Correos falsos de Ledger: la estafa que ha costado a los usuarios más de $200M desde 2020

Por qué específicamente los usuarios de Ledger

La filtración original ocurrió en julio de 2020. Un endpoint CDN de Shopify mal configurado expuso la base de datos de comercio electrónico de clientes de Ledger, y los atacantes descargaron aproximadamente 270,000 registros completos de clientes más alrededor de 1 millón de direcciones de correo electrónico. Los campos filtrados no eran solo correos. Incluían nombres completos, direcciones postales y números de teléfono. Seis meses después, el conjunto completo de datos se publicó en un foro de hacking, lo que significa que cualquier estafador con habilidades básicas de búsqueda ha tenido acceso gratuito a él desde 2020.

Esa filtración creó una lista de objetivos permanente. Cada persona en ese archivo sabe que tiene una billetera hardware. Que gastó entre 80 y 400 dólares en una. Que por lo tanto casi con certeza tiene alguna cantidad de criptomoneda. Desde un punto de vista de economía del phishing, esta es la lista de objetivos de mayor calidad de la industria. El phishing de dispersión aleatoria obtiene tasas de respuesta cercanas a cero. El phishing a una lista donde cada persona tiene cripto obtiene tasas de respuesta que funcionan.

Chainalysis y rastreadores de la comunidad han estimado las pérdidas acumuladas por phishing con temática de Ledger en más de 200 millones de dólares desde 2020, con incidentes individuales que van desde unos pocos miles de dólares hasta billeteras individuales drenadas por más de 2 millones. Las campañas rotan plantillas cada pocos meses pero la lista de objetivos nunca cambia. Si estabas en ella en 2020, sigues estando en ella en 2026.

La plantilla de correo actual de 2026

La oleada 2026 de correos falsos de Ledger luce más limpia que los lotes de 2021 y 2022. El inglés es mejor, el renderizado HTML coincide pixel a pixel con las plantillas reales de Ledger, y el encuadre de urgencia se ha alejado del "aviso de filtración de datos" hacia la "verificación de firmware de rutina". Aquí está la forma redactada de un correo típico actualmente en circulación:

El profesionalismo es la trampa. Todo lo visual es correcto. Los logos, la tipografía, el pie de copyright, incluso el enlace de cancelación de suscripción conforme a CAN-SPAM. Las únicas cosas incorrectas son el dominio del remitente y la URL de destino, y ambas están diseñadas para parecer que pertenecen a un vistazo rápido. Alguien revisando el correo en un teléfono a las 7 de la mañana tiene casi ninguna posibilidad de detectar la diferencia sin una advertencia del lado del navegador.

Las 4 señales de alerta en cada correo falso de Ledger

Sin importar cómo evolucione la plantilla, estas cuatro señales aparecen en absolutamente cada falsificación. Si ves cualquiera de ellas, el correo es phishing, sin excepción.

1. El dominio del remitente es cualquier cosa que no sea @ledger.com o @ledger.fr. El correo legítimo de Ledger siempre proviene de uno de esos dos dominios. No de ledger-support.com, no de ledger-verify.com, no de support.ledger.io, no de noreply@ledger-security.net. Si el dominio tiene cualquier sufijo, prefijo, guion o TLD alternativo añadido a la palabra "ledger", no es Ledger.
2. Urgencia en torno a "verificación de dispositivo" o "actualización de firmware por correo". Las actualizaciones de firmware de Ledger ocurren dentro de la app de escritorio o móvil de Ledger Live, en tu propio horario, sin ninguna intervención de correo electrónico. Ledger no te envía un correo con una fecha límite para actualizar. Cualquier mensaje que diga "verifica antes de [fecha] o pierde el acceso" es urgencia manufacturada diseñada para eludir tu juicio.
3. El enlace de destino es cualquier cosa que no sea ledger.com o shop.ledger.com. Pasa el cursor sobre el botón antes de hacer clic. Mira la URL real en la barra de estado. Si no es ledger.com o shop.ledger.com, cierra el correo. Los doppelgangers comunes incluyen ledger-live-update, ledgerhq-verify, ledger-start, ledger-com-auth y docenas de variantes que intercambian letras o añaden guiones.
4. El flujo eventualmente te pide "verificar" o "ingresar" tu frase de recuperación de 24 palabras. Este es el golpe mortal. Todo el propósito del correo es llevarte a una página que pida tu frase semilla. Sin importar qué tan sofisticada luzca la página de destino, una vez que pide 12 o 24 palabras, te están robando.

La página falsa de "Ledger Live Update" que roba tu frase semilla

Si haces clic en el enlace, llegas a un clon casi perfecto de la pantalla de configuración de Ledger Live. El branding es exacto. La ilustración animada del dispositivo es la real, descargada del propio CDN de Ledger. La barra de URL muestra ledger-live-update.com o similar, lo que para un usuario cansado se lee como "ah, esta es la página de actualización".

La página te guía a través de dos o tres pasos de "verificación" falsa. Podría pedirte que conectes tu dispositivo (para generar confianza). Podría mostrar un indicador de carga falso con "Verificando firma de firmware...". Luego viene el payload real: una pantalla que dice que tu dispositivo necesita "re-sincronizarse" con Ledger Live y te pide que ingreses tus 24 palabras de recuperación para continuar.

La aplicación real Ledger Live nunca pide tu frase de recuperación. Ni durante la configuración, ni durante las actualizaciones, ni durante las transacciones, ni durante nada. Las frases de recuperación se ingresan en el propio dispositivo físico durante la configuración inicial, una sola vez. Ese es el único momento en que esas palabras deberían escribirse en algún lugar.

En el momento en que ingresas tus 24 palabras en esa página falsa, un script drenador en el servidor del atacante deriva cada dirección de billetera de tu frase semilla y las barre en paralelo. Bitcoin, Ethereum, Solana, Polygon, Arbitrum, Base, cada cadena que controla tu frase semilla. El drenaje generalmente se completa en 30 a 90 segundos. Si te das cuenta a mitad de ingreso y te detienes, asume que la frase semilla parcial ya está en sus manos porque la página transmite cada palabra a medida que la escribes.

Por qué Ledger NUNCA te enviará un correo pidiéndote tu frase semilla

Esta es la regla única que elimina cada intento de phishing de Ledger en su origen. Ledger la empresa no conoce tu frase de recuperación y no puede conocerla. Las 24 palabras son generadas por el chip de elemento seguro dentro de tu dispositivo físico durante la primera configuración. Se muestran una vez en la pantalla del dispositivo. Nunca se transmiten a los servidores de Ledger, nunca se respaldan en la nube, nunca se asocian con tu cuenta, nunca se registran en ningún lugar.

Este es el modelo de seguridad completo de una billetera hardware. La frase semilla vive en el chip, las operaciones se firman en el chip, y el mundo exterior, incluido el propio Ledger, nunca ve la frase semilla. No hay ningún agente de soporte que pueda pedirla para "ayudarte". No hay ningún sistema automatizado que la necesite para "verificar tu dispositivo". No hay ninguna actualización de firmware que la requiera para "re-sincronizarse".

Si cualquier cosa, en cualquier lugar, alguna vez, te pide escribir tu frase de recuperación en un computador, teléfono, sitio web, respuesta de correo, chatbot, ticket de soporte o formulario de cualquier tipo, es un atacante. Esta regla no tiene excepciones.

Qué hacer si ya ingresaste tu frase semilla

Si ya escribiste tus 24 palabras en una página web, asume lo peor y actúa rápido. Cada minuto importa porque los drenadores están automatizados y tus fondos pueden ya estar moviéndose.

1. Asume que el dispositivo está completamente comprometido. La frase semilla está expuesta. Tu dispositivo en sí es hardware en buen estado, pero el secreto que guarda ya no es secreto. No envíes ningún fondo nuevo a ninguna dirección derivada de esa frase semilla.
2. Mueve todos los fondos inmediatamente a una nueva billetera con una nueva frase semilla. Usa un dispositivo diferente que sepas está limpio, o configura un nuevo Ledger con 24 palabras completamente nuevas. Compite con el drenador. Envía todo desde las direcciones comprometidas a las nuevas. Empieza con la cadena de mayor valor primero.
3. Restablece de fábrica el dispositivo comprometido y genera una nueva frase semilla completamente nueva. Una vez que los fondos estén movidos, borra el dispositivo antiguo a través de Configuración y realiza una configuración nueva. La nueva frase semilla nunca debe haber tocado internet.
4. Si los fondos ya fueron drenados, sigue nuestra guía de rescate por frase semilla robada. Cubre el rastreo en Etherscan, el reporte a Chainalysis, las solicitudes de congelamiento de exchanges y cómo lucen las probabilidades reales de recuperación.
5. Revisa cada cadena, no solo Ethereum. Los estafadores drenan en todas partes. Busca en Bitcoin, Ethereum, Solana, Polygon, Arbitrum, Optimism, Base, BNB Chain, Avalanche, Cosmos y cualquier Layer 2 que hayas usado alguna vez. Una billetera que parece vacía en Etherscan puede aún tener fondos significativos en una cadena que olvidaste.

Cómo protegerte del phishing dirigido a Ledger en el futuro

Dado que tu correo está en la lista filtrada de forma permanente, el phishing no se detendrá. Tu estrategia de defensa debe ser conductual, no reactiva.

• Solo instala Ledger Live desde ledger.com directamente. Nunca desde un resultado de motor de búsqueda, nunca desde un anuncio, nunca desde un enlace en un correo. Los anuncios de búsqueda de "descargar ledger live" son comprados habitualmente por estafadores y el primer resultado a veces es uno falso.
• Guarda ledger.com/start en tus marcadores y úsalo siempre. La memoria muscular supera a la vigilancia.
• Desactiva la carga automática de imágenes en tu cliente de correo. Los correos de phishing usan píxeles de rastreo para saber qué direcciones de la lista filtrada están activas.
• Usa un alias de correo dedicado para los servicios cripto. Apple Hide My Email, Firefox Relay, SimpleLogin, Addy.io funcionan todos. Nunca expongas tu correo principal a exchanges, billeteras o servicios on-chain.
• Para cada correo de Ledger: verifica el remitente, no hagas clic, abre ledger.com manualmente. Si el reclamo en el correo es real, encontrarás el mismo aviso en tu aplicación Ledger Live o en el blog oficial.
• Instala un escudo de phishing a nivel de navegador. SafeBrowz verifica cada página que visitas contra más de 500 marcas conocidas suplantadas incluyendo Ledger, más análisis de contenido con IA en más de 100 idiomas que detecta nuevas variantes falsas de Ledger Live antes de que aparezcan en las listas de bloqueo estáticas. También publicamos una guía de protección ClickFix que cubre la variante de CAPTCHA falso del mismo ataque.

La filtración de datos de 2020: qué hacer si tu correo estaba en ella

Si compraste un dispositivo Ledger antes de julio de 2020, tus datos casi con certeza están en el volcado público. Trata esto como una condición permanente, no algo que puedas remediar.

• Revisa haveibeenpwned.com. La filtración de Ledger está indexada allí. Ingresa el correo que usaste al comprar en Ledger para confirmarlo.
• Considera migrar a un nuevo alias de correo para todos los servicios cripto. La dirección antigua está quemada. Incluso si limpias tu bandeja de entrada hoy, el phishing continuará para siempre porque tu dirección está en un archivo que ha sido copiado miles de veces.
• Espera intentos de phishing indefinidamente. No hay ningún volumen de "marcar como spam" que eventualmente detenga el flujo. Diferentes estafadores alquilan la lista entre sí. Configura filtros que pongan en cuarentena cualquier mensaje que contenga "Ledger" en una carpeta que revisas manualmente.
• Trata cada correo con branding de Ledger como hostil por defecto. Incluso si parece real. Incluso si el remitente parece correcto. Incluso si el momento coincide con algo que esperabas. La respuesta segura a cualquier correo de Ledger es siempre: cierra el correo, abre el navegador, escribe ledger.com, verifica desde allí.

Para un marco más amplio sobre cómo detectar sitios web falsos en cualquier marca, no solo Ledger, consulta nuestra guía sobre cómo saber si un sitio web es estafa.