¡Cuidado! Una extensión maliciosa de billetera de Ethereum roba frases semilla a través de microtransacciones de Sui.

La plataforma de seguridad de la cadena de bloques Socket publicó un informe el 13 de noviembre de 2025, revelando que una extensión maliciosa de Chrome llamada “Safery: Ethereum Wallet” roba las frases semilla de los usuarios a través de un método de ataque único. Esta extensión ocupa el cuarto lugar en la búsqueda de “billetera Ethereum” en Chrome Web Store, y completa la filtración de datos al codificar la frase mnemotécnica BIP-39 en una DIRECCIÓN de la cadena de bloques Sui y enviar una microtransacción de 0.000001 SUI. Hasta la publicación del informe, la extensión aún estaba disponible para su descarga desde el 29 de septiembre, y las características como cero comentarios de usuarios, errores gramaticales en la información de la marca y una cuenta de desarrollador de Gmail deberían alertar a los usuarios.

Vías de propagación de extensiones maliciosas y estrategias de camuflaje

“Safery: Billetera de Ethereum” se ha convertido en una extensión maliciosa que, desde su subida al Chrome Web Store el 29 de septiembre de 2025, ha escalado rápidamente al cuarto lugar en los resultados de búsqueda de la palabra clave “Billetera de Ethereum” gracias a estrategias de optimización en motores de búsqueda, solo detrás de billeteras legítimas como MetaMask, Wombat y Enkrypt. Los atacantes diseñaron cuidadosamente el ícono de la extensión y la descripción, utilizando una interfaz en tonos azules similar a la de las billeteras legítimas y frases publicitarias como “seguro y confiable”, pero el error ortográfico en el nombre de la marca “Safery” (debería ser Safety) se ha convertido en el primer signo de identificación.

La información de la página de extensión muestra que el correo electrónico de contacto del desarrollador es una cuenta gratuita de Gmail, y no un dominio empresarial profesional; la descripción de la extensión contiene varios errores gramaticales; lo más importante es que esta extensión no ha recibido ninguna evaluación de usuarios durante un período en línea de 45 días, lo que constituye una típica alarma roja de malware. Según la política oficial de Google, la Chrome Web Store debe realizar un escaneo de seguridad automático de las extensiones, pero evidentemente este nuevo método de ataque logró eludir el mecanismo de detección. Hasta el 13 de noviembre, Google aún no ha retirado la extensión, el último registro de actualización muestra que el atacante todavía estaba optimizando el código el 12 de noviembre.

Análisis de los principios técnicos del mecanismo de robo de datos

A diferencia de los malware tradicionales que utilizan servidores de comando y control para transferir datos, esta extensión emplea una técnica extremadamente encubierta de filtración de datos en la cadena de bloques. Cuando el usuario crea una nueva billetera o importa una billetera existente, la extensión captura la frase mnemotécnica completa BIP-39, y luego codifica las 12 o 24 palabras en una dirección de cadena de bloques SUI que parece normal a través de un algoritmo específico. Una vez completada la codificación, la extensión envía microtransacciones de 0.000001 SUI (aproximadamente 0.000001 dólares) desde una billetera controlada por el atacante a estas direcciones falsas.

El investigador de seguridad de Socket, Kirill Boychenko, explicó que esta tecnología esencialmente convierte la cadena de bloques pública en una capa de transmisión de datos. Los atacantes solo necesitan monitorear las transacciones en la cadena Sui para poder decodificar la frase semilla original a partir de la DIRECCIÓN del receptor. Dado que el monto de las transacciones es extremadamente pequeño y se mezcla con el tráfico normal, los usuarios comunes apenas pueden detectarlo. Más peligroso aún, este tipo de ataque no depende de herramientas de monitoreo de red tradicionales, ya que la filtración de datos se completa a través de llamadas RPC de cadena de bloques legítimas; los firewalls y el software antivirus generalmente no marcan estas acciones.

Resumen de características de ataques de expansión maliciosa

Nombre de la extensión: Safery: Billetera de Ethereum

Fecha de carga: 29 de septiembre de 2025

Última actualización: 12 de noviembre de 2025

Clasificación de Chrome Store: cuarto lugar (buscar “Billetera Ethereum”)

Método de ataque: codificación de la frase semilla a la DIRECCIÓN SUI

Monto de la transacción: 0.000001 SUI

Objetivo de robo: frase mnemotécnica BIP-39

Características de identificación: sin comentarios, errores gramaticales, cuenta de desarrollador de Gmail

Estado actual: aún se puede descargar (hasta el 13 de noviembre)

Guía de Identificación de Usuarios y Medidas de Prevención

Para los usuarios comunes, identificar este tipo de extensiones maliciosas requiere seguir varios principios clave. Primero, solo instale extensiones de canales oficiales y que tengan una gran cantidad de reseñas reales: MetaMask tiene más de 10 millones de usuarios y una calificación de 4.8 estrellas, mientras que las extensiones maliciosas suelen tener pocas reseñas. En segundo lugar, revise cuidadosamente la información del desarrollador; los proyectos legítimos utilizan correos electrónicos empresariales y sitios web profesionales, no correos electrónicos gratuitos. Tercero, preste atención a la coherencia de la marca; errores ortográficos y un diseño deficiente suelen ser señales de peligro.

En términos de operación, los expertos en seguridad sugieren adoptar una estrategia de defensa en múltiples capas. Antes de instalar nuevas extensiones, utiliza herramientas como VirusTotal para escanear el ID de la extensión; revisa regularmente los cambios en los permisos de las extensiones instaladas; utiliza una Billetera de hardware para almacenar activos de gran valor, evitando guardar claves privadas en extensiones del navegador. Para los usuarios sospechosos de estar infectados, deben transferir inmediatamente los activos a una Billetera segura recién creada y realizar un escaneo completo del sistema. Koi Security también recomienda que los usuarios monitoreen todas las transacciones de la cadena de bloques, especialmente las salidas de montos anómalos, ya que esto podría indicar que un atacante está probando permisos de acceso.

Evolución de las tecnologías de respuesta y detección en la industria de la seguridad

Frente a este nuevo tipo de ataque, las empresas de seguridad están desarrollando soluciones de detección específicas. Los métodos de detección que tradicionalmente dependen de nombres de dominio, URL o ID de extensión ya no son suficientes, ya que los atacantes utilizan completamente la infraestructura legítima de la cadena de bloques. La nueva solución propuesta por Socket incluye la monitorización de llamadas RPC de cadena de bloques inesperadas en el navegador, la identificación de patrones de codificación de frases mnemotécnicas y la detección de comportamientos de generación de DIRECCIÓN sintética. Especialmente en el caso de las transacciones de salida iniciadas durante el proceso de creación o importación de billeteras, sin importar cuán pequeñas sean las cantidades, deben considerarse como comportamientos de alto riesgo.

Desde un punto de vista técnico, defenderse contra este tipo de ataques requiere un esfuerzo conjunto de los fabricantes de navegadores, empresas de seguridad y proyectos de cadena de bloques. Chrome Web Store necesita fortalecer el análisis estático y dinámico del código de las extensiones, especialmente la revisión de las llamadas a las API de cadena de bloques. El software de seguridad debe actualizar su base de características para marcar el comportamiento de difusión no autorizada de frases mnemotécnicas como malicioso. Los proyectos de cadena de bloques también pueden considerar detectar patrones de transacciones anómalas a nivel de nodo, aunque esto puede entrar en conflicto con la idea de descentralización.

Evolución de las amenazas a la seguridad de la cadena de bloques

Desde el robo de claves privadas por sitios web de phishing en 2017, hasta el reemplazo de direcciones en el portapapeles por programas troyanos en 2021, y ahora la filtración de datos de microtransacciones, las amenazas a la seguridad de la cadena de bloques continúan evolucionando y escalando. Este método de filtración de datos a través de redes de cadena de bloques legítimas representa una nueva tendencia: los atacantes están utilizando la inmutabilidad y el anonimato de la cadena de bloques como herramientas de ataque. A diferencia de los ataques tradicionales, este método no requiere el mantenimiento de servidores C&C, es difícil rastrear la identidad del atacante y el proceso de transferencia de datos es completamente “legal”.

Los datos históricos muestran que las pérdidas de activos debido a incidentes de seguridad de billetera superan los 1,000 millones de dólares al año, y la proporción de incidentes relacionados con extensiones de navegador ha aumentado del 15% en 2023 al 30% en 2025. Este crecimiento refleja un cambio en las estrategias de los atacantes: a medida que se popularizan las billeteras de hardware, se vuelve más difícil atacar directamente las billeteras frías, por lo que se dirigen hacia las extensiones de billeteras calientes que tienen una protección relativamente débil. Cabe destacar que recientemente varias extensiones maliciosas han imitado el diseño de la interfaz de usuario de MetaMask, pero las sutiles diferencias aún son distinguibles.

Mejores prácticas para la seguridad de los activos digitales personales

Para garantizar la seguridad de los activos digitales, los usuarios deben establecer hábitos de seguridad sistemáticos. Primero, adoptar una estrategia de almacenamiento por niveles: utilizar una billetera ligera en el teléfono para transacciones pequeñas, una extensión de navegador combinada con firma hardware para montos intermedios y una billetera fría de múltiples firmas para grandes activos. En segundo lugar, implementar aislamiento de operaciones: crear dispositivos dedicados para realizar operaciones relacionadas con la billetera, sin mezclarlo con la navegación web diaria. Tercero, realizar auditorías de seguridad periódicas: revisar registros de autorización, historial de transacciones y permisos de extensión.

Para los usuarios empresariales, se recomienda implementar un sistema de monitoreo de seguridad especializado, que rastree las extensiones de navegador instaladas por los empleados y establezca un mecanismo de alerta para transacciones en la cadena de bloques. Las transferencias de grandes cantidades deben requerir la autorización de varias personas, y la DIRECCIÓN de recepción debe pasar por un proceso de verificación. Además, se debe capacitar regularmente a los empleados sobre ataques de ingeniería social, mejorando su capacidad para identificar correos electrónicos de phishing y sitios web falsos. En el aspecto técnico, considere utilizar una Billetera de contrato inteligente, para reducir el riesgo de fallos en un solo punto mediante límites diarios y un mecanismo de contactos de confianza.

Necesidades de colaboración en la industria y respuesta regulatoria

Resolver este tipo de amenazas a la seguridad requiere la colaboración de toda la industria. Los fabricantes de navegadores deben establecer procesos de revisión de extensiones más estrictos y aplicar revisiones especiales a las extensiones que acceden a las API de la cadena de bloques. Las empresas de seguridad necesitan compartir información sobre amenazas y establecer una base de datos de características de extensiones maliciosas. Los proyectos de cadena de bloques pueden considerar agregar una función de marcado de transacciones a nivel de protocolo, que permita a los usuarios incluir direcciones sospechosas en una lista negra.

Desde la perspectiva regulatoria, los países pueden reforzar los requisitos de regulación para las aplicaciones de billetera de criptomonedas, incluyendo auditorías de código obligatorias, verificación de identidad de los desarrolladores y seguros de protección. La normativa MiCA de la UE ya ha establecido requisitos básicos para los proveedores de billeteras, pero los detalles de implementación aún necesitan ser perfeccionados. A largo plazo, la industria necesita establecer mecanismos de detección de fraude y recuperación de fondos similares a los de las finanzas tradicionales, aunque esto presenta una tensión inherente con las características de descentralización de los activos criptográficos.

Perspectivas de seguridad

Cuando los atacantes comienzan a utilizar la cadena de bloques como medio de ataque, y las microtransacciones se convierten en canales de filtración de datos, nos enfrentamos no solo a desafíos técnicos, sino también a una innovación conceptual. Lo aterrador de este nuevo tipo de ataque no radica en su complejidad, sino en que socava la percepción de que “las transacciones de cadena de bloques son seguras”. En el camino hacia la corriente principal del mundo de las criptomonedas, la seguridad sigue siendo el eslabón más débil; el incidente de “Safery” de hoy nos recuerda que, al confiar en el código, también necesitamos establecer mecanismos de verificación sistemáticos. Después de todo, en el mundo de los activos digitales, la seguridad no es una función, sino una base.