Fraude en la App Store con apps falsas de criptomonedas: así operaba la campaña que ponía en peligro tus monederos digitales

  • Kaspersky ha identificado 26 aplicaciones fraudulentas en la App Store que se hacían pasar por billeteras de criptomonedas como MetaMask, Ledger o Trust Wallet.
  • Las apps usaban funciones aparentementes inofensivas y redirigían a páginas que imitaban la App Store para forzar la instalación de un perfil de desarrollador.
  • Tras aceptar ese perfil, el iPhone podía instalar apps externas adulteradas que robaban frases semilla y credenciales de billeteras calientes y frías.
  • El fraude no tenía limitaciones geográficas, afectaba a usuarios de cualquier país y evidencia que incluso las tiendas oficiales pueden ser usadas para campañas sofisticadas de phishing.
Actualidad iPhone

10 minutos

Fraude en la App Store con apps falsas de criptomonedas

Durante años, muchos usuarios de iPhone han dado por hecho que, mientras todo se descargue desde la App Store, el riesgo de malware es prácticamente inexistente. Sin embargo, una nueva campaña de fraude ligada a aplicaciones falsas de criptomonedas ha demostrado que esa confianza puede jugar en contra, incluso en un ecosistema tan cerrado como iOS.

Según una investigación de Kaspersky, al menos 26 aplicaciones maliciosas consiguieron superar los filtros de revisión de Apple haciéndose pasar por billeteras de criptomonedas muy conocidas. El objetivo último era robar frases semilla, claves privadas y otros datos sensibles para tomar el control de los fondos digitales de las víctimas, sin importar su país de residencia. Según Kaspersky, este caso pone en cuestión la eficacia de los filtros de revisión de Apple en determinadas campañas sofisticadas.

26 apps de criptomonedas falsas se cuelan en la App Store

Apps falsas de criptomonedas en la App Store

La investigación del equipo de Threat Research de Kaspersky destapa una campaña que, de acuerdo con sus datos, llevaba activa desde finales de 2025. Durante ese periodo, un conjunto de desarrolladores vinculados a actores relacionados con SparkKitty habría publicado en la App Store varias aplicaciones aparentemente inocuas, pero diseñadas como parte de un esquema de phishing avanzado.

Cada una de estas 26 aplicaciones suplantaba a billeteras de criptomonedas muy extendidas, copiando nombres, iconos y estética general. En la lista de servicios afectados figuran, entre otros:

  • MetaMask
  • Ledger Wallet
  • Trust Wallet
  • Coinbase Wallet
  • TokenPocket
  • imToken
  • Bitpie

Para el usuario medio, el parecido era más que razonable: nombres casi idénticos y logotipos muy similares bastaban para que muchas personas dieran por buena la descarga, confiando en que, al venir de la App Store, debía tratarse de software legítimo.

Cómo buscar contenido en tu iPad
Artículo relacionado:
Cómo reforzar la seguridad de tu cuenta de Apple en tu iPad: guía completa

Aunque la campaña tenía un público objetivo concreto interesado en criptomonedas, Kaspersky subraya que las aplicaciones no tenían restricciones por región. Es decir, cualquier usuario con acceso a la tienda de Apple —ya fuera en España, en otro país europeo o en cualquier parte del mundo— podía toparse con una de estas apps y convertirse en víctima si completaba todos los pasos del engaño.

Apps fachada: juegos, calculadoras y listas de tareas como cebo

Una de las claves de esta operación fue la creación de una fachada de funcionalidad normal. Lejos de ser simples iconos vacíos, muchas de las aplicaciones sospechosas incluían:

  • Pequeños juegos casuales
  • Calculadoras básicas
  • Listas de tareas y utilidades simples

Este tipo de funciones ayudaba a que la app pareciera legítima en un primer vistazo. Nada hacía sospechar que detrás de esa capa inofensiva se escondía un mecanismo preparado para guiar al usuario hacia un segundo paso mucho más peligroso.

El momento crítico llegaba al abrir la aplicación. En lugar de ofrecer directamente el servicio de billetera, las apps redirigían a una página web que imitaba el diseño de la App Store. Allí se invitaba al usuario a descargar una supuesta versión “completa”, “actualizada” o “necesaria” de la billetera de criptomonedas.

Este redireccionamiento era el inicio real del ataque. Para muchos usuarios acostumbrados a interfaces pulidas y homogéneas, la imitación de la tienda oficial resultaba suficientemente convincente, reduciendo su nivel de alerta.

La trampa del perfil de desarrollador en iOS

El truco técnico más delicado de la campaña consistía en aprovechar herramientas legítimas del ecosistema Apple, diseñadas originalmente para empresas y desarrolladores.

En lugar de descargar el malware directamente desde la App Store, las páginas falsas pedían al usuario que autorizara la instalación de un “perfil de desarrollador” o perfil corporativo en su iPhone. Este tipo de perfil se utiliza de forma legítima para distribuir aplicaciones internas en entornos empresariales, fuera de la tienda oficial.

El problema es que, cuando una persona no está familiarizada con su funcionamiento, ese aviso suele parecer un simple requisito técnico más. Al aceptar el perfil, el dispositivo quedaba configurado para instalar apps externas sin las comprobaciones habituales de la App Store y con menos advertencias visibles.

A partir de ese momento, el terreno estaba preparado: el usuario procedía a instalar la que creía que era la billetera oficial —MetaMask, Ledger, Trust Wallet, etc.—, pero en realidad se trataba de una versión modificada con un troyano integrado.

Cómo robaban las frases semilla y las claves privadas

El objetivo de estas aplicaciones adulteradas era muy claro: capturar la información crítica que da acceso a los fondos. En el mundo cripto, esa información se concentra principalmente en las frases semilla o seed phrases y en las claves privadas asociadas a cada billetera.

Kaspersky detalla que el comportamiento del malware se adaptaba al tipo de monedero digital que suplantaba. No es lo mismo atacar una billetera caliente (hot wallet) conectada a internet que un dispositivo físico de almacenamiento en frío (cold wallet). La campaña contemplaba ambas vías.

En las billeteras calientes —las que se usan desde el propio móvil o desde el navegador—, el troyano se centraba en interceptar el proceso de creación o restauración de la cuenta. Cuando el usuario introducía la frase semilla para recuperar su monedero, la aplicación falsa monitorizaba y enviaba esos datos a los atacantes.

Con esa información en su poder, los ciberdelincuentes podían restaurar la billetera en otro dispositivo, sin necesidad de acceder físicamente al iPhone de la víctima, y proceder al traslado de todos los fondos a direcciones controladas por ellos.

Ataques también contra billeteras frías como Ledger

En el caso de las billeteras frías o cold wallets, que se consideran la opción más segura para guardar criptomonedas a largo plazo, la táctica era distinta pero igual de peligrosa.

Servicios como Ledger combinan una aplicación móvil —por ejemplo, Ledger Wallet— con un dispositivo de hardware que almacena las claves privadas fuera de línea. En este modelo, la app sirve solo como interfaz, mientras que la parte crítica de la seguridad reside en el dispositivo físico.

Una característica clave es que la aplicación legítima de Ledger no debería pedir nunca la frase semilla una vez que el dispositivo ha sido configurado. Esa frase se introduce en el propio hardware y no en el móvil.

Las apps falsas detectadas por Kaspersky aprovechaban precisamente este punto: mediante técnicas de phishing, solicitaban al usuario que introdujera su frase semilla para supuestas verificaciones, sincronizaciones o procesos de soporte. Si la persona caía en la trampa y escribía sus palabras de recuperación, el principal escudo de seguridad de la billetera fría quedaba desactivado.

De nuevo, bastaba con disponer de esa frase para que los atacantes pudieran restaurar la billetera en otro dispositivo y mover todos los activos sin posibilidad real de revertir las transacciones.

Una campaña global sin fronteras geográficas

Uno de los elementos más inquietantes del caso es que no existían límites geográficos claros en la distribución de estas aplicaciones. Aunque la operación se dirigía a un segmento de usuarios familiarizado con las criptomonedas, la publicación a través de la App Store hacía que el alcance potencial fuera global.

Kaspersky recuerda que las apps fraudulentas podían descargarse desde cualquier país donde operara la tienda de Apple. Para usuarios en España o en otros estados de la Unión Europea, esto implica que el simple hecho de usar un iPhone no les colocaba en un entorno más seguro frente a este tipo de engaños.

La compañía de seguridad afirma que todos los casos identificados fueron reportados a Apple para su retirada. No obstante, la investigación subraya que la ausencia de restricciones regionales convierte este tipo de campañas en un riesgo transversal que afecta a prácticamente cualquier mercado donde exista adopción de criptomonedas.

Por qué este fraude preocupa tanto al ecosistema cripto

Más allá de las pérdidas económicas individuales, el incidente ilustra un cambio de tendencia en la forma de operar de los ciberdelincuentes. Ya no se trata solo de correos con enlaces extraños o webs mal escritas. Ahora el objetivo es aprovechar la confianza que generan las plataformas oficiales, como la App Store, para reducir las defensas del usuario.

Descargar una app desde la tienda de Apple suele asociarse a un cierto sello de calidad y seguridad. Esa percepción psicológica es precisamente lo que explotan estas campañas: si algo está en la App Store, muchos dan por hecho que ha pasado filtros rigurosos y bajan la guardia.

En paralelo, el auge del ecosistema cripto en Europa y en el resto del mundo ha convertido a las billeteras digitales en un objetivo prioritario para los atacantes. A diferencia de lo que ocurre con una transferencia bancaria tradicional, las operaciones sobre blockchain normalmente no se pueden deshacer. Si el dinero sale de la wallet, recuperarlo es, en la práctica, casi imposible.

Este tipo de incidentes añade presión tanto a proveedores de billeteras como a plataformas como Apple, que se ven obligadas a reforzar sus procesos de revisión, autenticación de desarrolladores y detección de patrones sospechosos en torno a apps financieras.

Consejos clave para no caer en apps falsas de criptomonedas

A raíz de la investigación, Kaspersky ha publicado una serie de pautas básicas que pueden marcar la diferencia a la hora de evitar fraudes similares, especialmente relevantes para usuarios europeos que gestionan parte de su patrimonio en criptomonedas desde el móvil.

Entre las recomendaciones más repetidas destacan varias ideas que, aunque puedan parecer de sentido común, siguen siendo vulneradas con frecuencia en el día a día:

  • Desconfiar de los enlaces internos: si una aplicación te saca de golpe a una página web externa para descargar otra app o una actualización, tómalo como una señal de alerta.
  • No instalar perfiles desconocidos: evita aceptar perfiles de configuración, certificados o permisos de desarrollador si no provienen de una fuente corporativa verificada (por ejemplo, el departamento de TI de tu empresa).
  • Cuidar la frase semilla: ninguna billetera legítima debería pedir tus palabras de recuperación de forma inesperada o fuera del proceso inicial de configuración.
  • Revisar el desarrollador oficial: antes de instalar una app de criptomonedas, comprueba el nombre exacto del creador, el sitio web asociado y las valoraciones de otros usuarios.
  • No compartir datos sensibles (contraseñas, códigos de recuperación, claves privadas) en formularios o webs que no hayas verificado al detalle.

La firma también sugiere apoyarse en soluciones de seguridad especializadas que ayuden a identificar páginas falsas y bloqueen intentos de phishing relacionados con servicios financieros y criptoactivos. Aunque en iOS el uso de antivirus no está tan extendido como en otros sistemas, este tipo de campañas reabre el debate sobre hasta qué punto conviene contar con capas de protección adicionales.

El caso de las 26 apps falsas en la App Store demuestra que ni siquiera los entornos más controlados están libres de riesgos: los atacantes afinan sus técnicas, se apoyan en herramientas corporativas legítimas y diseñan procesos paso a paso para que todo parezca normal hasta el último momento. En un contexto en el que cada vez más usuarios en España y en Europa gestionan criptomonedas desde el móvil, mantenerse alerta ante perfiles de desarrollador, peticiones de frases semilla y redirecciones extrañas se ha convertido, más que en una recomendación, en una necesidad básica para proteger el dinero digital propio.


Puede que le interese:
Según afirma Apple, es la compañía más eficaz del mundo en seguridad
Síguenos en Google News