Con el fishing buscan estafar dinero a víctimas desprevenidas. Ejecutada por hackers, significa que se utilizan cada vez más para robar activos digitales. Aunque las criptomonedas ofrecen mayor protección que el dinero fiduciario, los hackers pueden desaparecer con dineros malhabidos muy rápidamente.

Las estafas de phishing son anteriores a la industria de las criptomonedas, y se cree que el primer ataque documentado se llevó a cabo a mediados de los años 90.

Aunque el objetivo general del phishing es simplemente estafar dinero a las víctimas desprevenidas, el hecho de que estas tácticas sean ejecutadas por hackers con conocimientos de tecnología significa que se utilizan cada vez más para robar activos digitales.

Más allá de todo, las criptomonedas ofrecen una mayor protección de la privacidad que el dinero fiduciario, lo que significa que los hackers pueden desaparecer en la noche con sus ganancias mal habidas.

A continuación se presentan cuatro de los ataques de phishing más comunes, además de consejos útiles para protegerse de los ciberdelincuentes.

1) Suplantación de identidad (spear phishing)

Un informe reciente de la empresa de protección de datos Barracuda Networks destacó la creciente prevalencia de los ataques de spear phishing, en los que los atacantes se dirigen a individuos específicos con mensajes personalizados, normalmente un correo electrónico falso que pretende ser de un remitente de confianza.

A menudo, el objetivo del atacante es obligar a los destinatarios a revelar información sensible o inducirles a visitar un sitio web con malware. Según el informe de Barracuda, la organización media es objeto de más de 700 ataques de ingeniería social cada año.

En lo que respecta a las criptomonedas, los correos electrónicos y mensajes de texto de phishing que pretenden ser de proveedores de monederos de hardware, como Trezor, o incluso de plataformas de intercambio de criptomonedas, intentan inducir al destinatario a «actualizar» su frase de semilla o a cambiar su contraseña, tras lo cual el ladrón puede robar las credenciales de inicio de sesión y vaciar el monedero en cuestión.

Otra táctica consiste en atraer a los usuarios con promociones plausibles, como fue el caso del ataque a los usuarios de Celsius a principios de este año.

Entonces, ¿cómo puede inmunizarse contra el spear phishing? A nivel de empresa, existen múltiples soluciones: formación del personal para aumentar la concienciación de los empleados y la presentación de informes; utilización del aprendizaje automático para analizar los patrones de comunicación; herramientas de IA para garantizar la protección de la toma de cuentas.

Los particulares, por su parte, deben tomar medidas para verificar la legitimidad de los remitentes, examinar cuidadosamente los enlaces y las direcciones de correo electrónico de los remitentes, evitar las redes Wi-Fi abiertas y contar con la autenticación de dos factores. Sobre todo, hay que desconfiar de cualquier correo electrónico en el que se pida que se introduzca un nombre de usuario y una contraseña.

2) Secuestro de DNS

Algunos esquemas de phishing son más sofisticados que otros. Por ejemplo, los ataques de falsificación de DNS. Con esta estafa, que tiene décadas de antigüedad, los ciberdelincuentes secuestran sitios web legítimos y los sustituyen por una interfaz maliciosa, antes de engañar a los usuarios para que introduzcan sus claves privadas en el dominio fraudulento.

A principios de este año, dos importantes proyectos DeFi (finanzas descentralizadas) construidos sobre la cadena inteligente de Binance, a saber, PancakeSwap y Cream Finance, fueron víctimas de un ataque de este tipo, aunque no estaba claro cuántos usuarios habían sido engañados.

Una de las formas más efectivas de protegerse de un ataque de DNS es utilizar una VPN, ya que ésta elude la configuración del router enviando el tráfico a través de un túnel cifrado. También debes ser diligente a la hora de comprobar la URL en tu navegador para asegurarte de que el certificado del sitio web es de confianza, y prestar atención a cualquier advertencia que indique que tu conexión a un sitio es insegura. Por supuesto, almacenar su criptografía fuera de línea en una cartera de hardware a prueba de manipulaciones como NGRAVE, en lugar de interactuar con los fondos en línea, también es una buena práctica.

3) Robots de suplantación de identidad

Hace cinco años, se nos dijo que un ejército de «bots» influyó tanto en el referéndum del Brexit como en las elecciones presidenciales de Estados Unidos. Si estas afirmaciones tenían mérito está fuera del alcance de este artículo, ya que estamos interesados en un tipo diferente de villano: el tipo creado para robar nuestras preciosas frases de semillas.

En mayo, la cartera de criptomonedas MetaMask, basada en Ethereum, llamó la atención de los usuarios sobre un ataque de phishing perpetrado por bots que roban frases en Twitter.

«La solicitud de phishing proviene de una cuenta que parece ‘normal’ (pero con pocos seguidores), sugiere útilmente rellenar un formulario de soporte en un sitio importante como Google sheets (difícil de bloquear),

[y]

pide tu frase secreta de recuperación», explicó MetaMask, antes de dispensar algunos sabios consejos sobre cómo protegerse: «Busca ayuda SÓLO DENTRO de la aplicación para la que quieres ayuda».

Aunque puede parecer una buena idea verificar que la correspondencia procede de una cuenta oficial, esta estrategia no es totalmente segura: las cuentas de las redes sociales pueden ser hackeadas como cualquier otra, como demuestra el gran hackeo de Twitter de 2020, que hizo que los ciberdelincuentes ganaran 121.000 dólares en bitcoins.

4) Extensiones de navegador falsas

En la criptosfera, estamos acostumbrados a utilizar todo tipo de extensiones de navegador, siendo especialmente popular la mencionada MetaMask.

Desgraciadamente, los ciberdelincuentes están aprovechando esta predilección para crear extensiones falsas y robar fondos de los usuarios. El año pasado, una extensión maliciosa de Chrome llamada Ledger Live se descargó más de 120 veces antes de ser expulsada de la Chrome Web Store. Lo más preocupante es que los atacantes fueron capaces de aprovechar los anuncios de Google para promocionar el producto y conseguir un aire de legitimidad.

¿Qué hay que tener en cuenta? No confíes en que las tiendas web examinen adecuadamente las extensiones que ponen a tu disposición. Si descargas una extensión criptográfica, comprueba su página de perfil para asegurarte de que tiene muchas reseñas y de que proviene de un desarrollador de confianza. Examina los permisos que pide la extensión (Configuración de Chrome>Extensiones>Detalles) para comprobar que están de acuerdo con sus características. Ah, y es posible que quieras descargar una extensión directamente desde un enlace en el sitio web de la empresa.

Hay otras reglas generales que deberías considerar para protegerte de las estafas de phishing. Por ejemplo, es inteligente marcar como favoritos los sitios verificados en los que sueles introducir información sensible. Lo mismo ocurre con guardar las direcciones de correo electrónico de contacto de las empresas de criptografía con las que se interactúa. Muchas personas también han sido víctimas de correos electrónicos de phishing o sitios web maliciosos que presentan una sutil falta de ortografía de una dirección legítima. Puede parecer una tarea ardua, pero comprobar dos veces las URL es un buen hábito que hay que adquirir.

Saber cómo funcionan las estafas de phishing es el primer y más importante paso para proteger su cripto patrimonio. Siga los consejos descritos anteriormente y lo único de lo que tendrá que preocuparse… es del mercado.

* Emprendedor tecnológico, políglota, aprendiz de por vida y fundador y director ejecutivo de NGRAVE, la empresa de seguridad de activos digitales.