En los últimos días ha salido a la luz un ataque dirigido contra la Snap Store de Linux que ha puesto en el punto de mira el modelo de distribución de software en este ecosistema. El incidente no explota un fallo técnico del sistema de paquetes en sí, sino que se aprovecha de la confianza que los usuarios depositan en las aplicaciones y desarrolladores ya consolidados en la plataforma.
Según han explicado distintas fuentes del sector de la ciberseguridad, entre ellas la firma especializada en blockchain SlowMist y el colaborador de Ubuntu Alan Pope, atacantes han logrado convertir paquetes legítimos en malware mediante la toma de control silenciosa de cuentas de editores antiguos de Snap Store. El objetivo principal: robar frases semilla y credenciales de monederos de criptomonedas, con especial impacto en usuarios de Europa y otras regiones donde Linux es habitual en entornos técnicos.
Cómo funciona el nuevo vector de ataque contra Snap Store
La clave del ataque está en el abuso de dominios web caducados asociados a cuentas de desarrollador en la Snap Store. Muchos proyectos de software dejan de mantenerse con el tiempo, pero sus aplicaciones siguen disponibles y acumulan descargas y reseñas positivas. En paralelo, los dominios vinculados a esos editores expiran y quedan libres para su registro.
Los atacantes monitorizan esos dominios que han quedado desatendidos y, cuando uno caduca, lo vuelven a registrar a su nombre. De este modo, recuperan el control de las direcciones de correo electrónico asociadas a esas cuentas de desarrollador en Snapcraft. A partir de ahí, pueden iniciar procesos de restablecimiento de contraseña y hacerse con el perfil del editor sin levantar sospechas.
Una vez dentro de la cuenta secuestrada, los responsables del ataque no necesitan subir software nuevo desde cero. Lo que hacen es modificar aplicaciones ya existentes y con buena reputación, incorporando código malicioso en una actualización aparentemente rutinaria. Como las actualizaciones se distribuyen a través de los canales oficiales de Snap Store, el sistema y el propio usuario las tratan como legítimas.
SlowMist ha confirmado que, al menos en dos casos, dominios de editores identificados como “storewisetech” y “vagueentertainmentcom” habrían sido comprometidos mediante este método. Las aplicaciones asociadas fueron modificadas para hacerse pasar por herramientas relacionadas con criptomonedas, aprovechando la confianza acumulada de las cuentas originales.
Este enfoque de ataque no se basa en crear repositorios falsos o tiendas alternativas, sino en explotar la cadena de confianza existente en la propia Snap Store. El usuario ve el mismo nombre de editor, el mismo historial de descargas y una actualización aparentemente normal, por lo que es muy difícil que sospeche sin una auditoría técnica más profunda.
Apps que imitan billeteras legítimas y robo de frases semilla
En la fase más visible del ataque, los paquetes comprometidos suplantan aplicaciones de monederos de criptomonedas muy conocidos. Entre los nombres mencionados por investigadores aparecen referencias a wallets populares como Exodus, Ledger Live o Trust Wallet, aunque lo relevante es el patrón: interfaces gráficas casi idénticas a las oficiales y un comportamiento que, a simple vista, parece normal.
El truco está en que, tras la instalación o la actualización, el software malicioso solicita al usuario que introduzca la frase de recuperación o semilla de su cartera. Muchos usuarios, confiando en que están ante la aplicación legítima, proporcionan esos datos sin pensárselo demasiado. Una vez introducidas, las palabras se envían a servidores bajo control de los atacantes, que pueden reconstruir el monedero y vaciar los fondos.
Este tipo de fraude es especialmente peligroso porque no necesita explotar vulnerabilidades del sistema operativo ni agujeros de seguridad en el kernel de Linux, por lo que conviene saber cómo detectar malware fileless y proteger tu empresa. Simplemente se basa en manipular el canal de distribución de software para intervenir en el momento en que el usuario introduce sus credenciales más sensibles.
Según ha detallado SlowMist, este vector de ataque está alineado con una tendencia más amplia en el sector de los criptoactivos: los delincuentes se centran cada vez más en la infraestructura y la cadena de suministro, en lugar de atacar directamente contratos inteligentes o protocolos DeFi. La Snap Store, como repositorio centralizado de software, se convierte así en un objetivo muy jugoso.
La empresa recuerda que, en los últimos años, la seguridad a nivel de protocolo ha mejorado de forma notable, lo que ha empujado a los atacantes a buscar tácticas más sutiles, jugando con la confianza del usuario y con la automatización de las actualizaciones de software. En el ámbito europeo, donde el uso de wallets no custodiales va al alza, este tipo de ataques puede tener un impacto relevante en pequeñas y medianas carteras de inversión.
De estafas burdas a ataques de cadena de suministro más sofisticados
Alan Pope, colaborador de Ubuntu y antiguo desarrollador en Canonical, ha explicado que los intentos de introducir malware en Snap Store no son algo nuevo. En un primer momento, los atacantes publicaban aplicaciones falsas que imitaban billeteras de criptomonedas utilizando cuentas recién creadas, sin historial ni reputación. Esos snaps eran relativamente fáciles de detectar y bloquear.
Cuando ese enfoque dejó de ser tan efectivo, los responsables de las campañas maliciosas empezaron a usar nombres engañosos y caracteres de otros alfabetos para registrar paquetes que, a simple vista, parecían legítimos. De esta manera, sorteaban parte de los filtros y confundían a usuarios menos atentos.
Más tarde, la táctica evolucionó a una especie de estrategia de “cebo y cambio”. Los atacantes publicaban software aparentemente inocuo, como pequeños juegos o utilidades de nombres genéricos (“lemon-throw”, “alpha-hub” y similares). Tras un tiempo en la tienda, y una vez que el paquete acumulaba cierta confianza, se lanzaba una actualización que introducía de forma silenciosa funciones maliciosas, muchas veces relacionadas con criptomonedas.
El último salto, y el más preocupante, es precisamente el que afecta a este caso: en lugar de partir de cuentas nuevas, se secuestran cuentas de editores con recorrido y reputación, aprovechando dominios y correos expirados. Esto convierte el ataque en una auténtica operación contra la cadena de suministro de software, porque la alteración se produce en un punto aparentemente fiable del proceso.
Los investigadores destacan que esta evolución demuestra cómo los atacantes observan las respuestas de las plataformas y ajustan sus métodos. Cada capa de defensa que se añade obliga a idear un enfoque más elaborado, y en este caso el punto débil ha sido la gestión de la identidad de los editores a lo largo del tiempo.
Respuesta de Canonical y críticas al modelo de confianza de Snap Store
Tras detectarse los paquetes maliciosos, Canonical, la compañía detrás de Ubuntu y responsable de la Snap Store, procedió a retirar los snaps comprometidos y a desactivar las cuentas afectadas. No obstante, Pope y otros expertos han señalado que la respuesta, aunque necesaria, deja al descubierto carencias estructurales en el modelo de seguridad de la plataforma.
Entre las preocupaciones planteadas está el hecho de que la “antigüedad” y el historial de un editor se usaban de facto como señal de confianza. Si un atacante puede tomar el control de esa cuenta gracias a un dominio caducado, esa misma señal se vuelve en contra de los usuarios, que se fían de lo que ven sin ser conscientes del cambio de manos.
También se han mencionado problemas en los tiempos de reacción. En algunos casos, la eliminación de snaps reportados como maliciosos no fue inmediata, sino que se prolongó durante varios días. En un entorno donde las actualizaciones automáticas están activas por defecto, unas horas de margen pueden ser suficientes para comprometer un número significativo de equipos.
Pope ha sugerido varias medidas para reforzar el sistema, como vigilar de forma proactiva la expiración de dominios asociados a editores, someter a revisiones adicionales a las cuentas inactivas durante largos periodos y hacer obligatoria la autenticación en dos pasos para todos los desarrolladores. Este tipo de controles no eliminaría el riesgo por completo, pero pondría más trabas al secuestro de perfiles.
El incidente, además, ha reabierto el debate en la comunidad europea de software libre sobre la dependencia de tiendas centralizadas para distribuir aplicaciones. Aunque Snap Store ofrece comodidad y actualizaciones automáticas, también concentra el riesgo: si el canal se ve comprometido, el alcance potencial del ataque es mucho mayor.
Impacto en el ecosistema cripto y cifras que preocupan
El caso de la Snap Store encaja dentro de un contexto más amplio de incremento de ataques contra infraestructuras relacionadas con criptomonedas. Informes recientes de firmas como CertiK y Chainalysis muestran que, aunque el número total de incidentes puede fluctuar, las cantidades sustraídas en operaciones puntuales siguen siendo muy elevadas.
CertiK ha señalado que, en un año reciente, las pérdidas por hackeos de criptoactivos alcanzaron varios miles de millones de dólares, con una parte muy significativa concentrada en unos pocos ataques a la cadena de suministro especialmente graves. La lección es clara: ya no hace falta comprometer cientos de proyectos pequeños si se puede intervenir en un punto crítico por el que pasa mucho dinero.
Por su parte, Chainalysis ha documentado que las direcciones ilícitas de criptomonedas llegaron a recibir más de cien mil millones de dólares en un solo año, lo que incluye fondos procedentes de estafas, ransomware, ataques a exchanges y otros tipos de fraude. Estas cifras, aunque globales, dan una idea del volumen que pueden manejar las redes criminales que diseñan campañas como la de Snap Store.
En paralelo, casos como el de un joven acusado en Estados Unidos de robar millones de dólares a usuarios de plataformas de intercambio mediante phishing e ingeniería social recuerdan que los atacantes no se limitan a usar malware técnico; a menudo combinan correos falsos, webs clonadas y aplicaciones manipuladas, como las técnicas para robar contraseñas en sitios de películas piratas, para construir operaciones complejas que cruzan fronteras.
Para los usuarios de Linux en España y el resto de Europa que manejan criptomonedas, esto se traduce en la necesidad de elevar el nivel de desconfianza saludable cuando se trata de instalar o actualizar software relacionado con activos digitales, incluso si proviene de canales teóricamente seguros.
Recomendaciones para usuarios y desarrolladores en Linux
Ante este panorama, los expertos han compartido una serie de pautas prácticas para reducir el riesgo. La primera es bastante directa: extremar la precaución con las billeteras de criptomonedas instaladas desde tiendas de aplicaciones como Snap Store, especialmente si se van a gestionar cantidades relevantes de dinero.
Siempre que sea posible, se recomienda descargar las wallets directamente desde las webs oficiales de los proyectos, verificando la autenticidad de los dominios (por ejemplo, comprobando certificados y evitando enlaces llegados por correo o redes sociales). Algunos equipos de desarrollo también publican sumas de verificación o firmas digitales para que los usuarios contrasten la integridad de los binarios.
Otra medida sensata es revisar cuidadosamente cualquier aplicación que solicite la frase semilla completa. En general, los desarrolladores legítimos insisten en que esa información no debe facilitarse nunca salvo en procesos muy concretos y controlados. Si una wallet recién instalada pide introducir de golpe todas las palabras de recuperación, conviene pararse y comprobar dos veces que se trata del software correcto.
Herramientas como SnapScope, creada por Alan Pope, pueden servir de apoyo adicional. Esta plataforma web analiza información pública sobre los snaps (antigüedad del editor, actividad reciente, posibles señales sospechosas) y marca aquellos que podrían ser problemáticos antes de que el usuario los instale en su sistema.
En el lado de los desarrolladores, las recomendaciones pasan por mantener los dominios de los proyectos al día, activar la autenticación de dos factores en las cuentas de Snapcraft y reforzar la seguridad del correo electrónico. Incluso si un proyecto ya no se mantiene activamente, conviene evitar que su identidad quede desprotegida y pueda ser reciclada por terceros con fines maliciosos.
Todo lo ocurrido con el ataque a la Snap Store de Linux deja claro que la seguridad del software no depende solo del código, sino también de la cadena de distribución y del modelo de confianza sobre el que se apoya. Los atacantes han demostrado que son capaces de convertir aplicaciones legítimas en herramientas para robar criptomonedas simplemente tomando el control de cuentas abandonadas, y eso obliga tanto a los responsables de las plataformas como a usuarios y desarrolladores a replantearse ciertos hábitos. En un contexto en el que los criptoactivos mueven cantidades cada vez mayores, proteger mejor la identidad de los editores, vigilar las actualizaciones automáticas y desconfiar de cualquier petición de frases semilla son pasos clave para que incidentes como este no se conviertan en algo cotidiano.
