El mayor ataque a la cadena de suministro cripto: ¿están seguras tus wallets?

• Un ataque a librerías de JavaScript en NPM amenaza la seguridad de wallets como MetaMask.
• El malware modifica direcciones de destino en tiempo real, redirigiendo fondos sin que el usuario lo note.
• Expertos recomiendan verificar cada carácter de las direcciones y suspender temporalmente transacciones on-chain.

En los últimos días, la comunidad cripto ha reaccionado con alarma ante un ataque que compromete directamente la cadena de suministro de software.

Investigadores descubrieron que se habían insertado actualizaciones maliciosas en paquetes de NPM, el gestor de librerías más utilizado por desarrolladores que trabajan con JavaScript.

Este tipo de ataque no va dirigido directamente a los usuarios finales, pero afecta a quienes utilizan aplicaciones basadas en estas librerías, lo que incluye a muchas wallets de criptomonedas.

La amenaza no es menor: el código malicioso está diseñado para detectar wallets como MetaMask y modificar las transacciones antes de que sean firmadas.

¿Cómo funciona el ataque?

El malware actúa de forma invisible y automática. Una vez comprometida una aplicación, intercepta los datos de la transacción, cambia la dirección del destinatario por una controlada por los atacantes, y luego muestra la transacción al usuario para que este la firme, sin saber que los fondos serán enviados al lugar equivocado.

Este tipo de manipulación es particularmente peligrosa porque no requiere que el usuario haga algo mal. Solo con confiar en una aplicación que haya sido afectada, ya existe el riesgo de perder los fondos.

Las reacciones de la comunidad

La noticia ha generado una ola de reacciones entre líderes del ecosistema. Changpeng Zhao (CZ), ex CEO de Binance, fue claro:

“Incluso el software de código abierto ya no es seguro. Web3 redefinirá la seguridad para Web2. Todavía estamos en una etapa temprana”.

Este comentario refleja una realidad incómoda: aunque el código abierto se considera seguro porque puede ser auditado, la cantidad de dependencias externas y librerías que usan los desarrolladores abre la puerta a vulnerabilidades difíciles de detectar.

Quinten François, cofundador de la plataforma weRate, fue aún más contundente al calificar este evento como “el mayor hackeo de la cadena de suministro jamás visto”.

Recomendaciones claras y urgentes

Ante esta situación, la comunidad técnica y educativa ha comenzado a emitir recomendaciones concretas.

Desde América Latina, figuras como Manuel Ferrari, presidente de la ONG Bitcoin Argentina, recomiendan:

• Verificar todos los caracteres de la dirección antes de firmar una transacción, no solo los primeros o los últimos.
• Realizar una transferencia pequeña de prueba antes de enviar montos grandes.
• Utilizar wallets que no dependan de NPM, como Sparrow Wallet, preferiblemente en combinación con hardware wallets.

El analista BtcAndres también enfatiza que las direcciones fraudulentas insertadas por el malware abarcan múltiples criptomonedas, incluyendo BTC, ETH, SOL, LTC y BCH.

¿Qué wallets están a salvo?

Afortunadamente, varios fabricantes de wallets han confirmado que sus dispositivos no fueron afectados por este ataque.

Entre ellos se encuentran:

• Ledger
• Trezor
• Blockstream Jade
• ColdCard
• Wasabi Wallet
• Sparrow
• Electrum
• SeedSigner

En particular, Blockstream Jade aclaró que ni su aplicación ni sus dispositivos están comprometidos, ya que no utilizan JavaScript ni NPM.

Además, la organización Cuba Bitcoin recibió una donación de 10 hardware wallets para realizar talleres de autocustodia en el país, reforzando la educación en buenas prácticas de seguridad.

Un impacto limitado, pero una advertencia clara

Gracias a herramientas de análisis como Arkham Intelligence, se descubrió que el saldo robado hasta el momento es bajo, alrededor de 500 dólares. Sin embargo, este dato no debe generar falsa tranquilidad. La amenaza persiste y el potencial daño es enorme si no se toman precauciones.

El aprendizaje más valioso de este incidente es claro: la seguridad depende cada vez más del comportamiento del usuario.

Verificar manualmente cada transacción, desconfiar de las aplicaciones no auditadas y utilizar hardware wallets son medidas que pueden marcar la diferencia entre proteger tu inversión o perderla en segundos.

¿Cómo protegerte hoy?

• Verifica cada carácter de la dirección del destinatario.
• Usa hardware wallets siempre que puedas.
• Evita firmar transacciones desde apps que usan librerías no verificadas.