Compartir
INFORME DE AMENAZA - PHISHING POR CORREO POSTAL

La carta de la actualización post-cuántica de Ledger es una estafa drenadora por QR

Llega una carta de papel, impresa con la estética de Ledger, con un número de referencia personal y un código QR. Exige que completes una "Actualización de Seguridad de Criptografía Post-Cuántica" antes del 26 de junio de 2026 o perderás el acceso a tu monedero. Ledger confirmó el 5 de junio de 2026 que todo es falso.

SafeBrowz Threat Research Investigación de seguridad14 de junio de 20269 min de lectura

¿Es real la carta post-cuántica de Ledger?

Veredicto: la carta de Ledger sobre la "actualización de seguridad post-cuántica" es una estafa, y el código QR drena tu monedero. El 5 de junio de 2026, Ledger confirmó públicamente una campaña de phishing por correo postal: una carta impresa con un QR personalizado por destinatario, una fecha límite falsa del 26 de junio de 2026 y la amenaza de que los "ordenadores cuánticos" romperán tus claves si no actualizas. El QR te lleva a un sitio que imita a Ledger y te pide tu frase de recuperación de 24 palabras, y luego vacía el monedero. Dos verdades acaban con la estafa al instante: Ledger nunca te envía una carta, y Ledger nunca pide tus 24 palabras en ningún sitio, jamás. Las actualizaciones reales solo ocurren dentro de Ledger Live, al que se entra desde ledger.com. Lo "cuántico" es miedo infundado, no un hecho.

Qué confirmó de verdad Ledger el 5 de junio

Esto no es una suposición de un foro. Ledger lo dijo en voz alta.

A finales de abril y principios de junio de 2026, varios clientes de Ledger empezaron a recibir una carta de papel física en su buzón. Parece oficial: estética de Ledger, un diseño limpio y un "número de referencia" impreso en la esquina superior derecha. La carta afirma que una Actualización de Seguridad de Criptografía Post-Cuántica es obligatoria para seis modelos concretos de dispositivos Ledger, y que debe completarse antes de una fecha límite cercana al 26 de junio de 2026, o el destinatario perderá el acceso a su monedero. La frase que hace el trabajo emocional dice más o menos: "ordenadores cuánticos potentes podrían descifrar tus claves privadas en segundos, pero nuestros algoritmos resistentes a la computación cuántica las mantienen protegidas".

Un validador conocido como Akhil (@akh1l_sol) publicó fotos de la carta de forma pública. Ledger confirmó que era fraudulenta en aproximadamente una hora, y repitió una línea que la empresa lleva años repitiendo: Ledger nunca te pedirá que reveles tu frase secreta de recuperación de 24 palabras, ni a través de una web, ni de un código QR, ni de una llamada, ni de un documento impreso. La cobertura de la campaña apareció en The Crypto Times y Hackread.

¿Por qué están tan bien dirigidas las cartas? Porque los atacantes tienen nombres reales y direcciones postales reales. La filtración de datos de Ledger de 2020 expuso nombres, direcciones y teléfonos de clientes, y desde entonces ha alimentado un goteo constante de phishing físico y digital. Una nueva filtración de enero de 2026 en Global-e, un socio logístico transfronterizo que Ledger usaba, volvió a exponer nombres, direcciones postales, correos y teléfonos de clientes. Ese es el combustible: una dirección real en un sobre real hace que la carta parezca legítima antes de haber leído una sola palabra.

Cómo funciona de verdad el drenaje por QR

La carta está hecha para sacarte del papel y llevarte al teléfono cuanto antes, porque el papel por sí solo no puede robar nada. La instrucción es simple: "escanea el código QR de abajo con tu dispositivo móvil". La carta incluso añade una falsa tranquilidad, que el QR fue "generado de forma única para ti según tu número de referencia". Ese marco de "personalizado" no es una función de seguridad. Es rastreo, y es puro teatro.

Lo escaneas y tu teléfono abre un sitio falso de Ledger. Los dominios duran poco y van rotando, a menudo con una forma del estilo ledger-pq-upgrade[.]com o ledger-quantum-secure[.]com (patrones ilustrativos, no una dirección fija única). La página está diseñada para parecerse a Ledger Live o a un flujo de "migración" de Ledger. Te pide que "valides", "migres" o "restaures" tu monedero, y para hacerlo, te pide que escribas tu frase de recuperación de 24 palabras en una casilla.

Ese es el ataque completo. Las 24 palabras son tu monedero. Cualquiera que las tenga puede reconstruir tu cuenta en su propio dispositivo y mover hasta la última moneda, sin segundo factor, sin reversión y sin un mostrador de soporte que pueda recuperarlas. La historia de la "actualización cuántica" solo existe para que pegues esas palabras antes de pararte a pensar.

Un dominio que imita a Ledger como ledger-live-wallet.com es un ejemplo real de esta clase de estafa. Lleva el nombre de Ledger en un dominio que no es de Ledger, y se escanea como PELIGRO. Pruébalo en el comprobador de abajo. Las únicas superficies oficiales son ledger.com y la app Ledger Live, a la que se llega desde ledger.com/ledger-live.

🛡 VERIFICACIÓN EN VIVO

Comprueba un enlace sospechoso ahora mismo

¿Escaneaste un QR de una carta y no sabes a dónde va? Pulsa el dominio en rojo de arriba o pega el enlace que abrió el QR. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro. No escribas tu frase de recuperación en ningún sitio antes.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Lo de que "un ordenador cuántico romperá tus claves" es miedo, no un hecho

La parte ingeniosa de esta estafa es la tapadera. La criptografía post-cuántica es un campo real y muy activo, y los titulares sobre computación cuántica hacen que la amenaza parezca de actualidad. Los atacantes toman prestada esa ansiedad real y te la apuntan a ti.

Esta es la realidad. Ningún ordenador cuántico que exista hoy puede romper las claves privadas que protegen un monedero cripto. Las máquinas que en teoría podrían amenazar la criptografía actual no están aquí, y las estimaciones serias sitúan cualquier riesgo práctico a años de distancia, con mucho aviso antes de que importe. Cuando esa transición llegue de verdad, llegará como una actualización de firmware normal y bien documentada dentro de Ledger Live, anunciada por canales oficiales, nunca como una carta de papel urgente con cuenta atrás y código QR.

Así que el marco "cuántico" se da la vuelta y se convierte en una señal de alerta. La misma cosa pensada para asustarte y hacerte correr es la pista. Una actualización de seguridad legítima nunca es una emergencia de la misma semana entregada por correo postal. Urgencia más fecha límite más una palabra técnica que da miedo es la firma de un phishing, no de un aviso de firmware.

Por qué una carta impresa funciona mejor que una estafa por correo electrónico

A los usuarios de cripto los han entrenado durante años para desconfiar del phishing por correo electrónico. Una carta se cuela por debajo de ese entrenamiento de tres maneras.

Se siente física y oficial. Cualquiera puede falsificar un correo electrónico. Una carta impresa con tu nombre real y tu dirección de casa costó esfuerzo, y el cerebro lee eso como legitimidad. Ese instinto está aquí exactamente al revés, porque la dirección salió de una filtración de datos.

No hay un enlace que inspeccionar. En un correo de phishing puedes pasar el ratón por encima de un enlace y leer el destino real. Un código QR es opaco. No puedes ver a dónde apunta hasta que tu teléfono ya lo ha abierto, y para entonces la página clonada ya está delante de ti.

Esquiva por completo tus filtros de correo. Sin carpeta de spam, sin banner de "remitente externo", sin pasarela de seguridad. El ataque aterriza en la mesa de tu cocina, por un canal que no tiene ninguna defensa automática.

Señales de alerta que deben frenarte en seco

  • Ledger te mandó una carta de papel. Ledger no envía cartas a sus clientes sobre la seguridad del monedero. Una carta física de "actualización" de Ledger es falsa por definición.
  • Te pide tu frase de recuperación de 24 palabras. Ningún sitio, app, carta o agente legítimo pide jamás tu frase secreta. Esta sola señal lo termina. Márchate.
  • Un código QR es la única forma de actuar. Las actualizaciones reales de Ledger ocurren dentro de la app Ledger Live, no escaneando un código de una página.
  • Una emergencia "cuántica" o "post-cuántica". Ningún ordenador cuántico puede romper las claves de un monedero hoy. La palabra es cebo, usada para fabricar urgencia.
  • Una fecha límite tajante. "Complétalo antes del 26 de junio o pierdes el acceso." Los avisos de seguridad reales no amenazan con dejarte fuera de tus propias monedas con una cuenta atrás.
  • Un número de referencia personal presentado como función de seguridad. Un QR "generado de forma única para ti" es rastreo, no protección.
  • El destino no es ledger.com. Cualquier host con "ledger" que no sea exactamente ledger.com no es Ledger.

Qué hacer si recibiste la carta o escaneaste el QR

El orden importa.

Si solo recibiste la carta, no hagas nada de lo que te pide. No escanees el QR. No visites ninguna URL a la que te dirija. La propia guía de Ledger es ignorarla por completo. Destruye la carta y sigue con tu día. Tu monedero queda intacto mientras tus 24 palabras nunca salgan de tu copia de seguridad física.

Si escaneaste el QR pero no escribiste nada, estás bien. Abrir una página de phishing no mueve fondos. Cierra la pestaña. No vuelvas a entrar "solo para comprobar". No hay nada en esa página que necesites.

Si escribiste tu frase de recuperación de 24 palabras en la página, trata el monedero como totalmente comprometido, de inmediato. No intentes "asegurar" el monedero viejo, no se puede salvar una vez expuesta la frase. En un dispositivo limpio, crea un monedero nuevo de cero con una frase de recuperación nueva, y mueve todos los activos fuera del viejo tan rápido como puedas. El atacante puede estar compitiendo contra ti, así que la velocidad lo es todo. Nuestra guía de recuperación de monedero drenado tiene la lista completa de las primeras 24 horas y los 7 días.

Reporta la estafa. En España, denuncia ante la Policía Nacional o la Guardia Civil, y consulta a la Oficina de Seguridad del Internauta (osi.es) o llama al INCIBE en la línea gratuita 017. En México, repórtalo a la CONDUSEF y, si hubo un cargo en tarjeta, a la PROFECO. Avisa también a Ledger por su canal de soporte oficial para que el proceso de cierre alcance los dominios falsos, y revoca cualquier permiso sospechoso en revoke.cash. Desconfía de cualquiera que luego te ofrezca "recuperación de fondos" garantizada a cambio de una tarifa. Esa es una segunda estafa apilada sobre la primera. Cubrimos la misma trampa de la frase seed por el lado del correo electrónico en la alerta del correo falso de Ledger.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA. Una carta de papel está fuera de línea, así que nada puede escanearla en tu buzón. Pero la estafa solo cobra valor en el último paso, el momento en que el enlace del QR se abre en un navegador y te pide tu frase seed. Ahí es donde SafeBrowz está sentado.

  • Capa 1 - Detección local: más de 60 patrones de URL y una base de datos de más de 550 marcas se ejecutan en el navegador antes de que la página se cargue. Un destino de QR que lleva la marca Ledger en un dominio que no es el oficial dispara al instante una señal de marca-en-dominio-no-oficial, y un diseño de casilla para frase seed junto a un aviso de "validar" o "migrar" es un patrón de drenador conocido. Los hosts parecidos y recién registrados suman peso.
  • Capa 2 - Comprobaciones por API: agrega Google Safe Browsing, PhishTank, URLhaus, ScamAdviser y más de 30 listas de TLD de estafa en el servidor. Las imitaciones de Ledger frescas y personalizadas por víctima aparecen en estos feeds a las pocas horas de salir, y un dominio totalmente nuevo sin historial es por sí mismo una señal ponderada.
  • Capa 3 - Análisis profundo con IA (Premium): el análisis de contenido con IA (a través de nuestro proxy, más de 100 idiomas) atrapa variantes nuevas que ninguna lista de bloqueo tiene aún. Lee la intención de la página, la suplantación de Ledger, la tapadera de la "actualización post-cuántica" y la petición de la frase de recuperación, y luego devuelve un veredicto de peligro en segundos en lugar de fiarse de la estética de aspecto oficial de la página.

El punto metodológico clave: SafeBrowz marca el patrón de marca-en-dominio-no-oficial más casilla de frase seed antes de que se drene el monedero. Funciona sobre la estructura de la página, no sobre ningún registro de por dónde has navegado tú personalmente.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.

Atrapa la página falsa de Ledger antes de pegar tus 24 palabras

SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge, con Safari muy pronto. Marca sitios que imitan a Ledger, páginas drenadoras de "actualización post-cuántica" por QR y cualquier trampa de casilla para frase seed en cuanto el enlace se abre, antes de que puedas entregar tu frase de recuperación. La capa local cubre más de 550 marcas. El análisis profundo con IA (Premium, 14,99 $ al año) atrapa nuevos dominios que imitan a Ledger personalizados por víctima el mismo día en que aparecen, incluso cuando ninguna lista de bloqueo los tiene aún.

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge

Preguntas frecuentes

¿Es real la carta de Ledger sobre la actualización de seguridad post-cuántica?

No. El 5 de junio de 2026, Ledger confirmó públicamente que la carta física que exige una "Actualización de Seguridad de Criptografía Post-Cuántica" es una estafa de phishing. Ledger no envía cartas a sus clientes sobre la seguridad del monedero, no fija fechas límite como el 26 de junio y no usa códigos QR para empujar actualizaciones de firmware. La carta solo existe para enviarte a un sitio falso de Ledger que captura tu frase de recuperación de 24 palabras. Ignórala, no escanees el QR y no escribas tu frase seed en ningún sitio.

¿Ledger pide alguna vez mi frase de recuperación de 24 palabras?

Nunca. Ledger ha dicho repetidamente que jamás te pedirá que reveles tu frase secreta de recuperación de 24 palabras, ni a través de una web, ni de un código QR, ni de una llamada, ni de un documento impreso. Tu frase de recuperación es el monedero en sí. Cualquiera que la tenga puede mover todos tus fondos sin reversión. Cualquier mensaje, página o carta que pida tu frase seed, por el motivo que sea, es una estafa. Una actualización real de un dispositivo Ledger ocurre solo dentro de la app Ledger Live y nunca requiere tu frase de recuperación.

¿De verdad puede un ordenador cuántico romper las claves de mi Ledger?

Hoy no. Ningún ordenador cuántico que exista actualmente puede romper las claves privadas que protegen un monedero cripto, y cualquier riesgo práctico está a años de distancia con mucho aviso. La frase de la carta "un ordenador cuántico descifrará tus claves en segundos" es alarmismo usado para crear urgencia. Cuando la criptografía post-cuántica se vuelva relevante para los monederos, llegará como una actualización normal y documentada dentro de Ledger Live por canales oficiales, no como una carta de papel urgente con un QR y una cuenta atrás.

¿Cómo consiguieron los estafadores la dirección de mi casa?

De filtraciones de datos. La filtración de Ledger de 2020 expuso nombres, direcciones y teléfonos de clientes, y una filtración de enero de 2026 en Global-e, un socio logístico transfronterizo, volvió a exponer nombres, direcciones postales, correos y teléfonos. Esos datos robados permiten imprimir una carta con tu nombre y dirección reales, lo que la hace parecer legítima. Que la dirección postal sea correcta no significa que la carta venga de Ledger. Significa que tus datos estaban en un conjunto de datos filtrado.

Escaneé el código QR. ¿Qué hago ahora?

Si solo abriste la página y no escribiste nada, estás bien. Abrir una página de phishing no mueve fondos. Cierra la pestaña y no vuelvas. Si escribiste tu frase de recuperación de 24 palabras en la página, trata el monedero como totalmente comprometido de inmediato. En un dispositivo limpio, crea un monedero nuevo con una frase de recuperación nueva y mueve todos los activos fuera del viejo ahora mismo, porque el atacante puede estar haciendo lo mismo. Luego reporta la estafa a Ledger y, en España, al INCIBE en el 017 o a la Policía Nacional.

¿Cómo hago una actualización real de Ledger de forma segura?

Solo a través de la app Ledger Live, descargada desde ledger.com. Abre Ledger Live, conecta tu dispositivo y aplica ahí cualquier actualización de firmware o de app que te ofrezca. Llega a Ledger solo en ledger.com, guárdalo en marcadores y entra desde el marcador, nunca desde un enlace de una carta, un anuncio, un resultado de búsqueda o un mensaje directo. Una actualización genuina nunca pide tu frase de recuperación y nunca llega por correo postal. Si dudas de si un enlace es real, pégalo en el comprobador de SafeBrowz de esta página para un veredicto de 3 capas antes de actuar.

Última actualización: 14 de junio de 2026

Más cobertura de SafeBrowz