Últimamente he visto a muchas personas discutir en la comunidad sobre la seguridad de las carteras de hardware, y me he dado cuenta de que los casos de robo de carteras frías son más comunes de lo que pensaba. Muchos novatos gastan una gran cantidad de dinero en carteras de hardware, pensando que así estarán completamente protegidos, pero en realidad se convierten en objetivos de los estafadores.

Es bastante irónico, la lógica de diseño de las carteras de hardware en sí no tiene problema—almacenamiento de claves privadas offline, chips de seguridad protegidos, estas son soluciones de protección reconocidas en la industria. Pero el problema está en la cadena de suministro. Los estafadores no necesitan romper la capa física del hardware, sino que atacan desde el canal de compra.

Un caso que vi recientemente me dejó muy marcado. Una persona compró una cartera de hardware en una plataforma de comercio electrónico de terceros, al abrir el paquete siguió las instrucciones para activar con el "PIN inicial", respaldó la " frase de recuperación", y luego transfirió una gran cantidad de fondos. Pero pronto fue vaciada. Todo parecía normal, pero en realidad las instrucciones eran falsas, y la dirección de la cartera ya había sido controlada por los ladrones. La clave de estos métodos de robo de carteras frías es aprovechar la falta de conocimiento de los usuarios novatos, usando instrucciones falsas para reempaquetar y vender a través de canales no oficiales.

Riesgos similares también son comunes en las regiones de habla china. La marca conocida imkey, por ejemplo, ha advertido públicamente que algunos vendedores no oficiales venden carteras ya activadas, y modifican las instrucciones para inducir a los usuarios a depositar fondos. Esto demuestra que la identificación de canales oficiales es tan importante como reconocer las URLs oficiales.

También hay casos aún más absurdos. Un usuario de Ledger recibió de repente un paquete que nunca había pedido, con un Ledger X nuevo y una carta. La carta decía que la empresa había sido atacada y que se había filtrado información, por lo que enviaban un dispositivo nuevo. Pero el CEO de Ledger aclaró que la compañía nunca hace ese tipo de compensaciones. Al abrir el dispositivo, se notaron evidentes signos de manipulación en la caja de plástico. Esto es un típico engaño de modificación de hardware.

El equipo de seguridad de Kaspersky también reportó casos similares: alguien compró en canales no oficiales un Trezor Model T falsificado, con firmware ya reemplazado, permitiendo a los atacantes acceder directamente a los activos criptográficos del usuario. Un hardware que parece normal, en realidad ya es una herramienta de estafa.

Por eso, el riesgo de robo en las carteras frías no suele venir tanto de una vulnerabilidad técnica, sino de errores humanos en la operación. ¿Cómo evitarlo? Es bastante simple:

Primero, solo comprar en canales oficiales. Cualquier cartera de hardware adquirida en canales no oficiales no puede garantizar su seguridad.

Segundo, asegurarse de que el dispositivo esté en estado no activado. Los dispositivos vendidos oficialmente deben ser nuevos y sin activar. Si al encenderlo se detecta que ya fue activado, con instrucciones que muestran "código PIN inicial" o "dirección predeterminada", hay que dejar de usarlo inmediatamente y reportarlo a la fuente oficial.

Tercero, realizar todas las operaciones por uno mismo. Configurar el PIN, generar el código de enlace, crear la dirección, respaldar la frase de recuperación, cada paso debe hacerlo uno mismo. Cualquier operación por parte de terceros equivale a entregar la clave privada.

El proceso correcto sería así: la cartera de hardware comprada debe estar completamente nueva y sin activar. Al usarla por primera vez, desde encenderla, crear la cartera, respaldar la frase y configurar el PIN, todo debe hacerlo uno mismo. Siguiendo este proceso, el riesgo de robo de la cartera fría se puede reducir significativamente.

Al final, la seguridad de las carteras de hardware es real, pero solo si se usan correctamente. En un mercado lleno de estafas, ser cauteloso siempre aporta mayor protección.