Qué es el Phishing y cómo evitarlo en el mercado de las criptomonedas

  • El Phishing es una de las técnicas más comúnmente utilizadas para lograr robar información privada que se vale  de hacerse pasar por una entidad “confiable” para engañar a la víctima para que abra un correo electrónico o un mensaje.
  • Las consecuencias de ser víctimas de este ataque pueden ser variadas, desde el robo de fondos hasta el robo de la identidad.
  • Aprende qué es, cómo se ve y cómo prevenirlo a continuación.

El crimen cibernético ha existido desde los inicios del Internet. Básicamente este delito consiste en el uso de la tecnología para cometer crímenes que pueden afectar la seguridad y bienestar financiero de una persona.

Una de las estrategías utilizadas en el crimen cibernético es el phishing el cual hace uso de correos electrónicos, sitios web o mensajes de texto engañosos para robar información delicada de las personas.

De hecho, es considerado como un tipo de ataque de ingeniería social, lo cual consiste en cometer crímenes por medio de interacciones humanas. En este tipo de actividad, se hace empleo de la manipulación psicológica para engañar a los usuarios para que cometan errores de seguridad o entreguen información confidencial. Básicamente, su éxito se basa en la tendencia humana de confiar en los demás.

Lo curioso es que suena irreal: ¿Cómo alguien entregaría voluntariamente información personal? No obstante, las técnicas de manipulación de los criminales han evolucionado con los años y, si una persona no es consciente de ellas, será más fácil que caiga en la trampa.

Es por ello que, a continuación, encontrará una guía detallada sobre el phishing, cómo impacta en el ecosistema cripto, cuáles son las técnicas más comunes y cómo puede una persona prevenirlo.

Phishing, el monstruo al que le temen todos los cripto usuarios

El término “Phishing” proviene de la década de 1990, aproximadamente, y, como se mencionó, es una actividad criminal que ocurre en el Internet y, por consecuencia, impacta en distintos sectores y no exclusivamente al mercado de criptomonedas.

Generalmente, este tipo de ataques ocurren haciéndose pasar por una entidad “confiable” para engañar a la víctima para que abra un correo electrónico o un mensaje. Una vez que el atacante obtiene la atención de la víctima, se le engaña para que haga clic en un enlace malicioso que provocará la instalación de un malware, la congelación del sistema o la revelación de información confidencial.

Por ejemplo, el hacker podría crear una dirección de correo electrónico como administrador@paypal.org.com en busca de hacerse pasar por PayPal cuyo correo electrónico en verdad podría ser administrador@paypal.com. Una persona que no conozca los riesgos de phishing podría no comprobar que la dirección del correo que recibe es la correcta, pensar que se trata de PayPal y, por consiguiente, confiar en el link que ha recibido.

De hecho, esto sucedió recientemente con OpenSea. Esta plataforma había lanzado un nuevo Smart Contract y un hacker copió y volvió a enviar el correo electrónico de OpenSea notificando a los usuarios. No obstante, este correo electrónico, que se hacía pasar por OpenSea, enviaba a las personas a una página web de imitación. Allí se les pedía a los usuarios firmar una transacción aparentemente legítima que, supuestamente, migraría sus NFT del contrato anterior al nuevo.

No obstante, esto no sucedió. Al contrario, se activó una función que provocó que se robaran todos los NFTs de una persona en tan solo una transacción. 32 personas fueron afectadas, pero únicamente 17 vieron sus NFT robados. Aun así, los costos del ataque ascendieron a $ 1.7 millones de dólares estadounidenses.

De esta manera, las consecuencias pueden ser variadas, desde el robo de fondos hasta el robo de la identidad. Específicamente, los hackers buscan datos como la información de identificación personal, datos de cuentas bancarias, números de tarjetas de crédito y, en el ecosistema cripto, buscan las contraseñas privadas de nuestras wallets o que entreguemos “voluntariamente” nuestros activos.

Tipos de Phishing

Pueden existir distintas formas de categorizar los ataques de Phishing. Sin embargo, comúnmente se dividen por cómo se realiza el ataque, es decir, a través de cuáles medios. Todos los ataques de este tipo necesitan un elemento: ¡Un disfraz!

A continuación alguno de los tipos de Phishing más conocidos:

  • Correo electrónico: Se trata del disfraz más común para este tipo de estafas. El cuerpo del correo suele solicitar que sea actualizada la información personal, verificar los detalles de una cuenta o cambiar contraseñas haciendo clic en un link que se encuentre en el correo.

La redacción suele estar orientada a promover un sentido de urgencia en el usuario. La idea es que la víctima sienta tal presión en hacer la acción, que no se le ocurra que podría ser un engaño. Según un informe de Symantec, una compañía de software de ciberseguridad, 1 de cada 4.200 correos es un correo de phishing.

  • Sitios web falsos: Esta estrategia consiste en que los hackers crean sitios webs falsos con dominios que se asemejan mucho a los legitimos. De hecho, esto suele suceder con bastante frecuencia con sitios web que se hacen pasar por MetaMask u otras plataformas de criptomonedas. Por ejemplo, en vez de ser https://metamask.io/, el sitio tiene una copia del dominio de metamaisk.io/. Si se fijan con detenimiento, hay un “i” en último link que no corresponde al sitio original.

Entonces, si una persona entra a este sitio web sin fijarse en el detalle de la “i”, podría iniciar sesión en su wallet y, con ello, los hacker obtendrían el acceso a esta.

  • Phishing de voz: Consiste en una persona que llama haciéndose pasar por la compañía de tu telefonía móvil o cualquier otra empresa que resulte conocida con el objetivo de persuadir a la víctima de realizar acciones involuntarias. Por ejemplo, solicitar detalles de la tarjeta de crédito haciéndose pasar por el banco, solicitar fecha de cumpleaños, pasaporte u otro tipo de información delicada. Recordemos que, en general, ninguna empresa debe solicitar este tipo de información.
  • Otros tipos de phishing: esta categoría incluye el phishing de redes sociales, smishing, Spear phishing, el marlvertising, entre otros.

Cada día los criminales encuentran nuevas herramientas para estafar a las personas.

Las criptomonedas están en peligro

En el mercado de las criptomonedas hay una gran variedad de riesgos a los que se enfrentan diariamente los usuarios. De hecho, según una investigación de Chainalysis, los estafadores lograron robar $ 14 mil millones de dólares estadounidenses en criptomonedas durante 2021 y una de las técnicas más populares para lograrlo es el phishing.

Pero, todavía más preocupante, las pérdidas por delitos relacionados con las criptomonedas han visto aumentos significativos año tras año. En particular, las finanzas descentralizadas (DeFi) se han convertido en un foco atractivo para los criminales.

Estafas de Phishing más comunes en el cripto mercado

  1. AirDrop malicioso: En el ecosistema de las criptomonedas es bastante común que se realicen Airdrops, dado que es una de las herramientas de marketing para generar incentivos a que los usuarios utilicen los productos de una plataforma. Y, por supuesto, al tratarse de dinero “gratis”, se ha convertido en un foco para los criminales. Es importante resaltar que los AirDrop no son dinero gratis, en realidad, siempre hay un intercambio de algún tipo.De esta manera, los criminales pueden hacer uso de esta creciente popularidad de los AirDrops para llevar a cabo campañas de Phishing. Por ejemplo, a través de un correo electrónico, un mensaje directo por redes sociales como Discord, donde se les dice que se ha agregado alguna criptomoneda a su wallet por un AirDrop. Todo esto con el objetivo de robarles el acceso a su wallet.
  2. Phishing de la Frase Semilla: Si ha seguido de cerca los artículos introductorios de Bitcoin México, probablemente sepa la relevancia de las frases semillas. Se trata de una clave que le otorga la propiedad a una persona de una cierta cantidad de criptomonedas que se encuentran en la Blockchain. Es decir, se asemeja al nombre de usuario y contraseña de una cuenta bancaria. Entonces, los criminales buscan obtener dicha frase porque, con ella, pueden transferir los activos a otra wallet y no hay nada que la víctima pueda hacer luego de ello.
  3. Sitio web malicioso: Imitan el sitio web de una plataforma de criptomonedas importante como MetaMask o PancakeSwap porque saben que, con ello, los usuarios ingresaran los datos de su wallet o la conectarán a la plataforma y, con ello, podrán robar los fondos.
  4. Ice Phishing: Microsoft fue quien estableció el término y lo define como la estrategia que engaña al usuarios para que firme una transacción que delega la aprobación de los tokens de la víctima al atacante.

¿Cómo protegerte?

  1. La cautela es su mejor aliado. ¡Dude de todo! Especialmente de correos electrónicos, mensajes de texto, mensajes en Discord, Instagram o cualquier otra plataforma.
  2. No haga clic en links que se encuentren en correos electrónicos o mensajes.
  3. Ningún protocolo o plataforma de criptomonedas le solicitará por correo u otra vía sus frase semilla. ¡Ninguna! Tampoco sus claves privadas o información personal.
  4. ¡Sea escéptico!
  5. Si tiene dudas, busque contactar al remitente por otra vía que sea más confiable para asegurarse de la información que ha recibido.
  6. ¡Chequea todo, una y otra vez! Puede, por ejemplo, buscar en Google la dirección de correo electrónico del remitente para verificar si hay algún registro de ataques de phishing con dicha dirección.
  7. Si cree que ha recibido un correo legítimo de una empresa que le resulta familiar, preferiblemente busque otros medios para acceder al requerimiento en lugar de hacer clic en el enlace adjunto al correo.
  8. ¡Chequea el URL! Revise detenidamente el URL en busca de errores ortográficos, caracteres inusuales, si corresponde al URL del sitio al que desea acceder y cualquier otra irregularidad.
  9. ¡Las claves privadas son sagradas! No debe compartirla con absolutamente nadie. Debe mantenerlas lejos de Internet.
  10. No entregue información personal por teléfono cuando no puede verificar quién se encuentra del otro lado.
  11. Utilice la Autenticación de Dos Factores (2FA). Este es un método que ayuda a contrarrestar los ataques de phishing dado que estará agregando una capa adicional de seguridad.

Mantente seguro y resguarda tu información privada y tus cripto activos con estas guías que en Bitcoin México hemos creado para  orientarte.