Rewards Hub 
Una versión falsa de Ledger Live estuvo disponible en la App Store de Apple durante aproximadamente dos semanas. Para cuando Apple la retiró el 14 de abril, al menos 50 personas habían perdido un total de $9,5 millones en criptomonedas. La aplicación se publicó bajo el nombre "Leva Heal Limited", una entidad sin relación con Ledger SAS, la compañía original de los monederos Ledger. Las víctimas descargaron lo que creían que era la aplicación oficial, introdujeron sus frases semilla y vieron cómo sus fondos desaparecían en minutos.
El investigador de blockchain ZachXBT rastreó los fondos robados y publicó un desglose completo el 14 de abril. Las tres mayores pérdidas individuales fueron $3,23 millones en USDT, $2,08 millones en USDC y $1,95 millones en BTC, ETH y stETH. Una víctima indicó en X que perdió 5,9 BTC, todos sus ahorros de una década.
Esta situación muestra cómo un fallo en la revisión de la App Store de Apple afectó directamente a los usuarios que confiaron en el sistema.
Cómo funcionó la estafa: del enlace a la pérdida
El ataque fue sencillo, lo que facilitó su eficacia. La app falsa de Ledger Live apareció en la App Store de macOS con el mismo icono, nombre y un editor que aparentaba ser legítimo. "Leva Heal Limited" no dice nada a quien busque "Ledger Live", esperando que Apple bloquee aplicaciones fraudulentas.
Una vez instalada, la app mostraba una pantalla de configuración de monedero idéntica a la original. Pedía la frase de recuperación de 24 palabras para "restaurar" o "sincronizar" el monedero. Al ingresar esas palabras, los atacantes obtenían control total sobre los activos del usuario. No hubo inyección de malware, ni vulnerabilidades explotadas: solo un formulario y un usuario que confió en la fuente.
Las transferencias ocurrieron rápidamente. Entre el 7 y el 13 de abril, los atacantes actuaron de manera sistemática. El robo de $3,23 millones en USDT ocurrió el 9 de abril, el de $1,95 millones en BTC/ETH/stETH el 8 de abril, y el de $2,08 millones en USDC el 11 de abril. Todas las sustracciones siguieron el mismo patrón: frase semilla ingresada, fondos transferidos en minutos y activos movidos a monederos intermedios antes de llegar a direcciones de exchanges.
Destino del dinero
El análisis on-chain de ZachXBT rastreó los fondos robados a través de más de 150 direcciones de depósito en KuCoin. La operación de lavado utilizó un servicio de mezcla centralizado llamado "AudiA6", que procesa cripto robado a cambio de altas comisiones y distribuye los fondos en varias direcciones para dificultar la trazabilidad.
La elección de KuCoin es relevante porque ha enfrentado presiones regulatorias y sus controles KYC han sido considerados menos estrictos que los de exchanges regulados en EE. UU. Para los atacantes, usar un exchange con controles menos rigurosos reduce el riesgo de que se congelen los fondos.
Hasta el 16 de abril, no se ha recuperado ningún fondo. El servicio de mezcla y la velocidad de la operación dificultan la recuperación, aunque no la hacen imposible si KuCoin colabora con las autoridades.
Por qué falló la revisión de Apple
Este aspecto resulta especialmente frustrante para las víctimas. Apple cobra una comisión del 30% y promociona su App Store como un entorno seguro debido a su sistema de revisión. Incluso ha argumentado legalmente contra la descarga de apps externas por este motivo.
Sin embargo, una app falsa de monedero estuvo activa por aproximadamente dos semanas antes de ser retirada. El equipo de revisión no la detectó; solo la eliminaron tras reportes comunitarios y cobertura mediática.
Según informes de 9to5Mac, la app de Ledger no fue la única eliminada ese día; también se retiró una versión fraudulenta de Freecash, indicando fallas simultáneas en la revisión.
Apple confirmó que la cuenta de desarrollador fue eliminada. Sin embargo, hacerlo después de que se produjera el robo es insuficiente. La gran cuestión es cómo una copia de una app reconocida pudo superar la revisión inicial.
Las víctimas y las posibles repercusiones legales
Las más de 50 víctimas son personas reales. Un usuario (@glove) relató en X la pérdida de 5,9 BTC, ahorros de toda una vida. Otros perdieron sumas importantes en stablecoins que mantenían en frío, confiando en la seguridad de los monederos hardware.
Lo irónico es que no accedieron a enlaces dudosos, sino a la App Store de Apple, esperando la máxima seguridad, y descargaron lo que creían una app verificada. Siguieron las recomendaciones habituales de seguridad.
ZachXBT sugirió que la magnitud de las pérdidas podría fundamentar una demanda colectiva contra Apple, argumentando una "obligación de cuidado". La empresa lucra con su sistema cerrado, impide la instalación de apps externas y promete proteger a los usuarios. Cuando este sistema falla y se producen pérdidas millonarias, la diferencia entre la promesa y la realidad podría convertirse en responsabilidad legal.
La posibilidad de una demanda dependerá de la organización de las víctimas y el interés de los despachos legales. El precedente es relevante: si Apple no enfrenta consecuencias legales, la seguridad de la App Store quedaría como un lema de marketing más que un compromiso real.
Cómo protegerse de aplicaciones falsas de monederos
La principal lección de este caso es que "descargar desde la tienda oficial" ya no es suficiente. Se requieren verificaciones adicionales que toman menos de un minuto.
Verifica el nombre del editor antes de instalar. El Ledger Live auténtico es publicado por "Ledger SAS". El falso, por "Leva Heal Limited". Esta revisión habría evitado el robo. Consulta el sitio oficial del desarrollador para confirmar el enlace de descarga.
Nunca ingreses tu frase semilla en ninguna app. Tu frase de recuperación de 24 palabras es la clave maestra de tu monedero. Ninguna app legítima la solicitará para "sincronizar" o "restaurar". La documentación oficial de Ledger indica que solo debe ingresarse en el dispositivo físico, nunca en la computadora o el móvil.
Guarda en marcadores la página oficial de descarga. Ve una vez a ledger.com/ledger-live, verifica que el dominio sea correcto y añade a favoritos. Usa ese acceso directo para descargas o actualizaciones, no busques en la App Store cada vez.
Haz pruebas on-chain antes de confiar en una app. Si ya instalaste una app de monedero y quieres comprobar su legitimidad, haz una transferencia pequeña de prueba. Envía una cantidad mínima y verifica que llegue antes de mover sumas mayores.
Para quienes prefieren mantener sus activos en un exchange regulado en lugar de gestionar las claves propias, el equilibrio de riesgos cambia. La autocustodia sigue siendo el estándar para la soberanía, pero implica verificar cada software vinculado a tus llaves. La custodia en exchange elimina el vector de ataque de apps falsas, aunque introduce otros riesgos como la insolvencia del exchange.
Implicaciones para la seguridad en cripto
No fue un exploit de smart contract. No hubo hackeo de código ni compromiso del blockchain. El ataque explotó la confianza humana en el proceso de verificación de plataformas. Funcionó porque el sistema de revisión de Apple generó esa confianza.
La industria cripto ha mejorado la seguridad on-chain: monederos multifirma, módulos de seguridad por hardware, auditorías de contratos y programas de recompensas. Pero la superficie de ataque ha cambiado: los robos más efectivos en 2025 y 2026 han sido por ingeniería social, phishing y aplicaciones falsas, explotando la brecha entre percepción y realidad en seguridad.
The Block informó que los fondos robados incluyeron Bitcoin, Ethereum, Solana, Tron y XRP, ya que una frase semilla da acceso a todos los monederos derivados en todas las redes. Un campo, pérdida total.
Para Apple, esto representa un problema de reputación más allá de las criptomonedas. Si la App Store no puede filtrar copias de apps financieras reconocidas, el argumento de seguridad de su ecosistema cerrado se debilita. Con la regulación de la UE forzando la descarga lateral, la justificación de exclusividad pierde peso.
Preguntas frecuentes
¿Cómo llegó una app falsa de Ledger a la App Store?
El proceso de revisión de Apple suele detectar malware, pero no siempre identifica apps que imitan productos financieros legítimos con marcas y interfaces similares. La app falsa de Ledger Live fue publicada por "Leva Heal Limited" y el equipo de Apple no detectó la discrepancia; solo la retiraron tras reportes de la comunidad.
¿Pueden las víctimas recuperar los $9,5 millones robados?
La recuperación es extremadamente difícil pero no imposible. Los fondos se lavaron a través de más de 150 direcciones de KuCoin usando el servicio "AudiA6". Si KuCoin coopera con las autoridades y congela las cuentas asociadas, podría recuperarse parte. Sin embargo, el proceso de mezcla complica el rastreo y, al 16 de abril, no se han recuperado fondos.
¿Debo dejar de usar los monederos Ledger?
El dispositivo Ledger no fue vulnerado. El problema fue una app falsa que engañó a los usuarios para obtener sus frases semilla. Tu Ledger sigue siendo seguro si solo introduces tu frase en el dispositivo físico y descargas Ledger Live exclusivamente desde ledger.com y no desde búsquedas en la App Store.
¿Apple tiene responsabilidad legal por las pérdidas?
ZachXBT y algunos expertos legales consideran que esto podría fundamentar una demanda colectiva. Apple promociona su tienda como segura y obtiene beneficios de su modelo cerrado. Si esa curaduría falla y hay pérdidas, existe argumento legal por incumplimiento de deber de cuidado. No hay demanda presentada aún, pero las pérdidas documentadas podrían ser base para una.
Conclusión
La app falsa de Ledger Live en la App Store de Apple mostró una vulnerabilidad inesperada. Cincuenta personas confiaron en el proceso de revisión de Apple, ingresaron sus frases semilla en una app supuestamente verificada y perdieron $9,5 millones en seis días. Los atacantes no usaron técnicas sofisticadas: crearon una copia, la publicaron bajo otro nombre y esperaron a que los usuarios brindaran sus claves.
La principal recomendación: verifica siempre el nombre del editor antes de instalar apps relacionadas con cripto. Nunca ingreses tu frase semilla en software en pantalla. Y trata la tienda de aplicaciones con el mismo escepticismo que cualquier otra fuente de descarga, porque el sello de "oficial" no garantiza seguridad. Los $9,5 millones actualmente en servicios de mezcla son prueba de lo que pasa cuando esa confianza es errónea.
Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. Operar con criptomonedas implica riesgos significativos. Investigue antes de tomar decisiones.
