Grave fallo en Snap Store permite robar carteras de criptomonedas en Linux

Una grave brecha de seguridad ha puesto en el punto de mira a la Snap Store de Canonical, el repositorio de paquetes utilizado por millones de usuarios de Linux en escritorios y servidores. Investigadores de seguridad han confirmado que ciberdelincuentes están aprovechando fallos en el sistema de gestión de editores para distribuir software malicioso camuflado como aplicaciones legítimas, principalmente carteras de criptomonedas.

El ataque se basa en la publicación de aplicaciones falsas que imitan herramientas populares como Exodus o Ledger Live. A simple vista, los paquetes parecen auténticos y mantienen la reputación de proyectos confiables, lo que reduce las sospechas de los usuarios. Sin embargo, una vez ejecutadas, estas aplicaciones maliciosas solicitan frases de recuperación de las billeteras y envían esa información directamente a servidores controlados por los atacantes, permitiendo el robo inmediato de activos digitales.

Lo más preocupante es que la campaña no se limita a usuarios individuales. En entornos corporativos o infraestructuras con múltiples sistemas Linux, la instalación de estos paquetes comprometidos puede derivar en riesgos de seguridad a gran escala, afectando servidores, estaciones de trabajo y redes completas.

El analista de seguridad Alan Pope fue uno de los primeros en detectar este patrón tras analizar paquetes sospechosos dentro de la Snap Store. Su investigación reveló que no se trata de incidentes aislados, sino de una operación coordinada, con infraestructura localizada en regiones cercanas a Croacia y un método de ataque cada vez más refinado.

El punto clave del ataque está en el secuestro de dominios asociados a editores legítimos. Los atacantes monitorean cuentas de desarrolladores que han quedado inactivas y esperan a que los dominios registrados por esos editores expiren. Una vez libres, compran esos dominios y utilizan el sistema de recuperación de contraseñas de Snap para tomar control total de cuentas antiguas y bien valoradas.

Esta técnica resulta especialmente efectiva porque las aplicaciones ya publicadas conservan su historial, descargas y nivel de confianza. En lugar de crear nuevos paquetes que podrían levantar sospechas, los criminales simplemente publican actualizaciones maliciosas de software que los usuarios instalaron hace años, aprovechándose de la confianza acumulada.

Entre los dominios ya confirmados como comprometidos se encuentran storewise.tech y vagueentertainment.com, aunque los expertos advierten que podrían existir muchos más casos aún no detectados.

Este escenario representa un cambio significativo en el modelo de amenaza. Hasta ahora, los usuarios de Linux solían desconfiar de aplicaciones nuevas o de editores desconocidos. Sin embargo, este ataque demuestra que incluso software instalado desde hace tiempo puede convertirse repentinamente en una puerta de entrada para malware, simplemente porque el dominio del desarrollador original caducó.

Especialistas en ciberseguridad coinciden en que Canonical debe actuar con urgencia, implementando medidas como monitoreo automático de dominios, autenticación de dos factores obligatoria y controles más estrictos sobre cuentas inactivas. Mientras estas protecciones no estén en marcha, instalar aplicaciones relacionadas con criptomonedas desde repositorios públicos representa un riesgo real para usuarios y organizaciones.