¿Recuerdas la última vez que descargaste una actualización sin prestarle atención? Para los usuarios de Trust Wallet, la noche de Navidad de 2025 quedará grabada en la memoria por esta razón. ¿Qué pasó realmente y cómo una simple actualización pudo llevar al robo de millones de dólares en criptomonedas?
Las 3 cosas que no te puedes perder
- Una actualización maliciosa permitió robar más de 8 millones de dólares de 2,520 billeteras de Trust Wallet.
- El hackeo explotó una falla en la cadena de suministro de la empresa, conocida como Sha1-Hulud.
- Trust Wallet lanzó un proceso de reembolso para los usuarios afectados.
El ciberataque de Navidad
La noche del 24 de diciembre de 2025 marcó el comienzo de un episodio tumultuoso para los usuarios de Trust Wallet. Una actualización aparentemente inofensiva, la versión 2.68.0, fue descargada por miles de usuarios. Sin embargo, contenía una línea de código malicioso que provocó la exfiltración de datos sensibles hacia un servidor externo. Este ataque permitió sifonear más de 8 millones de dólares distribuidos en 2,520 billeteras.
Técnica del ataque y explotación
Los piratas lograron esta hazaña llevando a cabo un ataque a la cadena de suministro, llamado Sha1-Hulud, que comenzó en noviembre de 2025. Utilizando paquetes npm comprometidos, accedieron al código fuente de la extensión de navegador de Trust Wallet y a su clave API del Chrome Web Store. Con esta información, pudieron publicar directamente una versión modificada de la extensión en la tienda, eludiendo los procesos de validación habituales.
Reacciones y medidas de seguridad
Ante esta situación crítica, Trust Wallet reaccionó rápidamente. El 25 de diciembre, la empresa publicó una actualización segura bajo el número 2.69.0 y pidió a los usuarios que la instalaran con urgencia. Paralelamente, se movilizó un equipo de investigadores white hat para neutralizar el servidor malicioso. Se llevaron a cabo ataques DDoS contra el dominio metrics-trustwallet.com para limitar el impacto del ataque.
Proceso de reembolso y lecciones aprendidas
Para compensar las pérdidas, Trust Wallet implementó un proceso de reembolso para los usuarios afectados. Esta tarea es compleja, ya que requiere identificar con precisión a cada víctima y el monto perdido mientras se filtran las reclamaciones falsas. Este caso subraya la importancia de la seguridad de las cadenas de suministro en el desarrollo de software, así como la necesidad de una mayor vigilancia al publicar actualizaciones.
Contexto de Trust Wallet
Trust Wallet es una empresa reconocida en el ámbito de las billeteras de criptomonedas, ofreciendo soluciones seguras para gestionar diversas monedas digitales. Fundada en 2017, la compañía ganó rápidamente popularidad gracias a su facilidad de uso y sus funciones avanzadas. Sin embargo, este incidente pone de relieve los crecientes desafíos que enfrentan las empresas de este sector en términos de seguridad y protección de datos.
