La confianza ciega que costó una fortuna

Imagina estrenar un Mac. La sensación de seguridad, la fluidez del sistema y la promesa de un ecosistema curado y protegido. Un usuario vivió esa experiencia a principios de abril, pero su historia terminó en pesadilla. Con la intención de gestionar su cartera de criptomonedas, acudió a la fuente más fiable que conocía: la Mac App Store. Buscó "Ledger Live", la encontró, la descargó y, siguiendo las instrucciones de la app, introdujo su frase de recuperación. En minutos, sus ahorros de diez años, un fondo de jubilación valorado en 5,92 Bitcoin, se desvanecieron. "Trabajé diez años para esto. Tened cuidado ahí fuera", alertó en redes sociales, sin saber que era solo una de las cincuenta víctimas de un fallo de seguridad sin precedentes.

Un engaño perfectamente orquestado

Lo que este usuario y decenas más no sabían es que Ledger Live, la aplicación oficial, nunca ha estado disponible en la Mac App Store. Ledger la distribuye exclusivamente desde su sitio web oficial. La versión que encontraron era una copia falsa, un cebo que permaneció activo durante dos semanas, esperando pacientemente a sus presas. Entre el 7 y el 13 de abril, la trampa funcionó a la perfección. La app fraudulenta solicitaba la "seed phrase" de 12 o 24 palabras, el equivalente a la llave maestra de cualquier cartera de criptomonedas. La app real de Ledger jamás pide esta información una vez configurada, pero en el contexto de un dispositivo nuevo y la confianza depositada en Apple, la solicitud no pareció extraña.

Un botín de 9,5 millones de dólares en una semana

El investigador de blockchain ZachXBT fue quien destapó la magnitud del desastre. Rastreó los fondos y confirmó que más de 50 usuarios cayeron en la estafa, con pérdidas totales que ascienden a 9,5 millones de dólares. El golpe fue rápido y devastador:

• Tres víctimas perdieron más de un millón de dólares cada una.
• El 8 de abril se registraron robos por 1,95 millones de dólares en BTC, ETH y stETH.
• Al día siguiente, el 9 de abril, desaparecieron 3,23 millones en USDT.
• El 11 de abril, otros 2,08 millones en USDC fueron sustraídos.

Los fondos fueron rápidamente movidos a través de más de 150 direcciones de depósito en un intento de blanquear el dinero y borrar el rastro.

El silencio de Apple y la promesa rota

En cuanto el escándalo se hizo público, Apple retiró la aplicación. Sin embargo, la compañía no ha emitido ninguna declaración sobre cómo una aplicación tan claramente fraudulenta pudo pasar su riguroso proceso de revisión. La existencia misma de la Mac App Store se justifica en la seguridad que ofrece. Es el pilar sobre el que Apple construye su argumento para mantener un ecosistema cerrado y cobrar sus famosas comisiones. Que una app que suplanta una herramienta financiera y roba los ahorros de sus usuarios haya estado disponible es un fallo catastrófico que sacude los cimientos de esa confianza. Ante el volumen de las pérdidas, ya se habla de una posible demanda colectiva contra la compañía de Cupertino.

Un ecosistema en tierra de nadie

Este incidente expone un problema más profundo en la Mac App Store. A sus 15 años, la tienda sigue sin ser el centro neurálgico del software para Mac que Apple prometió. Grandes desarrolladores como Google (Chrome) o Adobe (Photoshop) la evitan, distribuyendo sus aplicaciones por su cuenta. Esto crea una confusa tierra de nadie para el usuario: ¿cuándo debe confiar en la App Store y cuándo debe buscar el software en la web? Esta falta de consistencia genera un vacío que los ciberdelincuentes han sabido explotar. Crean aplicaciones falsas de programas que los usuarios esperan encontrar en la tienda oficial, aprovechándose de una confianza que, como se ha demostrado, puede salir muy cara.