Un usuario de Ledger identificado como “Wizard of Aus», denunció una extensión maliciosa de Chrome, que le habría robado USD $16.000 en ZEC (Zcash).
El también arquitecto de software y dueño de la cuenta de Twitter @BTCSchellingPt, advirtió a los titulares de billeteras de criptomonedas acerca de una extensión de Chrome “oficial” para billeteras Ledger.
Al parecer, la creación de la cuenta Twitter “@hackedzec» en enero de 2020, así como el nombre elegido, sugieren que “Wizard of Aus” creó la cuenta específicamente para difundir lo sucedido luego de su mala experiencia con el malware en forma de extensión para Chrome.
Por su parte, la cuenta oficial de la empresa Ledger Support en Twitter, confirmó la detección de la extensión maliciosa de Chrome el pasado 2 de enero, utilizando el titular “Alerta de Pishing”.
El phishing es una modalidad de estafa que simula una pesca de datos sensibles vía sitios web, correos electrónicos o extensiones totalmente falsos.
La ex ejecutiva de Trezor y colaboradora del “Pequeño Libro de Bitcoin” Alena Vranova, retuiteó el aviso de Wizard of Aus comentando: «Otra prueba de que la palabra “seguro” no implica seguridad”.
En la cuenta de Wizard of Aus, 600 ZEC (Zcash), con un valor aproximado de USD$ 16.000 al redactarse esta nota, fueron robados de las propiedades de @hackedzec en su Ledger Nano, por el creador de la mencionada extensión de Chrome.
Recomendaciones
Wizard of Aus alertó sobre los riesgos que representan estos productos, señalando: En primer lugar, tenga mucho cuidado con las extensiones que instala. Si usa la misma computadora para su criptografía que usa generalmente, sea muy diligente.
Adicional a los riesgos que implica, Wizard of Aus también relató lo que los usuarios pueden hacer paraprotegerse de estafas o robos con este tipo de extensiones: “Es mejor tener una máquina mínima separada, o usar una máquina virtual que es el único lugar donde realiza actividad criptográfica”, indicó.
Otra diligencia debida según Wizard of Aus incluye usar solo el software propietario del proveedor de billetera, en este caso, Ledger, y verificar que realmente proviene del sitio web del proveedor a través de un enlace seguro.
Los usuarios también pueden verificar la suma de verificación del archivo descargado antes de ejecutar el software, de acuerdo a Cointelegraph. Una suma de comprobación, también conocida como hash, es un número hexadecimal exclusivo del archivo .exe del instalador creado por el autor. El archivo descargado, suponiendo que no haya sido manipulado por un tercero, debe coincidir con la suma de verificación en el sitio del proveedor.
NotiVeraz