Alerta de la Tienda Snap: Comprendiendo el Ataque de Secuestro de Dominio que los Usuarios de Linux Deben Conocer

Los usuarios de Linux enfrentan una amenaza sofisticada dentro de la Snap Store que los investigadores de seguridad están instando a la comunidad a tener en cuenta. Según el CISO de SlowMist 23pds, ha surgido un nuevo vector de ataque en el que los hackers explotan dominios de desarrolladores caducados para comprometer aplicaciones confiables. Este método es particularmente peligroso porque evita las controles de seguridad tradicionales al aprovechar la credibilidad establecida del editor en la que los usuarios han confiado durante años.

Cómo los atacantes están comprometiendo cuentas de desarrollador en la Snap Store

El ataque comienza con actores maliciosos que monitorean cuentas de desarrollador cuyos dominios asociados han expirado. Una vez que identifican un dominio inactivo, los atacantes lo registran rápidamente y luego usan la dirección de correo electrónico del dominio controlado para activar un restablecimiento de contraseña en la Snap Store. Esta técnica sencilla pero efectiva les permite hacerse cargo de identidades de editores que han construido confianza a largo plazo con los usuarios. El resultado es devastador: aplicaciones legítimas que los usuarios han instalado y confiado durante años pueden ser infectadas con código malicioso de la noche a la mañana a través del canal de actualización oficial, y la mayoría de los usuarios permanecen completamente ajenos a ello.

Ya se han comprometido dos casos confirmados usando este método: storewise[.]tech y vagueentertainment[.]com. Esto demuestra que el ataque no es teórico, sino que está ocurriendo activamente en la realidad.

El mecanismo de robo de credenciales: cómo se roban las frases de recuperación de tu billetera

Una vez que los atacantes toman control de una identidad de editor confiable, despliegan una carga útil de ingeniería social sofisticada. Las aplicaciones comprometidas se disfrazan como billeteras de criptomonedas legítimas—generalmente imitando Exodus, Ledger Live o Trust Wallet. Las versiones falsas son casi indistinguibles de las aplicaciones genuinas, lo que hace que la detección por parte de usuarios casuales sea extremadamente difícil.

Cuando los usuarios lanzan la aplicación maliciosa, primero establece una conexión con un servidor remoto para realizar una verificación de red, creando una sensación de normalidad. Luego, solicita a los usuarios que ingresen su “frase de recuperación de la billetera” para fines de supuesta restauración. En el momento en que los usuarios envían esta información crítica, se transmite instantáneamente al servidor del atacante, otorgando a los criminales acceso completo a sus activos de criptomonedas.

Lo que hace que este ataque sea particularmente efectivo es que explota relaciones de confianza existentes. Los usuarios han descargado e instalado voluntariamente la aplicación antes, por lo que naturalmente esperan que sea legítima. Para cuando las víctimas se dan cuenta de que sus fondos han sido robados, los atacantes ya han movido los activos.

Por qué debes estar alerta ante estas amenazas emergentes

Este patrón de ataque representa una vulnerabilidad fundamental en la forma en que los canales de distribución de software manejan la gestión del ciclo de vida de los dominios. La dependencia de la Snap Store en la verificación de identidad basada en correo electrónico crea un punto débil crítico cuando los desarrolladores no renuevan sus dominios asociados. Los investigadores de seguridad enfatizan que los usuarios deben entender este vector de amenaza, ya que la conciencia es su primera línea de defensa.

La sofisticación no radica en la piratería técnica, sino en explotar la infraestructura de confianza misma. Incluso los usuarios conscientes de la seguridad pueden caer víctimas porque el ataque parece provenir de canales oficiales con una identidad de editor confiable intacta.

Como señala 23pds, lo más inquietante es la velocidad y escala con la que el software legítimo puede ser convertido en una herramienta para robar credenciales. Lo que ayer era una aplicación confiable, hoy puede convertirse en una herramienta para robar credenciales mediante una sola actualización.