Elena Durán
Un gusano con nombre de ciencia ficción
Mi veredicto es claro: el ataque Shai-Hulud es uno de los incidentes de seguridad más sofisticados que hemos visto en el ecosistema crypto.
No voy a endulzarlo: si usaste la extensión de Chrome de Trust Wallet entre el 24 y 26 de diciembre de 2025, es muy probable que tus fondos estén comprometidos.
El nombre "Shai-Hulud" viene de los gusanos de arena gigantes de Dune, la saga de Frank Herbert. Y la analogía es perfecta: este malware se movía bajo la superficie del ecosistema de software, invisible, hasta que emergió para devorar $8.5 millones en criptoactivos.
Después de semanas investigando este caso, puedo decirte exactamente qué pasó, cómo funcionó el ataque y —lo más importante— cómo protegerte para que no te pase a ti.
La cronología del ataque: de septiembre a Nochebuena
Fase 1: Infección silenciosa del ecosistema npm
El ataque comenzó meses antes del robo. Si me preguntas directamente, esto no fue oportunista; fue una operación planificada con precisión militar.
| Fecha | Evento |
|---|---|
| 16 Sep 2025 | Primera detección de Shai-Hulud. Infecta 187+ paquetes npm, incluyendo varios de CrowdStrike |
| Nov 2025 | Shai-Hulud 2.0: 640+ paquetes npm comprometidos. 33,185 secretos únicos expuestos en 20,649 repositorios |
| 24 Nov 2025 | Pico del ataque: 25,000+ repositorios maliciosos creados en GitHub |
| 8 Dic 2025 | Los atacantes registran el dominio metrics-trustwallet[.]com |
| 21 Dic 2025 | Primeras peticiones al servidor de comando y control |
| 24 Dic 2025, 12:32 UTC | Extensión maliciosa v2.68 publicada en Chrome Web Store |
| 25 Dic 2025 | Trust Wallet detecta el ataque y emite alerta de emergencia |
| 26 Dic 2025, 11:00 UTC | Extensión removida. Versión limpia 2.69 publicada |
| Ene 2026 | Trust Wallet confirma $8.5M robados. Inicia proceso de reembolso |
Fase 2: El golpe de Nochebuena
Los atacantes eligieron el momento perfecto: Nochebuena. Equipos de seguridad reducidos, atención desviada, tiempo de respuesta maximizado.
Con las credenciales robadas durante meses de infección silenciosa, publicaron una versión maliciosa de la extensión de Trust Wallet directamente en la Chrome Web Store. Bypassearon todos los controles internos porque tenían las llaves del reino.
La extensión v2.68 parecía idéntica a la legítima. Pero bajo el capó, cada vez que un usuario desbloqueaba su wallet, el código malicioso:
- Iteraba por todas las wallets configuradas
- Extraía las frases semilla (seed phrases)
- Las disfrazaba como "telemetría de errores"
- Las enviaba al servidor del atacante usando PostHog como canal
Ingenioso y aterrador a partes iguales.
Cómo funcionó técnicamente: un ataque en tres capas
Capa 1: El gusano npm
Shai-Hulud no es un malware convencional. Es un gusano auto-replicante que se propaga por el registro npm.
El proceso era diabólicamente simple:
- Infección inicial: El malware se inyectaba en la fase de pre-instalación de paquetes npm populares
- Escaneo de secretos: Usaba TruffleHog para buscar tokens API, credenciales cloud (AWS, GCP, Azure) y tokens npm
- Exfiltración: Los secretos robados se publicaban en repositorios públicos de GitHub con nombre "Shai-Hulud"
- Auto-propagación: Con tokens npm robados, el malware se autenticaba y publicaba versiones infectadas de otros paquetes
Resultado: 800+ paquetes npm comprometidos, 400,000 secretos expuestos.
Capa 2: Compromiso de Trust Wallet
Durante Shai-Hulud 2.0 en noviembre, los atacantes obtuvieron:
- Acceso al código fuente de la extensión
- La API key de Chrome Web Store
- Credenciales de despliegue
Con esto en mano, solo necesitaban esperar el momento óptimo.
Capa 3: Robo masivo
El código malicioso en v2.68 era elegante en su simplicidad. Se activaba en cada desbloqueo de wallet —no solo al importar la seed phrase— lo que maximizaba las víctimas.
Las frases mnemónicas se enviaban disfrazadas como errorMessage en la telemetría, usando la librería PostHog como canal de exfiltración. A ojos de cualquier análisis superficial, parecía tráfico legítimo de errores.
El impacto: los números del desastre
| Métrica | Valor |
|---|---|
| Wallets afectadas | 2,520 direcciones confirmadas |
| Monto total robado | ~$8.5 millones USD |
| Desglose aproximado | ~$3M Bitcoin, ~$3M+ Ethereum, $431 Solana |
| Wallets del atacante | 17 direcciones identificadas |
| Versión afectada | Solo Trust Wallet Browser Extension v2.68 |
| Período de riesgo | 24-26 de diciembre de 2025 |
| Usuarios de la extensión | ~1 millón (todos instados a actualizar) |
Pero el impacto de Shai-Hulud va más allá de Trust Wallet:
- 800+ paquetes npm infectados
- 27,000+ paquetes maliciosos agregados a npm
- 400,000 secretos expuestos
- 60%+ de tokens npm filtrados seguían válidos semanas después
- Organizaciones afectadas: Trust Wallet, CrowdStrike, Zapier, PostHog, Postman
La respuesta de Trust Wallet: ¿suficiente?
Acciones inmediatas
Trust Wallet reaccionó con razonable rapidez una vez detectado el ataque:
- Rollback de la extensión comprometida y publicación de v2.69 limpia
- Deshabilitación de acceso de publicación y credenciales API
- Reporte del dominio malicioso a NiceNIC (que lo suspendió)
- Expiración de todas las APIs de release por 2 semanas
- Coordinación con analistas de blockchain para rastrear fondos
Sobre los reembolsos
Trust Wallet se comprometió a reembolsar voluntariamente a todos los usuarios afectados. El portal de reclamaciones está en be-support.trustwallet.com.
Pero hay un problema: recibieron 5,000+ reclamaciones para 2,520 wallets afectadas. La diferencia son duplicados, errores y —inevitablemente— estafadores intentando aprovecharse.
Trust Wallet está desarrollando una herramienta de verificación en v2.70 para validar reclamaciones legítimas.
¿Insider o estado-nación?
Hay dos teorías circulando:
Teoría 1: Actor estatal. Trust Wallet sugirió públicamente que podría tratarse de un "nation-state actor". La sofisticación del ataque, la planificación de meses y la infraestructura preparada apuntan en esa dirección.
Teoría 2: Insider. Changpeng Zhao (CZ), fundador de Binance (dueño de Trust Wallet), insinuó que "muy probablemente" fue un insider. La infraestructura fue preparada 2+ semanas antes: "Esto no fue oportunista. Fue planeado".
Shai-Hulud 3.0: la amenaza continúa
Si creías que esto había terminado, tengo malas noticias.
En enero 2026, el investigador Charlie Eriksen de Aikido detectó una tercera variante en el paquete @vietmoney/react-big-calendar @0.26.2.
Características de Shai-Hulud 3.0:
- Mayor ofuscación de strings
- Mejor manejo de errores
- Compatibilidad mejorada con Windows
- Enfocado en aumentar la longevidad de la campaña
Los expertos creen que esto fue un "deployment de prueba", no un ataque activo. Pero la advertencia es clara: Shai-Hulud sigue vivo, y una cuarta oleada podría estar en desarrollo.
Cómo proteger tus criptomonedas: 7 medidas esenciales
Después de meses analizando este caso, estas son mis recomendaciones:
1. Usa hardware wallets para holdings grandes
Ledger, Trezor y similares almacenan tus claves offline. No importa cuántos malware infecten tu navegador: si las claves nunca tocan internet, no pueden ser robadas.
Mi recomendación directa: Si tienes más de $1,000 en crypto, invierte $80-150 en un hardware wallet. El ROI es infinito si evitas un solo hackeo.
2. Desconfía de extensiones de navegador
Las wallets en navegador son inherentemente inseguras. El contexto del navegador es un campo minado: extensiones maliciosas, ataques de phishing, vulnerabilidades de día cero.
La funcionalidad de wallet pertenece a:
- Apps móviles dedicadas
- Hardware wallets
- Software de escritorio (no extensiones)
3. Implementa "cooldown" de actualizaciones
Retrasa actualizaciones de extensiones 48-72 horas. Deja que la comunidad de seguridad detecte problemas primero.
Esto habría salvado a las víctimas de Trust Wallet: la extensión maliciosa estuvo activa solo ~35 horas.
4. Activa 2FA fuerte
Usa WebAuthn (llaves de seguridad físicas) o apps autenticadoras como Aegis o Authy. Nunca SMS: es vulnerable a ataques de SIM-swap.
5. Protege tu seed phrase offline
Nunca almacenes tu frase semilla online. Ni en notas, ni en emails, ni en fotos en la nube, ni en gestores de contraseñas.
Escríbela físicamente y guárdala en un lugar seguro. Considera placas de metal resistentes al fuego para cantidades grandes.
6. Diversifica el almacenamiento
No guardes todo en un solo lugar. Combina:
- Hardware wallet (holdings principales)
- Paper wallet (backup frío)
- Exchange (solo liquidez que necesites)
7. Actúa rápido ante sospechas
Si sospechas que tu wallet está comprometida:
- Desconecta el dispositivo de la red inmediatamente
- Desde otro dispositivo limpio, transfiere fondos a una wallet nueva
- Después investiga qué pasó
El orden es crítico: primero mover fondos, luego investigar.
Para desarrolladores: protegiendo la cadena de suministro
Si eres desarrollador, el ataque Shai-Hulud es una llamada de atención:
Usa npm trusted publishing
En lugar de tokens, configura trusted publishing. Elimina credenciales de larga duración que pueden ser robadas.
Requiere 2FA para publicación
npm permite forzar 2FA para todas las acciones de publicación. Actívalo.
Audita dependencias regularmente
Herramientas como Socket.dev, Snyk o npm audit pueden detectar paquetes comprometidos.
Rota credenciales ante cualquier sospecha
Si hay cualquier indicio de exposición, rota todo inmediatamente. No esperes a confirmar el compromiso.
Cómo verificar si fuiste afectado
Usuarios de Trust Wallet
- Verifica la versión: Si usaste la extensión de Chrome entre el 24-26 de diciembre de 2025, podrías estar afectado
- Revisa tus transacciones: Busca transferencias no autorizadas en tu historial
- Portal oficial: Si fuiste afectado, presenta reclamación en
be-support.trustwallet.com
Señales de alerta
- Transacciones que no reconoces
- Balances reducidos sin explicación
- Emails de "soporte" pidiendo información (son estafas)
ADVERTENCIA: Trust Wallet alerta que actores maliciosos están suplantando cuentas de soporte, enviando formularios de compensación falsos y ejecutando estafas vía Telegram. El único portal legítimo es el oficial.
FAQs: preguntas frecuentes sobre el hackeo
¿Todas las versiones de Trust Wallet fueron afectadas?
No. Solo la extensión de Chrome versión 2.68, publicada el 24 de diciembre de 2025. Las apps móviles de iOS y Android no fueron comprometidas. Si solo usas la app móvil, tus fondos están seguros.
¿Trust Wallet va a reembolsar a todos?
Se comprometieron a hacerlo voluntariamente, pero el proceso está en desarrollo. Están verificando reclamaciones para filtrar fraudes. Si fuiste afectado legítimamente, presenta tu caso en el portal oficial y guarda paciencia.
¿Debo dejar de usar Trust Wallet?
No necesariamente. El problema fue un ataque de supply chain, no una falla inherente de Trust Wallet. Dicho esto, considera diversificar: no pongas todos tus huevos en una canasta. Un hardware wallet para holdings principales sigue siendo la opción más segura.
¿Cómo sé si mis paquetes npm están comprometidos?
Usa herramientas de análisis como Socket.dev o Snyk. También puedes buscar en la base de datos de paquetes comprometidos que CISA y Microsoft han publicado. Si usas alguno de los 800+ paquetes afectados, audita tu código inmediatamente.
¿Qué es un ataque de supply chain?
Es cuando los atacantes comprometen un componente de software que otros proyectos usan como dependencia. En lugar de atacar a Trust Wallet directamente, infectaron paquetes npm que los desarrolladores de Trust Wallet usaban. Cuando estos paquetes se instalaron, el malware se activó. Es como envenenar el suministro de agua en lugar de envenenar a cada persona individualmente.
Conclusión: lecciones del gusano de arena
El ataque Shai-Hulud nos deja varias lecciones:
1. La cadena de suministro de software es frágil. Un solo paquete npm comprometido puede cascadear a miles de proyectos. La industria necesita mejores herramientas de verificación y menos confianza implícita.
2. Las extensiones de navegador son vectores de ataque. Si puedes evitarlas para funcionalidad crítica (como manejar dinero), evítalas.
3. El timing importa. Los atacantes eligieron Nochebuena por una razón. Los equipos de seguridad deben tener cobertura incluso en festivos.
4. La preparación supera a la reacción. Las víctimas que tenían hardware wallets o que no usaban la extensión de Chrome no perdieron nada. La mejor defensa es no estar expuesto.
Y quizás la lección más importante: en crypto, tú eres tu propio banco. Eso significa libertad, pero también responsabilidad total. Nadie va a proteger tus fondos por ti.
Los gusanos de arena de Arrakis eran inevitables. Pero en el mundo del software, con las precauciones adecuadas, puedes evitar que te devoren.
