Robo de criptomonedas: cómo detectar paso a paso una nueva estafa que preocupa a los expertos
Se trata de una modalidad en la cual se desconfiguran los smart contracts de las criptomonedas o tokens. Un paso a paso para detectar esta situación y evitarla.

Es un hecho que durante 2021 los delitos en relación a las criptomonedas crecieron. Según un informe de Chainalysis, consultora especializada en el tema, el año pasado se rompió el récord de criptomonedas robadas con un equivalente a 14 mil millones de dólares

La mayor parte de los engaños o estafas para robar criptomonedas se da a través de técnicas de ingeniería social o phishing. Sin embargo, en el último tiempo se detectaron delitos donde los delincuentes desconfiguran los contratos inteligentes para crear tokens falsos y así quedarse con el dinero de los usuarios.   

Los delincuentes implementan una nueva estafa para robar criptomonedas

Un ejemplo de esto se observa en el informe de Check Point Research (CPR), una división de Inteligencia de Amenazas de Check Point Software Technologies Ltd, donde se detalla cómo es el método que están utilizando los delincuentes para robar dinero a los compradores de criptomonedas

“Los hallazgos se basan en investigaciones anteriores de CPR sobre las criptodivisas. El pasado mes de octubre, CPR identificó el robo de carteras en OpenSea, el mayor mercado de NFT del mundo”, indican desde la empresa proveedora de soluciones de ciberseguridad a nivel mundial. Y agregan: “En noviembre, los investigadores revelaron que los ciberdelincuentes están utilizando campañas de phishing en motores de búsqueda para robar medio millón de dólares en cuestión de días”.

Esenciales de Forbes: Cuánto cuesta minar criptomonedas en la Argentina

Luego de dar ese contexto, pasan a detallar paso a paso como es el nuevo sistema que utilizan los ciberdelincuentes para robar dinero a los compradores de criptomonedas.   

 Cómo desconfigurar los smart contracts  

  1. Para crear tokens fraudulentos: los ciberdelincuentes desconfiguran los llamados contratos inteligentes, programas almacenados en blockchain que se ejecutan cuando se cumplen unas condiciones predeterminadas. Check Point Research describe los pasos que siguen los atacantes para aprovecharse de este tipo de contratos.
  2. Manipulan las funciones: con la transferencia de dinero, impidiendo vender, o aumentar la cantidad de la cuota. La mayoría de las manipulaciones se producen cuando se transfiere el dinero.
  3. Crean un hype a través de las redes sociales: abriendo canales Twitter/Discord/Telegram, sin revelar su identidad o utilizando la imagen falsa de otras personas, y empezarán a dar bombo al proyecto para que el público empiece a comprar.
  4. «Retirada del dinero»: una vez alcanzada la cantidad de dinero que quieren, retirarán de todo el dinero del contrato, y borrarán todos los canales de las redes sociales.
  5. Omiten los timelocks: por lo que no se verá que esos tokens bloqueen una gran cantidad de dinero en la reserva de contratos, ni tampoco que añadan timelocks. Los timelocks se utilizan sobre todo para retrasar las acciones administrativas y generalmente se consideran un fuerte indicador de que un proyecto es legítimo.
     

El auge y furor por las criptomonedas es lo que dispara la cantidad de delitos en relación a ellas. Cada vez son más los miles de millones de dólares que se mueven a diario en ese mercado de activos digitales que aún no cuenta con regulaciones claras en la mayoría de los países. 

Los delincuentes implementan una nueva estafa para robar criptomonedas

Además, cada vez son más las empresas que ingresan al sector de las criptomonedas. Por ejemplo, PayPal está considerando el lanzamiento de su propia criptomoneda, Facebook ha cambiado su nombre por el de Meta, y MasterCard ha anunciado que los socios de su red pueden permitir a sus consumidores comprar, vender y mantenerlas utilizando un monedero digital.

Por otro lado, Disney quiere construir un metaverso, Nike compró una empresa de NFT, los clientes de Starbucks ya pueden utilizar la nueva aplicación Bakkt para pagar en las cafeterías de la cadena con bitcoin convertido. Mientras tanto, Microsoft está construyendo su metaverso, Visa ha confirmado que está llevando a cabo un piloto con Crypto.com para aceptar criptodivisas para liquidar transacciones en su red de pagos. Adidas se unió al metaverso a través de NFT y los fondos están fluyendo hacia este formato, por lo que no es de extrañar que los atacantes tengan como objetivo esta nueva forma de pago.

Ciberseguridad

En ese sentido, la investigación de Check Point Research indaga en cómo los ciberdelincuentes crearon tokens para estafar a los consumidores y ofrece consejos sobre cómo identificar estas estafas. 

“En nuestra última publicación, mostramos cómo funciona el fraude de los smart contracts reales, y exponemos el fraude real de los tokens en el mercado: a) ocultando las funciones del 100% de la tarifa y luego b) ocultando las funciones de la backdoor. Esta pubicación tiene como objetivo alertar a la comunidad de criptomonedas de que los estafadores están, efectivamente, creando tokens fraudulentos para robar fondos. Para evitar estas estafas, recomiendo a sus usuarios que diversifiquen sus carteras, ignoren los anuncios y prueben sus transacciones”,destaca Oded Vanunu, jefe de investigación de vulnerabilidades de productos en Check Point Software.



Consejos para evitar los fraudes con criptomonedas

Diversificar los monederos: tener un monedero es el primer paso para poder utilizar bitcoins y, por extensión, cualquier otra criptodivisa. Estos monederos son la herramienta con la que los usuarios almacenan y gestionan sus bitcoins. Una de las claves para mantenerlos seguros es tener un mínimo de dos criptocarteras diferentes. El objetivo es poder utilizar una de ellas para almacenar compras y otras para comerciar e intercambiar. De esta manera, mantendrán sus activos más protegidos porque las billeteras también almacenan las contraseñas de cada usuario. Estas son una parte fundamental a la hora de comerciar con criptodivisas y tienen una clave pública, que es la que hace posible que otros usuarios las envíen a su cartera. Si un ciberdelincuente consigue acceder a ellas a través de cualquier ataque, tendrá acceso al monedero con el que estás comerciando, pero si tienes otro monedero en el que se almacenan las ya adquiridas, los bitcoins se mantendrán a salvo.

Ignorar los anuncios: muchas veces, los usuarios buscan plataformas de monederos bitcoin a través de Google. Y es en ese momento cuando pueden cometer uno de los mayores errores: hacer clic en uno de los anuncios de Google, que aparecen en primer lugar. Los ciberdelincuentes suelen estar detrás de estos enlaces, creando sitios web maliciosos a través de los cuales robar credenciales o contraseñas. Por lo tanto, es más seguro ir a las páginas web que no son un Anuncio de Google.

Transacciones de prueba: hay veces que muchas personas pecan de precavidas y los ciberdelincuentes se aprovechan de ello. Para evitar caer en una de sus trampas, una de las medidas que se pueden poner en práctica es que antes de enviar grandes cantidades de cripto, enviar primero una transacción «de prueba» con un importe mínimo. De esta manera, en caso de que la estemos enviando a un monedero falso, será más fácil detectar el engaño y perderemos mucho menos.

Doble atención para reforzar la seguridad: una de las mejores medidas a implementar para protegerse de cualquier tipo de ciberataque es activar la autenticación de doble factor en las plataformas en las que se tiene una cuenta. De esta forma, cuando cualquier atacante intente iniciar sesión en alguna de ellas de forma irregular, recibirá un mensaje para comprobar su autenticidad, impidiendo que un ciberdelincuente pueda acceder. Con la autenticación de dos factores, en lugar de requerir sólo una contraseña para la autenticación, el inicio de sesión en una cuenta requerirá que el usuario envíe una segunda clave, haciéndola más segura.
 

Qué es un token y un smart contract 
 

Un token es una moneda similar a bitcoin y Ethereum, pero algunos de los proyectos se crean para innovar y construir nuevas tecnologías, mientras que otros están ahí con fines fraudulentos. La investigación indaga en cómo los ciberdelincuentes han creado tokens para estafar a los consumidores y ofrece consejos sobre cómo identificar estas estafas”, explican desde Check Point Research.

  • Algunos tokens contienen una tasa de compra del 99% que permite robar todo el dinero en la fase de compra.
  • Algunos de los tokens no dejan al comprador revender (SQUID Token) de forma que el único autorizado a vender es el propietario.
  • Otros tokens implican una comisión de venta del 99%, lo que significa que en la fase de venta le quitarán todo su dinero.
  • Y existen otros que no son maliciosos, sino que tienen vulnerabilidades de seguridad en el código fuente del contrato y pierden sus fondos a manos de los ciberdelincuentes que explotan las vulnerabilidades.

Por otro lado, desde bit2me explican que “un smart contract es un tipo especial de instrucciones que es almacenada en la blockchain”. “Además tiene la capacidad de autoejecutar acciones de acuerdo a una serie de parámetros ya programados. Todo esto de forma inmutable, transparente y completamente segura”, finalizan.