Dispositivo Ledger falso comprado en el mercado chino genera una nueva alarma sobre las carteras de hardware

• Un investigador de ciberseguridad dice que un Ledger Nano S Plus falsificado comprado en un mercado chino falló en la verificación de autenticidad integrada de Ledger Live.
• El investigador luego examinó el firmware del dispositivo y afirmó que la evidencia apuntaba a componentes vinculados a Espressif Systems.

Un investigador de ciberseguridad dice que descubrió un dispositivo Ledger falso y sofisticado vendido a través de un mercado en línea chino, sumándose a una lista creciente de estafas que ya no dependen solo de enlaces de phishing o aplicaciones falsas. Publicando en el subreddit ledgerwallet bajo el nombre Past_Computer2901, el investigador dijo que compró lo que parecía ser un Ledger Nano S Plus legítimo para uso personal. El dispositivo tenía un precio igual al de la tienda oficial de Ledger, y a simple vista el listado y el embalaje parecían lo suficientemente convincentes. El falso pasó la prueba visual, pero falló en la verificación de software El problema solo quedó claro después de que el dispositivo llegó. Cuando el investigador lo conectó a la aplicación Ledger Live genuina, ya instalada en su computadora, falló en la Verificación de Autenticidad incorporada de Ledger. Esa fue la primera señal fuerte de que la billetera no era auténtica. Según el investigador, el falso no era una imitación burda ensamblada de manera barata. Había sido diseñado para parecer lo suficientemente real como para engañar a los compradores que asumían que un paquete de aspecto normal y un precio de mercado eran signos de legitimidad. En su publicación, el investigador dijo que la experiencia lo dejó conmocionado por lo que describió como la escala aparente de la operación. La advertencia, añadieron, fue para informar en lugar de generar pánico entre los usuarios. El análisis del firmware apuntó a una preocupación más profunda en la cadena de suministro El caso se volvió más serio después de que el investigador examinó el firmware del dispositivo. Según su relato, los indicadores de código y hardware apuntaban a Espressif Systems, una empresa china de semiconductores, sugiriendo que el falso podría haber sido construido con componentes no asociados con dispositivos Ledger genuinos. Eso no prueba una participación directa de la propia empresa, pero sí sugiere que el falso fue ensamblado con suficiente cuidado técnico para ir más allá de una simple clonación cosmética. Para los usuarios de criptomonedas, la lección es incómoda pero clara. Se supone que las billeteras de hardware reducen las suposiciones de confianza, pero comprarlas en mercados no oficiales puede reintroducir exactamente el tipo de riesgo que pretenden eliminar. En este caso, el falso solo fue detectado porque el comprador usó la aplicación oficial antes de hacer algo peor, como ingresar credenciales de recuperación en un dispositivo que nunca fue legítimo desde el principio.