Billetera falsa de criptomonedas ocupa el cuarto lugar en Chrome Web Store mientras roba fondos de usuarios

La extensión maliciosa llamada "Safery: Ethereum Wallet" parece legítima a primera vista. Se posiciona justo detrás de billeteras confiables como MetaMask cuando los usuarios buscan "Ethereum Wallet" en la tienda de Chrome. Sin embargo, investigadores de seguridad han descubierto que contiene código oculto diseñado para robar criptomonedas de cualquiera que la use.

Cómo funciona la estafa

La billetera falsa utiliza un método sofisticado para robar las frases de recuperación de los usuarios. Cuando alguien crea una nueva billetera o importa una existente, la extensión codifica secretamente su frase de recuperación de 12 o 24 palabras en direcciones falsas de la blockchain Sui.

El código malicioso luego envía pequeñas transacciones por valor de 0.000001 tokens SUI a estas direcciones codificadas. Para los observadores externos, estas parecen actividades normales de blockchain. Pero los atacantes pueden decodificar estas transacciones para recuperar la frase de recuperación completa de la víctima y obtener control total de su billetera de criptomonedas.

Fuente: socket.dev

El equipo de seguridad de Socket descubrió esta extensión y explicó cómo funciona. "El mnemónico sale del navegador oculto dentro de transacciones blockchain de apariencia normal", afirma su informe. Esto hace que el robo sea casi imposible de detectar utilizando métodos de seguridad tradicionales.

Señales de advertencia que los usuarios pasaron por alto

Varias señales de alerta deberían haber advertido a los usuarios sobre esta billetera falsa. La extensión no tiene reseñas de usuarios y contiene errores gramaticales en su descripción. También carece de un sitio web oficial y solo lista una dirección de Gmail para contacto con el desarrollador.

La extensión se cargó inicialmente el 29 de septiembre de 2025, con la actualización más reciente el 12 de noviembre de 2025. A pesar de estas obvias señales de advertencia, la billetera falsa logró ascender al cuarto lugar en los rankings de búsqueda, exponiendo potencialmente a miles de usuarios al robo.

Los expertos en seguridad dicen que esta alta clasificación le da a la extensión maliciosa "visibilidad inmediata y una apariencia de legitimidad para usuarios desprevenidos". Este posicionamiento aumenta dramáticamente las posibilidades de que las personas descarguen y usen la billetera falsa antes de descubrir su verdadera naturaleza.

Amenaza creciente para usuarios de criptomonedas

Las estafas de extensiones de navegador representan un problema creciente en el espacio de las criptomonedas. Los datos de la industria muestran que las estafas relacionadas con billeteras drenaron más de $500 millones solo en 2024, con las extensiones de navegador convirtiéndose en un vector de ataque cada vez más popular según informes de la industria.

El momento de este descubrimiento es particularmente preocupante. Las herramientas cripto impulsadas por IA se están volviendo más populares, con tokens de Agente de IA creciendo un 222% a finales de 2024. A medida que más personas buscan formas convenientes de administrar sus criptomonedas, se vuelven más vulnerables a herramientas falsas que prometen soluciones fáciles.

Esta billetera falsa representa un nuevo nivel de sofisticación en el robo de criptomonedas. A diferencia de los simples sitios web de phishing que podrían ser estafas obvias, esta extensión apareció en la tienda oficial de Google junto con opciones legítimas. El método basado en blockchain para robar frases de recuperación también es innovador, utilizando la transparencia de las redes blockchain contra los usuarios.

Estado actual y respuesta

A partir del 14 de noviembre de 2025, la extensión Safery sigue disponible para descargar en la Chrome Web Store. Socket informó sobre la extensión maliciosa al equipo de seguridad de Google y solicitó la eliminación de la cuenta del editor, pero la extensión aún no ha sido retirada.

La disponibilidad continua de la extensión destaca los problemas continuos con las revisiones de seguridad de las tiendas de aplicaciones. Aunque Google tiene políticas establecidas para prevenir software malicioso, estafas sofisticadas como esta pueden pasar por el proceso de aprobación y permanecer disponibles durante semanas o meses.

Los investigadores de seguridad advierten que esta técnica podría extenderse a otras redes blockchain. El método funciona explotando la naturaleza pública de las transacciones blockchain, lo que significa que ataques similares podrían dirigirse a usuarios de Solana, Ethereum u otras redes de criptomonedas.

Cómo mantenerse seguro

Los usuarios pueden protegerse siguiendo varias prácticas clave de seguridad. Siempre investigue cualquier billetera cripto o extensión antes de la instalación. Busque herramientas establecidas con miles de reseñas positivas y desarrolladores verificados.

Las billeteras cripto legítimas como MetaMask se someten a auditorías de seguridad regulares por firmas profesionales. También mantienen sitios web oficiales con documentación detallada y recursos de soporte. Las billeteras falsas típicamente carecen de estas características.

Nunca comparta frases de recuperación con nadie, y sospeche de cualquier software que solicite su frase de recuperación completa durante la operación normal. Las billeteras legítimas solo requieren frases de recuperación durante los procesos de configuración inicial o recuperación.

Monitoree las transacciones de su billetera regularmente para detectar cualquier actividad inesperada. Incluso transacciones pequeñas podrían indicar que su frase de recuperación ha sido comprometida. Use exploradores de blockchain para revisar todas las transacciones entrantes y salientes de sus direcciones.

Habilite la autenticación de dos factores (2FA) en intercambios de criptomonedas y servicios de billetera siempre que sea posible. Si bien esto no protegerá contra el robo de frases de recuperación, agrega una capa de seguridad adicional para cuentas en línea.

El Salvaje Oeste Digital continúa

Este incidente muestra que las criptomonedas siguen siendo un entorno rico en objetivos para estafadores. A pesar de años de advertencias sobre riesgos de seguridad, las billeteras falsas y extensiones maliciosas continúan engañando a los usuarios y robando millones de dólares.

La sofisticación de esta estafa en particular – usando transacciones blockchain para ocultar datos robados – sugiere que los atacantes están desarrollando constantemente nuevos métodos para mantenerse por delante de las medidas de seguridad. Los usuarios deben permanecer vigilantes y ceñirse a herramientas bien establecidas y auditadas al administrar sus activos de criptomonedas.