La extensión de Chrome de Trust Wallet envió una actualización maliciosa en diciembre, filtrando datos de billeteras y drenando aproximadamente $7 millones de cientos de cuentas antes de que la compañía implementara una solución.
La versión comprometida 2.68 estuvo activa durante días y se actualizó automáticamente en segundo plano, como están diseñadas las extensiones del navegador. Los usuarios que siguieron todas las reglas estándar de autocustodia, como nunca compartir su frase inicial, verificar las URL y usar billeteras acreditadas, aún así perdieron fondos.
El ataque se dirigió a la capa del navegador, no a la cadena de bloques, y expuso una compensación persistente que la industria ha pasado años tratando de ignorar: las billeteras con extensiones de navegador son billeteras siempre activas ubicadas en uno de los entornos informáticos más hostiles.
Este no fue un caso aislado. El equipo de seguridad de MetaMask documentó una extensión falsa de Google Chrome llamada “Safery: Ethereum Wallet” que estuvo en la tienda web oficial de Chrome desde finales de septiembre hasta mediados de noviembre, robando frases iniciales.
Chainalysis estima que el robo de criptomonedas alcanzó los 3.400 millones de dólares en 2025, y los compromisos de carteras personales representaron el 20% de ese total, o 713 millones de dólares. Sin embargo, eso habría sido el 37% sin el hackeo del intercambio Bybit.
En perspectiva, los ataques a billeteras personales representaron solo el 7,3% del valor robado en 2022 y el 44% en 2024, lo que indica que los atacantes están siguiendo el valor hasta dondequiera que se encuentren las claves de usuario.
La compensación UX/seguridad que no desaparecerá
Las extensiones del navegador se encuentran en el mismo entorno que el adware y los complementos aleatorios. Campañas como “ShadyPanda” y “GhostPoster” muestran cómo las extensiones benignas pueden actualizarse años después con código que roba cookies o ejecuta comandos remotos, a través de canales de actualización legítimos.
El caso de Trust Wallet demuestra que incluso las billeteras de buena reputación pueden enviar temporalmente actualizaciones comprometidas y los usuarios las aceptan porque las extensiones se actualizan automáticamente en segundo plano. Ésa es la contrapartida: las actualizaciones automáticas parchean las vulnerabilidades rápidamente pero también entregan código incorrecto a escala.
La usabilidad empuja a los usuarios a firmar a ciegas porque las transacciones ETH y EVM son muy difíciles de leer para los usuarios habituales.
Al aprobar intercambios a través de una extensión del navegador, la mayoría de los usuarios tocan “Confirmar” en manchas hexadecimales opacas en lugar de semántica legible por humanos.
Como resultado, los kits de drenaje aprovechan esto presentando transacciones que parecen ser aprobaciones de rutina pero que otorgan plenos derechos de gasto de tokens a los contratos de los atacantes.
Técnicamente, el usuario aprueba cada paso, pero no tiene idea de lo que se está firmando. Esto no es un error en el comportamiento del usuario, sino más bien una característica de cómo las billeteras del navegador minimizan la fricción.
Las “mejores prácticas” aún asumen que los usuarios pueden verificar el contexto de manera confiable. Durante años, la higiene de la autocustodia ha significado: nunca compartir la semilla, verificar las URL, usar carteras de hardware.
Estas siguen siendo necesarias pero insuficientes.
Las extensiones falsas nunca solicitan directamente la frase inicial hasta que el usuario “importa” una billetera. Por el contrario, presentan una experiencia de usuario familiar, lo que permite a los usuarios distinguir los clones de los reales.
Se supone que el proceso de investigación de Chrome Web Store los detecta, pero no lo hace de manera consistente.
Para los usuarios de billeteras de hardware, el exploit Ledger Connect Kit de finales de 2023 ilustra la misma línea de falla. La cuenta NPM de un ex empleado fue objeto de phishing y los atacantes enviaron un paquete malicioso que inyectaba código de drenaje en cualquier dApp que utilizara el kit.
Los usuarios con dispositivos de hardware Ledger aún perdieron fondos porque la integración del lado del navegador se vio comprometida. Incluso con las claves todavía en el dispositivo, los usuarios firmaban transacciones agotadoras porque la lógica del navegador había sido alterada.
Los datos empíricos muestran que los modelos que combinan almacenamiento de claves de hardware y firma con espacio de aire tienen tasas de incidentes inferiores al 5%, en comparación con más del 15% para las carteras de solo software. Las billeteras con detección de phishing y alertas de transacciones reducen las pérdidas reportadas por los usuarios en casi un 60 %.
Sin embargo, la adopción es el problema: la actividad diaria de DeFi se ejecuta a través de extensiones del navegador porque son la única configuración que la mayoría de los usuarios encuentran utilizable. Las configuraciones más seguras son demasiado engorrosas y las configuraciones utilizables están demasiado expuestas.
Dónde ocurren realmente los ataques
Los eslabones débiles en 2025 estarán casi todos “por encima” de la cadena, como el navegador, las extensiones y la cadena de suministro, mientras que la mayor parte de la educación de los usuarios todavía se centra en lo que sucede debajo, en el nivel de clave privada y almacenamiento de semillas.
Las rutas de ataque se dividen en cuatro capas.
La capa del navegador y del sistema operativo es donde opera el malware ladrón de información. Familias como ModStealer, AmosStealer y SantaStealer infectan la máquina, leen extensiones de almacenamiento, interceptan pulsaciones de teclas o conectan API del navegador para capturar semillas y claves privadas en reposo.
Como informó TechRadar, estas herramientas ahora se comercializan en foros clandestinos y en Telegram como “ladrones como servicio”, con módulos dedicados a capturar credenciales del navegador, cookies y datos de billetera, para luego filtrarlos en fragmentos comprimidos.
El navegador es el punto de entrada y las extensiones son la carga útil.
La capa de extensión de billetera es donde operan las actualizaciones comprometidas o maliciosas. La versión 2.68 de Trust Wallet, la billetera falsa “Safery” y las billeteras maliciosas en Chrome agregaron código que exfiltró secretos o manipuló solicitudes de transacciones antes de que los usuarios las vieran.
Esta es la compensación entre UX y la cadena de suministro en acción: las actualizaciones automáticas son fundamentales para corregir vulnerabilidades, pero también generan código incorrecto a escala cuando el mecanismo de actualización en sí se ve comprometido.
La capa de conector y dApp es donde se secuestran bibliotecas como Ledger Connect Kit. Cuando estos se ven comprometidos en sentido ascendente, las dApps legítimas comienzan a presentar transacciones maliciosas.
El usuario conecta su billetera real o dispositivo de hardware, ve un mensaje de apariencia normal y firma una transacción agotadora. Esta capa es invisible para la mayoría de los usuarios, ya que no saben qué bibliotecas de JavaScript impulsan las dapps que utilizan y no tienen forma de verificar que esas bibliotecas no hayan sido manipuladas.
La capa RPC y blockchain es donde se completa el ataque. Una vez que se firma y transmite una transacción maliciosa, el resto de la pila funciona según lo diseñado.
Los fondos se mueven y las únicas defensas que quedan son el monitoreo, la respuesta rápida a incidentes y cualquier medida de recuperación fuera de la cadena que pueda tener el ecosistema. En este punto, el daño ya está hecho. La cadena de bloques no falló, pero las capas superiores sí.
Lo que realmente deberían hacer los titulares de BTC y ETH
La lista de verificación para el uso de carteras de navegador no ha cambiado mucho en principio, pero el énfasis debe cambiar hacia aislar la capa del navegador de los activos que importan.
La siguiente tabla desglosa las áreas clave donde los usuarios pueden reducir la exposición sin abandonar por completo las billeteras del navegador.
| Área | que hacer | Por qué es importante |
|---|---|---|
| Almacenamiento en frío versus almacenamiento en caliente | Mantenga BTC/ETH a largo plazo en hardware o multifirma; use billeteras de navegador solo para capital de trabajo. | Limita el daño si una extensión del navegador o una PC se ve comprometida. |
| Aisla tu navegador | Utilice un navegador/perfil dedicado para criptografía con extensiones mínimas, instalado desde enlaces oficiales. | Reduce la superficie de ataque de complementos sospechosos y anuncios de búsqueda envenenados. |
| Verificar extensión y versión | Confirme el nombre del editor y la versión de la extensión con los documentos oficiales de la billetera después de incidentes importantes. | Detecta extensiones falsas o manipuladas y actualizaciones automáticas comprometidas. |
| Manejo de frases semilla | Nunca escriba su semilla en un navegador o en un chat de “soporte”; Si lo hizo, migre a una billetera de hardware nueva. | Asume que cualquier semilla expuesta al navegador se quema y elimina el compromiso persistente. |
| Aprobaciones y permisos | Revisar y revocar periódicamente las aprobaciones de tokens; evitar asignaciones ilimitadas para oscurecer los contratos. | Reduce el radio de explosión de un solo dapp malicioso o contrato de drenaje. |
| Higiene del terminal | Mantenga actualizado el sistema operativo y el navegador; evite el software pirateado; Utilice AV de buena reputación sintonizado para ladrones de información. | Muchos ataques modernos provienen de malware que busca específicamente extensiones de billetera. |
| Utilice las funciones de seguridad de la billetera | Active la protección contra phishing, la simulación de transacciones y las libretas de direcciones cuando estén disponibles. | Agrega controles automáticos además del juicio humano para detectar dominios y transacciones sospechosas. |
| Agregue fricción para grandes cantidades | Para transferencias grandes, requiera un segundo dispositivo, una billetera de hardware o una ruta de aprobación multifirma. | Te obliga a salir de la ruta del navegador comprometida antes de mover sumas que te cambiarán la vida. |
La industria conoce el problema y no lo ha solucionado
El incidente de Trust Wallet, las extensiones falsas de Chrome, el exploit Ledger Connect Kit y la creciente proporción de compromisos de billeteras personales apuntan a la misma conclusión: el navegador es un entorno hostil, y las “mejores prácticas de autocustodia” en torno a las frases iniciales y el hardware aún no abordan eso por completo.
El modo de falla ha pasado de los usuarios que manejan mal las claves a los atacantes que comprometen la capa UX, y la industria lo sabe desde hace años.
La arquitectura no ha cambiado porque las alternativas son demasiado engorrosas para una adopción masiva o demasiado centralizadas para adaptarse al espíritu.
Hasta que las billeteras del navegador puedan aislarse del entorno más amplio del navegador, o hasta que la firma de transacciones ocurra en un flujo verdaderamente aislado que no dependa de bibliotecas JavaScript y extensiones de actualización automática, la compensación persistirá.
Los usuarios pueden seguir todas las reglas, usar billeteras de hardware, nunca compartir sus semillas y aún así perder fondos porque el código con el que interactúan, y que no tienen una forma práctica de auditar, se ha visto comprometido silenciosamente.
Ese no es un problema de educación del usuario. Es un problema de arquitectura y ninguna “mejor práctica” lo solucionará.
