Una investigación de Kaspersky reveló la existencia de 26 aplicaciones fraudulentas en la tienda oficial de Apple que suplantan billeteras digitales populares para desviar los fondos de los usuarios.
Campaña fraudulenta utiliza apps falsas de criptomonedas para controlar billeteras digitales
• Los ciberdelincuentes inducen a las víctimas a instalar perfiles de desarrollador corporativos con el fin de introducir versiones adulteradas de monederos virtuales tanto fríos como calientes.
(20/May/2026 – web – Panama24Horas.com.pa) Ciudad de México, México.- Una nueva campaña de fraude digital logró infiltrarse en la App Store de Apple mediante el uso de apps falsas de criptomonedas que se hacen pasar por billeteras virtuales legítimas. De acuerdo con los hallazgos realizados por el equipo de Threat Research de Kaspersky, estas aplicaciones engañosas replican a las plataformas oficiales y, una vez que son abiertas por los usuarios, los redirigen a páginas web externas que simulan ser la tienda de Apple para inducirlos a descargar versiones manipuladas capaces de tomar el control absoluto de sus activos digitales.
Mecanismo de infiltración y marcas afectadas
La operación fraudulenta se encuentra activa al menos desde finales del año 2025 y los investigadores de la compañía de ciberseguridad la vinculan con actores relacionados con el grupo SparkKitty. Kaspersky identificó un total de 26 aplicaciones maliciosas que suplantaban la identidad visual y los nombres de billeteras de criptomonedas populares con el objetivo de engañar al público general. Entre las marcas afectadas por esta suplantación se encuentran Metamask, Ledger, Trust Wallet, Coinbase, TokenPocket, imToken y Bitpie. Aunque la campaña estaba orientada originalmente a un público específico, los analistas aclararon que las aplicaciones no poseen restricciones geográficas, por lo que los usuarios de cualquier país del mundo podrían resultar afectados. Ante este escenario, Kaspersky reportó la totalidad de los casos detectados a Apple.
Para evadir los controles iniciales de la App Store, estas herramientas incorporan funciones básicas de fachada, tales como videojuegos, calculadoras o listas de tareas que les permiten aparentar legitimidad durante el proceso de revisión. Sin embargo, tras la ejecución inicial, el sistema redirige al usuario a un sitio web fraudulento que imita la interfaz de la tienda oficial de Apple, invitándolo a realizar una supuesta actualización o descarga complementaria para poder gestionar sus criptomonedas.
Abuso de perfiles de desarrollador corporativos
El proceso de instalación de este software malicioso emplea un mecanismo similar al detectado previamente en el malware SparkKitty para el sistema operativo iOS, aprovechando herramientas legítimas diseñadas originalmente para la gestión empresarial. En lugar de ejecutar la descarga de forma directa desde la tienda oficial, la página web externa solicita al usuario que instale un «perfil de desarrollador» en su iPhone, un permiso que se utiliza de manera habitual en entornos corporativos para la distribución de aplicaciones internas. Una vez aceptado este requerimiento, el dispositivo móvil queda habilitado para realizar instalaciones desde fuentes externas a la App Store sin mostrar advertencias adicionales de seguridad. En esta etapa, los atacantes introducen una versión alterada de la billetera que incluye un troyano programado para capturar datos sensibles y vaciar los fondos digitales de las víctimas.
La investigación determinó que las aplicaciones modificadas están adaptadas específicamente a la billetera que intentan suplantar, afectando tanto a las billeteras calientes (hot wallets) como a las billeteras frías (cold wallets). En el caso de las billeteras calientes, que guardan las claves privadas en el mismo dispositivo conectado a internet, el malware intercepta la pantalla de creación o recuperación del monedero para monitorear e interceptar las frases semilla. En el caso de las billeteras frías, que mantienen las claves fuera de línea en un hardware dedicado, los atacantes utilizan técnicas de phishing a través de la aplicación frontend para smartphones con el fin de solicitar la frase semilla de forma inesperada, algo que la aplicación original nunca requeriría.
Evaluaciones del equipo de investigación y recomendaciones
María Isabel Manjarrez, Investigadora de seguridad del Equipo Global de Investigación y Análisis de Kaspersky, comentó en tercera persona que estas aplicaciones no parecen peligrosas en su fase inicial, sino que funcionan como una puerta de entrada para conducir al usuario paso a paso a instalar un virus diseñado para el robo de criptomonedas. La especialista advirtió que el uso de herramientas legítimas de Apple para desarrolladores permite que estos engaños alcancen a cualquier iPhone si la persona acepta los permisos, por lo cual instó a mantener la atención ante instalaciones inusuales incluso en entornos considerados seguros, anticipando que es probable ver más casos con tácticas similares en el futuro.
Para mitigar los riesgos de fraude y proteger los activos financieros, Kaspersky listó una serie de recomendaciones prácticas:
• Evitar interactuar con enlaces internos que redirijan a páginas web externas no esperadas.
• Rechazar la instalación de perfiles de configuración o permisos corporativos extraños en el teléfono móvil, a menos que se tenga certeza absoluta de su origen y funcionalidad.
• No compartir bajo ninguna circunstancia datos privados, contraseñas o códigos de recuperación ante solicitudes imprevistas.
• Verificar la identidad del desarrollador oficial, los comentarios de la comunidad, las evaluaciones y los enlaces de origen en la página web real de la empresa antes de proceder con una descarga.
• Implementar soluciones de seguridad integrales como Kaspersky Premium para detectar páginas de phishing y bloquear intentos de fraude en la navegación.
Los detalles técnicos complementarios de esta investigación se encuentran publicados en el sitio especializado Securelist.com.
Deja un comentario
Su dirección de correo electrónico no será publicada. Los campos requeridos estan marcados con *