de editores comprometidos: “storewise[.]tech” y “vagueentertainment[.]com”. Una vez que los atacantes secuestraron las cuentas, supuestamente usaron las aplicaciones para hacerse pasar por marcas populares de carteras de criptomonedas.

Las aplicaciones falsas de carteras imitan marcas confiables

Según SlowMist, las aplicaciones afectadas en la Snap Store son clones de aplicaciones de cartera populares como Exodus, Ledger Live y Trust Wallet. Los atacantes utilizan interfaces de usuario que se parecen mucho a las aplicaciones legítimas, lo que aumenta la credibilidad y reduce las sospechas.

Estas aplicaciones, después de ser instaladas o actualizadas, pedirán al usuario que ingrese su frase de recuperación de la cartera con la intención de configurar, sincronizar o verificar la cuenta. Después de que el usuario proporcione la frase de recuperación, el atacante puede usarla para restaurar la cartera y vaciar sus fondos sin necesidad de acceder más al dispositivo de la víctima.

Este enfoque sigue siendo muy efectivo porque las frases semilla proporcionan control total de los activos. Incluso las contraseñas más fuertes y la seguridad del dispositivo no pueden proteger los fondos una vez que los hackers poseen la frase de recuperación.

Los hackeos en la cadena de suministro son cada vez más dañinos

El incidente en la Snap Store forma parte de una tendencia más amplia en la seguridad de las criptomonedas, donde los atacantes están pasando de explotar protocolos a comprometer infraestructura. En lugar de atacar directamente los contratos inteligentes, los criminales apuntan cada vez más a sistemas de distribución de software confiables, canales de actualización y proveedores de servicios de terceros.

Los datos de CertiK compartidos con el medio en diciembre mostraron que las pérdidas por hackeos en criptomonedas alcanzaron los 3.3 mil millones de dólares en 2025, aunque el número de incidentes disminuyó. Según CertiK, las pérdidas estuvieron más concentradas en menos eventos, pero más graves en la cadena de suministro, con 1.45 mil millones de dólares en pérdidas atribuidas a solo dos incidentes importantes.

Esta tendencia indica que los atacantes están optimizando para escala e impacto. Con la mejora de la seguridad en DeFi a nivel de contratos inteligentes, los atacantes apuntan a los eslabones más débiles, aplicaciones, editores e infraestructura de actualización, donde la confianza es la mayor vulnerabilidad.

¿Qué deben vigilar los usuarios a continuación?

Para los usuarios de Linux que almacenan criptomonedas, los procesos de descarga y actualización del software de la cartera deben hacerse con especial cuidado. Los usuarios deben verificar la identidad de los editores, comprobar las fuentes oficiales de descarga y evitar ingresar frases de recuperación en plataformas desconocidas. Los equipos de seguridad también pueden necesitar monitorear más de cerca las listas de la Snap Store, especialmente cuando hay cambios repentinos en la propiedad de los editores.

La conclusión de la alerta de SlowMist es clara: el mayor peligro ahora a menudo proviene de fuentes confiables, no de las estafas de phishing evidentes.

Noticias destacadas de Criptomonedas:

Tom Lee advierte que los mercados de criptomonedas podrían enfrentar una corrección dolorosa en 2026