![\"Aplicaciones](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2026\/05\/06233902\/ios-macos-fake-crypto-apps-01.jpg\")
<\/a>Aplicaciones de phishing en la App Store que aparecen en los resultados de b\u00fasqueda de Ledger Wallet (antes Ledger Live)<\/p><\/div>\n
Adem\u00e1s de las mencionadas, encontramos varias aplicaciones con nombres e iconos que no ten\u00edan ninguna relaci\u00f3n con las criptomonedas. Sin embargo, sus banners promocionales afirmaban que pod\u00edan usarse para descargar e instalar aplicaciones oficiales de carteras que, de otro modo, no est\u00e1n disponibles en la App Store de la regi\u00f3n.<\/p>\n
<\/a>Banners en las p\u00e1ginas de las aplicaciones que afirman que pueden usarse para descargar la aplicaci\u00f3n oficial de TokenPocket, que no est\u00e1 disponible en la App Store local<\/p><\/div>\n
En total, identificamos 26\u00a0aplicaciones de phishing que imitan a las siguientes carteras populares:<\/p>\n
- \n
- MetaMask<\/li>\n
- Ledger<\/li>\n
- Trust Wallet<\/li>\n
- Coinbase<\/li>\n
- TokenPocket<\/li>\n
- imToken<\/li>\n
- Bitpie<\/li>\n<\/ul>\n
Algunas otras aplicaciones muy similares a\u00fan no inclu\u00edan funcionalidades de phishing, pero todo indica que est\u00e1n vinculadas a los mismos atacantes. Es probable que planeen a\u00f1adir funciones maliciosas en actualizaciones futuras.<\/p>\n
Para conseguir que estas aplicaciones pasaran la revisi\u00f3n de la App Store, los desarrolladores a\u00f1adieron funcionalidades b\u00e1sicas, como un juego, una calculadora o un planificador de tareas.<\/p>\n
Instalar cualquiera de estos clones es el primer paso hacia la p\u00e9rdida de tus criptoactivos. Aunque estas aplicaciones no roban directamente criptomonedas, frases semilla ni contrase\u00f1as, act\u00faan como se\u00f1uelo para generar confianza en los usuarios por el hecho de estar en la App Store oficial. Sin embargo, una vez instalada y ejecutada, la aplicaci\u00f3n abre en el navegador de la v\u00edctima una p\u00e1gina de phishing que imita a la App Store y que le pide instalar una versi\u00f3n vulnerada de la cartera de criptomonedas en cuesti\u00f3n. Los atacantes han creado varias versiones de estos m\u00f3dulos maliciosos, cada una adaptada a una cartera espec\u00edfica. Puedes encontrar un an\u00e1lisis t\u00e9cnico detallado de este ataque en nuestra publicaci\u00f3n de Securelist<\/a>.<\/p>\n
Si la v\u00edctima cae en el enga\u00f1o, primero se le pide instalar un perfil de aprovisionamiento, que permite instalar aplicaciones en el iPhone fuera de la App Store. Ese perfil se utiliza despu\u00e9s para instalar la propia aplicaci\u00f3n maliciosa.<\/p>\n
![\"Un](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2026\/05\/06234116\/ios-macos-fake-crypto-apps-03.jpg\")
<\/a>Un sitio falso de la App Store que le solicita al usuario instalar una aplicaci\u00f3n que se hace pasar por Ledger Wallet<\/p><\/div>\n
En el ejemplo anterior, el malware se basa en la aplicaci\u00f3n Ledger original con funcionalidad troyana integrada. La aplicaci\u00f3n es id\u00e9ntica a la original, pero cuando se conecta a una cartera de hardware, muestra una ventana que solicita la frase semilla, supuestamente para restaurar el acceso. Este no es un procedimiento est\u00e1ndar: generalmente, solo necesitas introducir un PIN, nunca una frase de recuperaci\u00f3n. Si la v\u00edctima conf\u00eda en la aparente legitimidad de la aplicaci\u00f3n e introduce su frase semilla, se env\u00eda inmediatamente al servidor de los atacantes, lo que les otorga acceso completo a los criptoactivos.<\/p>\n
Instalaci\u00f3n de aplicaciones fuera de la App Store<\/h2>\n
Un componente clave de este enga\u00f1o consiste en instalar malware en el iPhone de la v\u00edctima eludiendo la App Store y su proceso de verificaci\u00f3n. Esto se ejecuta de forma muy similar a SparkKitty, <\/a>el infostealer para iOS <\/a>\u00a0que descubrimos anteriormente. Los atacantes lograron obtener acceso al Apple Developer Enterprise Program<\/a>. Por solo 299 USD al a\u00f1o, y tras una entrevista y verificaci\u00f3n corporativa, este programa les permite a las entidades emitir sus propios perfiles de configuraci\u00f3n y aplicaciones para su descarga directa en los dispositivos de los usuarios sin ni siquiera publicarlos en la App Store.<\/p>\n
![\"Para](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2026\/05\/06234350\/ios-macos-fake-crypto-apps-04.jpg\")
<\/a>Para instalar la aplicaci\u00f3n, la v\u00edctima primero debe instalar un perfil de configuraci\u00f3n que permite descargar el malware directamente sin pasar por la App Store. Observa la marca de verificaci\u00f3n verde<\/p><\/div>\n
En general, los perfiles empresariales est\u00e1n dise\u00f1ados para permitir que las organizaciones implementen aplicaciones internas en los dispositivos de sus empleados. Estas aplicaciones no necesitan publicarse en la App Store y pueden instalarse en una cantidad ilimitada de dispositivos. Desafortunadamente, a menudo se abusa de esta funci\u00f3n. Estos perfiles se utilizan con frecuencia para software que no cumple con las directivas de Apple, como casinos en l\u00ednea, mods pirateados y, por supuesto, malware.<\/p>\n
Precisamente por eso, el sitio falso que imita la Apple Store le solicita al usuario instalar un perfil de configuraci\u00f3n antes de entregar la aplicaci\u00f3n firmada con ese perfil.<\/p>\n
Robo de criptomonedas a trav\u00e9s de aplicaciones y extensiones de macOS<\/h2>\n
Muchos usuarios de criptomonedas prefieren administrar sus carteras en un ordenador en lugar de un tel\u00e9fono inteligente y, a menudo, eligen Mac para hacerlo. Por lo tanto, no sorprende que la mayor\u00eda de los infostealers m\u00e1s populares en macOS apunten de una forma u otra a los datos de carteras de criptomonedas. Sin embargo, recientemente ha ganado terreno una nueva t\u00e9cnica maliciosa: adem\u00e1s de robar datos guardados, los atacantes insertan di\u00e1logos de phishing directamente en aplicaciones leg\u00edtimas de carteras ya instaladas en los ordenadores de los usuarios. A principios de este a\u00f1o, el infostealer MacSync<\/a> adopt\u00f3 esta funcionalidad. Se infiltra en los sistemas mediante ataques ClickFix<\/a>: los usuarios que buscan software son redirigidos a sitios falsos con instrucciones fraudulentas para instalar la aplicaci\u00f3n ejecutando comandos en la Terminal. Esto ejecuta el infostealer, que extrae contrase\u00f1as y cookies guardadas en Chrome, chats de servicios de mensajer\u00eda instant\u00e1nea populares y datos de extensiones de carteras de criptomonedas basadas en el navegador.<\/p>\n
Pero la parte m\u00e1s interesante es lo que sucede a continuaci\u00f3n. Si la v\u00edctima ya tiene instalada una aplicaci\u00f3n leg\u00edtima de Trezor o Ledger, el infostealer descarga m\u00f3dulos adicionales e intercambia fragmentos de la aplicaci\u00f3n con su propio c\u00f3digo troyano. Luego, el malware vuelve a firmar el archivo modificado para que, despu\u00e9s de aplicar estas \u201ccorrecciones\u201d, Gatekeeper (el mecanismo de protecci\u00f3n integrado en macOS) permita ejecutar la aplicaci\u00f3n sin solicitarle permisos adicionales al usuario. Aunque este truco no siempre funciona, resulta eficaz en aplicaciones m\u00e1s simples basadas en el popular marco Electron<\/a>.<\/p>\n
![\"La](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2026\/05\/06234542\/ios-macos-fake-crypto-apps-05.jpg\")
<\/a>La aplicaci\u00f3n troyana le solicita al usuario la frase inicial de su cartera<\/p><\/div>\n
Cuando se abre la aplicaci\u00f3n troyanizada, simula un error e inicia un \u201cproceso de recuperaci\u00f3n\u201d en el que le pide al usuario la frase semilla de su cartera.<\/p>\n
Adem\u00e1s de MacSync, los desarrolladores detr\u00e1s de otros infostealers de macOS han adoptado este mismo enfoque de troyanizaci\u00f3n. Anteriormente, detallamos un mecanismo similar utilizado para poner en riesgo las carteras Exodus y Bitcoin-Qt<\/a>.<\/p>\n
C\u00f3mo mantener tus criptoactivos seguros<\/h2>\n
Una y otra vez, los atacantes han demostrado que ning\u00fan dispositivo es realmente invencible. Con tantos desarrolladores y usuarios de criptomonedas que prefieren macOS y iOS, los actores de amenazas han dise\u00f1ado e implementado ataques a escala industrial para ambas plataformas. Mantenerse seguro requiere una defensa en profundidad basada en el escepticismo y la vigilancia.<\/p>\n
- \n
- Descarga aplicaciones \u00fanicamente desde fuentes fiables: ya sea el sitio web oficial del desarrollador o su p\u00e1gina de la App Store. Como el malware puede colarse incluso en las tiendas oficiales, verifica siempre el editor de la aplicaci\u00f3n.<\/li>\n
- Comprueba la valoraci\u00f3n de la aplicaci\u00f3n, la fecha de publicaci\u00f3n y la cantidad de descargas.<\/li>\n
- Lee las rese\u00f1as, especialmente las negativas. Ordena las rese\u00f1as por fecha para evaluar la \u00faltima versi\u00f3n. Los atacantes suelen empezar con una aplicaci\u00f3n completamente inocente que obtiene buenas valoraciones antes de introducir funcionalidades maliciosas en una actualizaci\u00f3n posterior.<\/li>\n
- No copies ni pegues comandos en la Terminal a menos que est\u00e9s completamente seguro de lo que hacen. Estos ataques se han vuelto muy populares \u00faltimamente y a menudo se disfrazan de pasos de instalaci\u00f3n de aplicaciones de IA<\/a> como Claude Code u OpenClaw.<\/li>\n
- Utiliza un sistema de seguridad integral en todos tus ordenadores y tel\u00e9fonos inteligentes. Recomendamos Kaspersky Premium<\/a>. Esto ayuda en gran medida a reducir el riesgo de visitar sitios de phishing o instalar aplicaciones maliciosas.<\/li>\n
- Nunca introduzcas tu frase semilla en una aplicaci\u00f3n de cartera de hardware, en un sitio web ni en un chat. En todos los casos, ya sea al migrar a una cartera nueva, reinstalar aplicaciones o recuperar una cartera, la frase semilla debe introducirse \u00fanicamente en el dispositivo de hardware<\/strong>, nunca en una aplicaci\u00f3n m\u00f3vil o de escritorio.<\/li>\n
- Comprueba siempre la direcci\u00f3n del destinatario en la pantalla de la cartera de hardware para prevenir ataques de intercambio de direcciones.<\/li>\n
- Guarda tus frases semilla de la forma m\u00e1s segura posible, por ejemplo, en una placa met\u00e1lica<\/a> o en un sobre sellado dentro de una caja de seguridad. Lo mejor es no almacenarlas en un ordenador bajo ning\u00fan punto de vista, pero si es la \u00fanica opci\u00f3n, utiliza un almac\u00e9n seguro y cifrado como Kaspersky Password Manager<\/a>.<\/li>\n<\/ul>\n
\u00bfSigues creyendo que los dispositivos de Apple son a prueba de balas? Piensa de nuevo mientras lees los siguientes art\u00edculos:<\/p>\n
- \n
- El iPhone ya no es invencible: un an\u00e1lisis de DarkSword y Coruna<\/a><\/li>\n
- Predator frente al iPhone: el arte de la vigilancia invisible<\/a><\/li>\n
- \u00bfTus auriculares Bluetooth te est\u00e1n espiando?<\/a><\/li>\n
- AirBorne: ataques a dispositivos Apple a trav\u00e9s de vulnerabilidades en AirPlay<\/a><\/li>\n
- Banshee Stealer: un ladr\u00f3n que ataca a usuarios de macOS<\/a><\/li>\n<\/ul>\n<\/blockquote>\n\n","protected":false},"excerpt":{"rendered":"
Hemos descubierto m\u00e1s de dos docenas de aplicaciones de phishing que imitan a populares carteras de criptomonedas directamente en la App Store oficial. Aqu\u00ed encontrar\u00e1s un desglose de las nuevas oleadas de ataques dirigidos a usuarios de iPhone y Mac, y a sus criptomonedas.<\/p>\n","protected":false},"author":2749,"featured_media":32094,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[378,28,3628,3717,2368,561,3742,199,3684,671,586],"class_list":{"0":"post-32093","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amenazas","9":"tag-apple","10":"tag-carteras-de-criptomonedas","11":"tag-clickfix","12":"tag-criptomonedas","13":"tag-estafa","14":"tag-infostealers","15":"tag-ios","16":"tag-ladrones","17":"tag-macos","18":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ios-macos-fake-crypto-apps\/32093\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ios-macos-fake-crypto-apps\/30449\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ios-macos-fake-crypto-apps\/25495\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ios-macos-fake-crypto-apps\/30293\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ios-macos-fake-crypto-apps\/41766\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ios-macos-fake-crypto-apps\/14504\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ios-macos-fake-crypto-apps\/55665\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ios-macos-fake-crypto-apps\/30602\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ios-macos-fake-crypto-apps\/36180\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ios-macos-fake-crypto-apps\/35831\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ios\/","name":"iOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32093","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2749"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=32093"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32093\/revisions"}],"predecessor-version":[{"id":32100,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32093\/revisions\/32100"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/32094"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=32093"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=32093"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=32093"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Predator frente al iPhone: el arte de la vigilancia invisible<\/a><\/li>\n
- Utiliza un sistema de seguridad integral en todos tus ordenadores y tel\u00e9fonos inteligentes. Recomendamos Kaspersky Premium<\/a>. Esto ayuda en gran medida a reducir el riesgo de visitar sitios de phishing o instalar aplicaciones maliciosas.<\/li>\n