Un sitio web falso que se hace pasar por el recién lanzado juego de navegador Pudgy World de Pudgy Penguins está intentando robar criptomonedas billetera contraseñas, advirtió el martes la firma de ciberseguridad Malwarebytes Labs.
En un informe, Malwarebytes dijo que la operación de phishing, pudgypengu-gamegifts[.]live, utiliza réplicas muy convincentes de interfaces de billeteras criptográficas para engañar a los usuarios. “Algunas características están vinculadas a coleccionables digitales y elementos del juego almacenados en billeteras de criptomonedas. Eso significa que el juego oficial a veces pide a los jugadores que conecten una billetera de criptomonedas para verificar la propiedad de los artículos o desbloquear funciones adicionales”, dijo Stefan Dasic, ingeniero senior de investigación de malware y autor del informe.
Un sitio de phishing que se hace pasar por el recién lanzado juego de navegador Pudgy World roba contraseñas criptográficas. https://t.co/9Z1CsYdFhu
– Malwarebytes (@Malwarebytes) 18 de marzo de 2026
“El sitio de phishing abusa de ese paso: cuando un visitante selecciona su billetera en este sitio falso, muestra lo que parece ser la pantalla de desbloqueo de esa billetera. Para el usuario, a todo el mundo le parece el software real de billetera criptográfica en el que ya confía”.
El phishing sigue siendo una de las formas más extendidas de ciberdelito. Según el Centro de Denuncias de Delitos en Internet (IC3) del FBI, las estafas de phishing y suplantación de identidad representaron 193.407 denuncias en 2024, con pérdidas reportadas que superaron los 70 millones de dólares. No se sabe si alguien ha sido víctima de este sitio en particular.
¿Qué es el mundo regordete?
La advertencia llega una semana después del lanzamiento de Pudgy World, un juego de navegador gratuito vinculado a Pudgy Penguins. $ NFT marca. El juego, que se lanzó el 10 de marzo, permite a los jugadores explorar un mundo virtual, personalizar avatares de pingüinos y completar misiones, y algunas funciones requieren que los usuarios conecten billeteras de criptomonedas.
Pudgy Penguins ha crecido rápidamente desde que fue adquirida por el director ejecutivo Luca Netz en 2022, expandiéndose desde una $ NFT colección en una marca de consumo más amplia con productos minoristas, un juego móvil y ahora un juego basado en navegador. La colección tiene un precio mínimo de 4,25 $ETH ($ 9500), según CoinGecko, muy por debajo del 88,3% de su máximo de diciembre de 2024 de 36,33 $ETH.
Dasic dijo que el momento de la campaña parece deliberado, coincidiendo con el lanzamiento del juego y la afluencia de nuevos usuarios que no están familiarizados con las prácticas de seguridad de las criptomonedas.
“La variedad de carteras a las que se dirige también es significativa. La campaña casi no deja ningún punto ciego en las carteras”, afirmó. “Ya sea que la víctima posea Ethereum, Solana o activos de múltiples cadenas, hay una falsificación convincente esperándola”.
“Construir 11 falsificaciones de UI específicas de billeteras no es una tarea trivial”, agregó Dasic, señalando que sugiere un “actor de amenazas con buenos recursos” o la reutilización de un kit de phishing comercial creado para esta clase de ataque.
Estas tácticas son comunes en las estafas relacionadas con las criptomonedas, donde los atacantes registran dominios que se parecen mucho a los legítimos o manipulan los anuncios de búsqueda para que parezcan auténticos. Por ejemplo, los estafadores pueden enviar correos electrónicos que parecen oficiales utilizando un dominio con “.qov” en lugar de “.gov” con la esperanza de que la gente no note la ligera diferencia.
Pudgy Penguins ya ha sido blanco de estafadores que utilizaban sitios falsos. En diciembre de 2024, la empresa de seguridad blockchain Scam Sniffer advirtió que los atacantes estaban utilizando anuncios maliciosos de Google para hacerse pasar por las plataformas de Pudgy Penguins y engañar a los usuarios para que conectaran sus billeteras.
Se recomienda a los usuarios acceder a los sitios oficiales sólo a través de marcadores confiables, evitar hacer clic en enlaces de redes sociales o mensajes directos, y recordar que las solicitudes de contraseñas legítimas de billetera no aparecen dentro del contenido de la página web. Malwarebytes también recomendó cambiar las contraseñas de las billeteras inmediatamente si se ingresaron credenciales en un sitio sospechoso y considerar transferir fondos a una nueva billetera si se sospecha que están comprometidas.
Se ha contactado a Pudgy Penguins para hacer comentarios.