decrypt.co
Un sitio web falso que suplanta al recién lanzado juego de navegador Pudgy World de Pudgy Penguins está intentando robar las contraseñas de las billeteras de criptomonedas de los usuarios, según advirtió el martes la firma de ciberseguridad Malwarebytes Labs.
En un reporte, Malwarebytes señaló que la operación de phishing, pudgypengu-gamegifts[.]live, utiliza réplicas altamente convincentes de interfaces de billeteras cripto para engañar a los usuarios. "Algunas funciones están vinculadas a coleccionables digitales y objetos del juego almacenados en billeteras de criptomonedas. Eso significa que el juego oficial a veces pide a los jugadores que conecten una billetera cripto para verificar la propiedad de los objetos o desbloquear funciones adicionales", afirmó Stefan Dasic, ingeniero senior de investigación de malware y autor del reporte.
A phishing site impersonating the newly-launched Pudgy World browser game steals crypto passwords.https://t.co/9Z1CsYdFhu
— Malwarebytes (@Malwarebytes) March 18, 2026
"El sitio de phishing abusa de ese paso: cuando un visitante selecciona su billetera en este sitio falso, se muestra lo que parece ser la pantalla de desbloqueo de esa billetera. Para el usuario, luce exactamente como el software real de billetera cripto en el que ya confía".
El phishing sigue siendo una de las formas más extendidas de cibercrimen. Según el Centro de Denuncias de Delitos en Internet (IC3) del FBI, las estafas de phishing y suplantación de identidad acumularon 193.407 denuncias en 2024, con pérdidas reportadas que superan los $70 millones. No se sabe si alguien ha caído víctima de este sitio en particular.
¿Qué es Pudgy World?
La advertencia llega una semana después del lanzamiento de Pudgy World, un juego de navegador gratuito vinculado a la marca $NFT Pudgy Penguins. El juego, que se lanzó el 10 de marzo, permite a los jugadores explorar un mundo virtual, personalizar avatares de pingüinos y completar misiones, con algunas funciones que requieren conectar billeteras de criptomonedas.
Pudgy Penguins ha crecido rápidamente desde que fue adquirida por el CEO Luca Netz en 2022, expandiéndose de una colección $NFT a una marca de consumo más amplia con productos minoristas, un juego móvil y ahora un juego en navegador. La colección tiene un precio mínimo de 4,25 $ETH ($9.500), según CoinGecko, muy por debajo del 88,3% de su máximo histórico de diciembre de 2024 de 36,33 $ETH.
Dasic señaló que el momento de la campaña parece deliberado, coincidiendo con el lanzamiento del juego y la llegada de nuevos usuarios poco familiarizados con las prácticas de seguridad de las billeteras cripto.
"El rango de billeteras objetivo también es significativo. La campaña no deja casi ningún punto ciego", agregó. "Ya sea que la víctima tenga Ethereum, Solana o activos multi-cadena, hay una falsificación convincente esperándola".
"Construir 11 falsificaciones de interfaz de usuario específicas para cada billetera no es una tarea trivial", añadió Dasic, señalando que esto sugiere un "actor de amenazas con muchos recursos" o la reutilización de un kit de phishing comercial diseñado para este tipo de ataque.
Este tipo de tácticas son comunes en las estafas relacionadas con criptomonedas, donde los atacantes registran dominios que se asemejan a los legítimos o manipulan anuncios en buscadores para parecer auténticos. Por ejemplo, los estafadores pueden enviar correos electrónicos con apariencia oficial usando un dominio con ".qov" en lugar de ".gov", con la esperanza de que la gente no note la pequeña diferencia.
Pudgy Penguins ya ha sido blanco de estafadores que usan sitios falsos. En diciembre de 2024, la firma de seguridad blockchain Scam Sniffer advirtió que atacantes estaban usando anuncios maliciosos de Google para suplantar las plataformas de Pudgy Penguins y engañar a los usuarios para que conectaran sus billeteras.
Se aconseja a los usuarios acceder a los sitios oficiales únicamente a través de marcadores de confianza, evitar hacer clic en enlaces de redes sociales o mensajes directos, y recordar que las solicitudes legítimas de contraseñas de billeteras no aparecen dentro del contenido de páginas web. Malwarebytes también recomendó cambiar las contraseñas de las billeteras de inmediato si se ingresaron credenciales en un sitio sospechoso, y considerar mover los fondos a una nueva billetera si se sospecha que hubo una vulneración.
Pudgy Penguins fue contactada para comentar al respecto.