- Ledger reconoce una filtración de datos atribuida a un fallo de seguridad en su proveedor de pagos Global-e
- Se habrían visto expuestos datos personales y de pedidos, pero no claves privadas, frases de recuperación ni fondos
- La compañía ha iniciado una investigación forense externa y refuerza la vigilancia sobre sus socios tecnológicos
- Expertos alertan del riesgo de phishing dirigido y recomiendan extremar precauciones ante correos o mensajes sospechosos
Ledger, uno de los fabricantes de billeteras de hardware para criptomonedas más conocidos del mercado, ha confirmado que parte de los datos vinculados a pedidos de clientes se han visto comprometidos tras un incidente de seguridad en Global-e, su socio encargado de procesar pagos y gestionar el comercio transfronterizo. Aunque la información asociada a los dispositivos y a las claves privadas permanece a salvo, el episodio vuelve a encender las alarmas sobre la exposición de datos personales en el ecosistema cripto.
La filtración ha salido a la luz después de que usuarios comenzaran a recibir correos electrónicos de Global-e informando de “actividad inusual” en su infraestructura en la nube. Poco después, investigadores de seguridad y miembros de la comunidad cripto amplificaron las señales de alerta en redes sociales, obligando tanto al proveedor de pagos como a Ledger a pronunciarse sobre el alcance del incidente y las posibles consecuencias para los clientes europeos y de otros mercados.
Qué ha pasado con Global-e y cómo afecta a los clientes de Ledger
Según la información publicada por la empresa y por el proveedor, el incidente tiene su origen en una brecha de seguridad en sistemas de Global-e, una plataforma de comercio transfronterizo que actúa como intermediario entre comercios y compradores y se encarga de pagos, impuestos y logística en múltiples países. A través de esa infraestructura se procesan los pedidos realizados en Ledger.com y en otras marcas que utilizan el mismo servicio.
Global-e comunicó a distintos clientes que había detectado actividad anómala en una parte de su red y que, tras identificar el acceso no autorizado, puso en marcha medidas de contención para asegurar sus sistemas. Posteriormente, la compañía contrató especialistas forenses independientes con el objetivo de determinar qué información fue accedida, durante cuánto tiempo y por quién.
En el caso concreto de Ledger, esto implica que parte de la información de las personas que compraron dispositivos físicos pasó por los sistemas de ese proveedor externo. No se trata de un ataque directo a la infraestructura central de la firma francesa, sino de una brecha en uno de los eslabones de la cadena operativa: el entorno utilizado para tramitar pedidos, pagos y envíos.
De acuerdo con los correos enviados y los comunicados posteriores, los datos potencialmente afectados incluyen nombres, correos electrónicos, direcciones postales, números de teléfono y detalles de las compras realizadas. Tanto Ledger como Global-e insisten en que la información financiera sensible, como números de tarjeta o credenciales bancarias, no se habría visto comprometida en este incidente concreto.
La exposición de estos datos abre la puerta a riesgos muy concretos, especialmente en forma de campañas de phishing y otros intentos de ingeniería social. Con nombres, direcciones y referencias reales a productos adquiridos, los atacantes pueden construir mensajes extremadamente creíbles que aparenten provenir de la propia Ledger o de su servicio de soporte.
Ledger aclara qué datos siguen protegidos y qué no se ha visto afectado
Tras las primeras denuncias públicas, entre ellas las del investigador on-chain ZachXBT, que alertó de la nueva filtración de datos a través de Global-e, Ledger emitió comunicaciones a sus usuarios para aclarar los puntos clave. El mensaje principal es que la seguridad de los dispositivos y de los criptoactivos continúa intacta.
La empresa remarca que las llaves privadas, las frases de recuperación y los saldos de las billeteras no se almacenan ni se comparten con proveedores externos. Estos elementos críticos están diseñados para permanecer aislados del circuito de pagos y logística, de modo que una brecha en un socio comercial no pueda traducirse en un acceso directo a los fondos de los clientes.
Ledger hace hincapié en que sus sistemas internos no han sido vulnerados y que el incidente se limita a datos relacionados con pedidos gestionados por Global-e. Esta separación de funciones, argumenta la compañía, habría sido clave para evitar un impacto mayor y para que no se registraran pérdidas de fondos asociadas al episodio.
Aun así, la firma admite que no ha facilitado públicamente cifras exactas sobre el número de usuarios afectados ni un desglose pormenorizado de todos los tipos de datos que pudieron quedar expuestos. Tampoco se ha hecho pública, de momento, la fecha exacta del inicio de la intrusión, lo que deja cierto margen de incertidumbre en torno al grado real de exposición.
En paralelo, Global-e ha señalado que su investigación forense interna determinó que “algunos datos personales, incluidos nombre e información de contacto, fueron accedidos de forma indebida”. No obstante, la compañía asegura no haber detectado indicios de filtración de datos financieros, lo que en principio reduce el riesgo de fraude económico directo, aunque no elimina otros vectores de ataque.
Investigación en marcha y repetición de incidentes en el ecosistema Ledger
Tras confirmar oficialmente el incidente, Ledger comunicó que ha abierto una investigación forense para esclarecer todos los detalles. El objetivo es determinar el origen del acceso no autorizado, el recorrido que siguieron los atacantes y el volumen real de datos visualizados o extraídos.
La compañía insiste en que su sistema central de gestión de llaves y dispositivos no se ha visto impactado y recalca que los datos vinculados a pedidos y pagos dependen de proveedores especializados como Global-e. Aun así, ha anunciado un refuerzo de los controles y auditorías sobre socios que procesan información de sus clientes, ante el evidente aumento de la superficie de ataque cuando se recurre a terceros.
Este no es un caso aislado en la historia reciente de Ledger. En 2020 ya se produjo una importante filtración de datos a raíz de un error de configuración en una interfaz gestionada igualmente por un proveedor externo, que permitió a atacantes acceder a la base de datos de marketing de la empresa. Aquel episodio derivó en años de problemas para muchos usuarios, que siguieron recibiendo intentos de estafa y comunicaciones maliciosas incluso tiempo después.
Además, la propia empresa ha reconocido otro incidente en abril del año pasado relacionado con un tercero, también por accesos no autorizados. La acumulación de episodios ha generado preocupación en la comunidad cripto europea y global, que reclama mayores garantías en la elección y supervisión de proveedores de servicios complementarios.
Frente a estas críticas, Ledger defiende que la seguridad de los activos siempre ha permanecido intacta y que los problemas se han concentrado en el ámbito de los datos personales y el marketing. Sin embargo, la reiteración de filtraciones de este tipo da munición a quienes piden revisar a fondo la política de externalización de servicios y las exigencias contractuales que se imponen a los socios tecnológicos.
Riesgos de phishing y recomendaciones para usuarios en Europa y España
Para los usuarios de Ledger en España y en el resto de Europa, el mayor peligro inmediato no pasa por la pérdida directa de fondos, sino por la posibilidad de verse expuestos a campañas de phishing más sofisticadas. Con acceso a nombre, dirección, correo y detalles de compra, no resulta complicado construir correos o mensajes que aparenten ser legítimos.
Expertos en ciberseguridad advierten de que los atacantes pueden aprovechar esta información para enviar comunicaciones que imiten el tono y el diseño de los correos oficiales de Ledger o de otros intermediarios. A menudo, estos mensajes incluyen enlaces a páginas fraudulentas donde se solicita introducir frases de recuperación, claves u otros datos sensibles con la excusa de “verificar la cuenta” o “asegurar la billetera”.
La recomendación fundamental es clara: ninguna empresa legítima pedirá nunca la frase de recuperación ni las llaves privadas, ni por correo electrónico, ni por teléfono, ni por mensajería instantánea. Cualquier mensaje que lo haga debe considerarse automáticamente sospechoso, aunque contenga datos personales correctos o haga referencia a un pedido real. Para más consejos sobre buenas prácticas de seguridad, consulta recursos sobre mecanismos adicionales de protección.
Otra buena práctica es reducir al mínimo los datos personales facilitados al comprar una billetera de hardware, siempre que la legislación y el proceso de entrega lo permitan. Algunos usuarios optan por utilizar seudónimos o direcciones alternativas, de forma que el vínculo entre su identidad real y sus direcciones de criptomonedas sea menos evidente en caso de nuevas filtraciones.
También se recomienda verificar siempre la dirección web antes de introducir cualquier dato sensible, escribir manualmente la URL oficial en el navegador en lugar de seguir enlaces incluidos en correos —como se comprobó en una alerta reciente— y activar, cuando sea posible, mecanismos adicionales de protección como autenticación en dos pasos en los servicios relacionados.
La cadena de proveedores como talón de Aquiles de la seguridad cripto
El caso de Global-e pone nuevamente sobre la mesa un aspecto que a menudo pasa desapercibido: la seguridad de los criptoactivos no depende solo del hardware o del software de la billetera, sino también de todo el ecosistema que rodea a la experiencia de compra y uso. Pagos, logística, atención al cliente y servicios en la nube suman capas de complejidad y posibles puntos débiles.
En la práctica, empresas como Ledger dependen de terceros para gestionar cobros internacionales, calcular impuestos y coordinar envíos a clientes de la Unión Europea y de otros lugares. Cada uno de esos actores maneja, en mayor o menor medida, información personal que puede resultar valiosa para ciberdelincuentes, aunque no tenga relación directa con las claves privadas o los fondos.
Los incidentes ocurridos en los últimos años muestran que, aunque el diseño de las hardware wallets resista ataques directos, la exposición de bases de datos de marketing o de pedidos puede desencadenar oleadas de spam y phishing dirigidos. Para muchos usuarios, el primer contacto con un intento de estafa no es un hackeo técnico, sino un correo convincente que aprovecha datos filtrados por algún proveedor.
Ante este escenario, crece la presión para que las empresas del sector refuercen la selección y supervisión de sus socios tecnológicos, así como los requisitos contractuales en materia de protección de datos, cifrado, segmentación de bases y respuesta ante incidentes. De igual modo, algunos analistas apuntan a la necesidad de que reguladores europeos presten más atención a la cadena de subcontratación cuando evalúan el nivel de riesgo de los servicios cripto.
Para el usuario final, sin embargo, el margen de maniobra es limitado: la confianza se deposita en última instancia en que las compañías gestionen de forma responsable la relación con sus proveedores. De ahí que cada nueva filtración, aunque no afecte a los fondos, tenga un impacto directo en la percepción de seguridad y en la reputación de las marcas implicadas.
Lo ocurrido con la filtración de datos vinculada a Global-e y Ledger sirve como recordatorio de que, incluso cuando los activos digitales permanecen seguros, la información personal sigue siendo un objetivo prioritario para los atacantes. Extremar las precauciones frente a potenciales campañas de phishing, limitar los datos que se comparten y exigir mayor transparencia sobre la gestión de proveedores se convierte en parte esencial de la estrategia de protección para cualquier usuario de criptomonedas.
