Las estafas de phishing existen desde antes de la industria de las criptomonedas, con el primer ataque documentado que se cree fue realizado a mediados de los años 90. Aunque el objetivo principal del phishing es simplemente robar dinero a víctimas desprevenidas, el hecho de que tales estratagemas sean ejecutadas por hackers expertos en tecnología significa que se utilizan cada vez más para robar activos digitales. No en último lugar porque las criptomonedas ofrecen mayores protecciones de privacidad en comparación con las monedas de curso legal, lo que significa que los hackers pueden desaparecer sin dejar rastro con su botín.
Aquí hay cinco de los ataques de phishing más comunes, junto con algunos consejos útiles para protegerte de los ciberdelincuentes.
1 – Spear phishing
Un informe reciente ha destacado la creciente difusión de los ataques de spear phishing, en los que los agresores se dirigen a individuos específicos con mensajes personalizados, típicamente un correo electrónico falso que parece provenir de un remitente de confianza. A menudo, el objetivo del atacante será obligar a los destinatarios a revelar información sensible, o inducirlos a visitar un sitio web infectado con malware.
En cuanto a las criptomonedas, los correos electrónicos y mensajes de texto de phishing que se hacen pasar por proveedores de hardware wallets como Trezor y Ledger o incluso por exchanges de criptomonedas, intentan inducir al destinatario a ‘actualizar’ su recovery seed o cambiar su contraseña, después de lo cual el ladrón puede robar las credenciales de acceso y vaciar la wallet en cuestión. Otra táctica es atraer a los usuarios con promociones plausibles.
Entonces, ¿cómo puedes inmunizarte contra el spear phishing? A nivel empresarial, hay múltiples soluciones: formación del personal para aumentar la concienciación y la notificación de los empleados; uso del aprendizaje automático para analizar los patrones de comunicación; herramientas de IA para garantizar protecciones contra la toma de control de cuentas.
Los individuos, mientras tanto, deberían tomar medidas para verificar la autenticidad de los remitentes, comprobar cuidadosamente los enlaces y las direcciones de correo electrónico de los remitentes, evitar redes Wi-Fi abiertas y tener la Autenticación de 2 Factores activa. Sobre todo, sé extremadamente cauteloso con cualquier correo electrónico que te pida introducir un login y una contraseña.
2 – Secuestro DNS
Algunos esquemas de phishing son más sofisticados que otros. Tomemos por ejemplo los ataques de spoofing DNS. En esta estafa de décadas de antigüedad, los ciberdelincuentes secuestran sitios web legítimos y los reemplazan con una interfaz maliciosa, antes de inducir a los usuarios a introducir sus claves privadas en el dominio falso.
Una de las formas más efectivas de protegerse de un ataque DNS es utilizar una VPN, ya que evita la configuración del router enviando el tráfico a través de un túnel cifrado. También se debe ser diligente al comprobar la URL en el navegador para asegurarse de que el certificado del sitio web es fiable, y prestar atención a cualquier aviso que indique que la conexión a un sitio no es segura.
Naturalmente, almacenar tus criptomonedas offline en un hardware wallet a prueba de manipulaciones, en lugar de interactuar con las criptomonedas online, también es una buena práctica.
3 – Bots de phishing
Hace cinco años, un ejército de ‘bots’ influyó tanto en el referéndum del Brexit como en las elecciones presidenciales estadounidenses. Por ejemplo, existe un tipo de ataque creado para robar nuestras valiosas Recovery Seeds.
En mayo de 2021, la wallet basada en Ethereum, MetaMask llamó la atención de los usuarios por un ataque de phishing perpetrado por bots que roban Recovery Seeds a través de Twitter. “La solicitud de phishing proviene de una cuenta que parece ‘normal’ (pero con pocos seguidores), sugiere completar un formulario de soporte en un sitio verificado como Google Sheets (difícil de bloquear).
MetaMask sugiere utilizar únicamente el soporte oficial a través de la app, pero aunque puede parecer una buena idea verificar que el mensaje proviene de una cuenta oficial, esta estrategia no es infalible: las cuentas de redes sociales pueden ser hackeadas como cualquier otra, como lo demostró el gran hackeo de Twitter de 2020 que proporcionó a los ciberdelincuentes $121,000 en bitcoin.
4 – Extensiones falsas del navegador
En el mundo de la criptografía, estamos acostumbrados a utilizar una variedad de extensiones del navegador, como por ejemplo MetaMask, que resulta particularmente popular. Desafortunadamente, los ciberdelincuentes están aprovechando esta predilección a su favor creando extensiones falsas y robando fondos a los usuarios.
El año pasado, una peligrosa extensión de Chrome llamada Ledger Live fue descargada más de 120 veces antes de ser prohibida en la Chrome Web Store. Es inquietante el hecho de que los agresores lograron explotar Google Ads para promocionar el producto y obtener un aire de legitimidad.
¿La lección a aprender? No confíes únicamente en las tiendas de aplicaciones para controlar adecuadamente las extensiones que ponen a disposición. Si estás descargando una extensión de navegador criptográfica, comprueba su página de perfil para asegurarte de que tiene muchas reseñas y proviene de un desarrollador de confianza. Examina los permisos que la extensión requiere (Configuración de Chrome>Extensiones>Detalles) para verificar que estén en línea con sus funcionalidades. Finalmente, podrías descargar una extensión directamente desde un enlace en el sitio web de la empresa, sin pasar por una búsqueda en la tienda de aplicaciones.
5 – Ice phishing
En esta forma de phishing, el atacante enviará a la víctima una transacción falsa que parece provenir de una fuente legítima. La transacción requerirá que la víctima la firme con su clave privada. En otras palabras, la víctima es inducida a firmar una transacción que transfiere la autoridad sobre sus tokens al estafador. Si la víctima procede, habrá transferido inconscientemente la propiedad de sus tokens al agresor.
Conclusión
Hay otras reglas generales que deberías considerar seguir para protegerte de las estafas de phishing. Por ejemplo, es inteligente añadir a favoritos los sitios verificados donde normalmente introduces información sensible. Lo mismo vale para guardar las direcciones de correo electrónico de contacto de las empresas de criptomonedas con las que interactúas.
Innumerables personas han caído víctimas de correos electrónicos de phishing o sitios web maliciosos que presentan un buen copywriting y una dirección web legítima. Puede parecer una tarea aburrida, pero comprobar dos veces las URL es un buen hábito que adquirir.
Conocer las estafas de phishing es el primer y más importante paso para proteger tus activos criptográficos en un mundo cada vez más digital. Sigue los consejos mencionados anteriormente y lo único de lo que tendrás que preocuparte… es comprar un buen hardware wallet y empezar a usarlo de manera consciente evitando divulgar tu Recovery Seed incluso a tu esposa…
Etiquetas: hacker, Hardware wallet, phishing
