Top 5: Criptodelitos y estafadores que se deben evitar este año

Ha llegado un nuevo año y se están gestando nuevos hacks y estafas en el mundo de las criptomonedas. Además del clásico ransomware, los correos electrónicos de phishing y las plataformas de inversión falsas, otras tácticas de robo se están volviendo bastante populares entre los ciberdelincuentes. Estos ataques han evolucionado junto con la maduración del espacio criptográfico, enfatizando la necesidad apremiante de mejorar las medidas de seguridad.

Según estimaciones de análisis en cadena, Se recibieron más de 24 mil millones de dólares a través de direcciones ilícitas en 2023. Se trata de una disminución importante en comparación con 2022 y años anteriores, pero de ninguna manera es una cifra insignificante. En su informe se incluyen fraudes, estafas, mercados de la red oscura, malware, entidades sancionadas y otros fondos robados en monedas estables, Bitcoin, Ether y más monedas alternativas.

El mensaje parece claro: tenemos que cuidar bien nuestras monedas. Para ello, además de aplicar algunas medidas básicas, también necesitamos conocer las posibles amenazas. Descubramos qué están haciendo los estafadores últimamente.

aplastando

Quizás ya hayas recibido un mensaje de texto (SMS) de este estilo: “Coinbase te informa de una transacción aprobada por $570 en BTC el 30/01/24. Si no reconoce esta operación, cancele aquí [Enlace]”. O tal vez un pariente varado o un amigo podría pedirle algunas monedas después de perder su billetera en el extranjero, o un intercambio de cifrado dudoso le muestra una oferta atractiva para unirse a su sitio web.

El patrón de “smishing” es similar en todos los casos: recibes un SMS, a menudo de un número desconocido, que te pide información privada o te insta a hacer clic en un enlace después de utilizar diversas excusas e identidades falsas. IBM define es de esta manera:

“Smishing es un ataque de ingeniería social que utiliza mensajes de texto móviles falsos para engañar a las personas para que descarguen malware, compartan información confidencial o envíen dinero a ciberdelincuentes. El término "smishing" es una combinación de "SMS" (o "servicio de mensajes cortos", la tecnología detrás de los mensajes de texto) y "phishing".

Coinbase experimentado esto en sus habitaciones, de hecho. Algunos "smishers" engañaron a sus empleados a través de SMS para que compartieran credenciales institucionales. Afortunadamente, el incidente se detectó rápidamente y el estafador fue bloqueado. Para evitar ser una víctima, verifique siempre el número de teléfono que envía el mensaje de texto (aunque incluso este número puede ser falso) y no haga clic en enlaces enviados por SMS a menos que conozca y confíe plenamente en la fuente y reconozca el dominio al que conduce el enlace. a.

Estafas románticas (carnicería de cerdos)

Este esquema no es nuevo, pero está creciendo exponencialmente. Se informaron pérdidas de al menos mil millones de dólares en EE. UU. para 2022, mientras que la empresa de ciberseguridad Verafin estimado que se robaron 3.800 millones de dólares con estas estafas en 2023, lo que supone hasta 1 millón de dólares por víctima. Los estafadores buscan especialmente a personas sin conocimientos tecnológicos personas mayores en todo el mundo, pero le puede pasar a cualquiera, en todas partes. Redes criminales enteras están trabajando en ello y los expertos están prediciendo una mayor gravedad para 2024.

Las redes sociales, los chats, las aplicaciones y los foros nos han permitido conectarnos con todo tipo de personas en todo el mundo, y no siempre son de confianza. Los estafadores podrían empezar a fingir que les gustan las mismas cosas que a sus víctimas, visitando los mismos sitios web o eventos en línea para iniciar una amistad falsa. En otros casos, escriben directamente a través de Facebook, Discord, Twitter (X) o aplicaciones de citas como Tinder. Son pacientes, ya que pueden hablar diariamente con sus víctimas durante meses.

Justo cuando tienen cierto nivel de confianza, o incluso después de declarar su amor eterno a la víctima, empiezan a pedir dinero o favores costosos. Pueden incluir historias de sollozos sobre una crisis financiera, tarifas de envío, niños en casa, una emergencia médica o lo que sea. Los pagos suelen realizarse en criptomonedas.

Por otro lado, en lugar de pedir directamente dinero o cosas, pueden recomendar una plataforma de inversión en criptomonedas, hablando de cómo obtuvieron jugosas ganancias con ella. Por supuesto, todo esto es falso y son propietarios o parte del personal de dicho plan fraudulento. Como dice la Comisión Federal de Comercio de EE.UU. aconsejado : "Si un interés amoroso en línea te pide dinero [o que inviertas dinero], eso es una estafa".

Códigos QR falsos / Quishing

Hoy en día, es bastante común encontrar códigos de respuesta rápida (QR) en todas partes. Son simplemente pequeños cuadrados con un patrón monocromático en su interior, fáciles de escanear con cualquier teléfono inteligente para descubrir una amplia gama de elementos digitales: menús de restaurantes, sistemas de pago, sitios web, correos electrónicos, instaladores de aplicaciones, direcciones criptográficas y... malware. O sitios fraudulentos. O no la dirección criptográfica a la que pretendías enviar fondos.

Como dice el equipo de ciberseguridad de Aura explicado , Los códigos QR no siempre son seguros de escanear. Es bastante fácil para cualquier persona, en cualquier lugar, crear su propia imagen QR con un enlace o datos personalizados y compartirla rápidamente de forma digital (a través de redes sociales, chats, correo, sitios web fraudulentos, etc.) o físicamente (imprimiéndola). En este último caso, incluso es común pegar un código QR fraudulento sobre uno legítimo —por ejemplo, en los estacionamientos.

Este tipo de estafa suele denominarse “Quishing”, por la fusión entre QR y phishing. Puede afectar a todo tipo de usuarios de QR, incluidos los que tienen una billetera criptográfica. Podrían encontrar una oferta atractiva o un lanzamiento aéreo a través de las redes sociales, escanear un código QR y ser enviados a un sitio web malicioso que les solicite sus claves privadas o instale malware.

Generadores de QR fraudulentos

Otra forma de estafar a los usuarios de criptomonedas utilizando códigos QR es mediante la creación de una plataforma generadora de QR fraudulenta. En esta vena, ZenGo descubrió que “4 de los primeros 5 resultados presentados al consultar Google [Bitcoin QR Generator] conducían a sitios fraudulentos” en 2019. En estas plataformas, cuando el usuario intentaba generar un código QR para su dirección BTC, el sistema en su lugar, genera automáticamente un código para la dirección BTC del estafador.

Parece que ya no es así, como lo hemos comprobado nosotros mismos. Sin embargo, este tipo de estafa no ha terminado, sino que aparentemente se ha trasladado a monedas privadas como Monero (XMR), como informes recientes señaló. Por eso siempre es importante verificar visualmente cada dirección criptográfica y URL antes de enviar fondos o escribir credenciales.

Amenazas de IA

Probablemente estemos en el auge de la Inteligencia Artificial (IA) en todas las industrias. Y eso también incluye al sector criminal. Las herramientas de IA están ganando en sofisticación, disponibilidad y facilidad de uso, algo que los ciberdelincuentes debían notar. Hoy en día es posible clonar voces , copiar caras exactas en vídeo (deepfakes) y generar contenido escrito bastante convincente , gracias a un sinfín de herramientas gratuitas en línea.

Por lo tanto, un escenario en el que un ser querido te llama pidiendo ayuda económica urgente y reconoces su voz (aunque no sea él), podría suceder. Varios expertos ya aconsejan crear una contraseña familiar para evitar este tipo de estafas. Los vídeos de IA pueden ser más difíciles de detectar, ya que los ciberdelincuentes pueden modificar cualquier vídeo original para que sus participantes parezcan otra persona (como una celebridad) y/o hablar de algo completamente distinto, como una plataforma de inversión en criptomonedas "increíble".

Eso es lo que le pasó a Ottawa News en enero de 2024. ellos publicaron una historia de una pareja de ancianos que sufrió una estafa criptográfica común y, dos semanas después, apareció un video falso de ellos en las redes sociales, basado completamente en la historia original. Sin embargo, en la versión fraudulenta, recomendaban el uso de una plataforma de criptoinversión dudosa.

¿Cómo saber entonces qué es real? En el caso de los vídeos deepfakes, Es aconsejable para comprobar las expresiones faciales, el parpadeo, los movimientos de los labios y los ángulos de luz. Si alguno de estos rasgos parece extraño en algún sentido, probablemente sea un deepfake. Además, el sentido común podría ayudar mucho: ¿este famoso o este portal de noticias realmente recomienda un plan para hacerse rico rápidamente? Probablemente no. Si suena demasiado bueno para ser verdad, probablemente no lo sea.

Bots comerciales falsos

En otras ocasiones, los estafadores ni siquiera necesitan utilizar tecnología de inteligencia artificial real, sino que simplemente fingen que la están usando. Numerosos sitios web de criptoinversión afirman que utilizan la ayuda de bots, algoritmos de comercio automatizados e inteligencia artificial, en general, para invertir o comerciar con los fondos proporcionados por sus clientes, prometiendo retornos increíblemente enormes.

Todo esto es falso, por supuesto. Comúnmente crean paneles de control falsos para que las víctimas verifiquen el “crecimiento” de su inversión, cuando en realidad tomaron todo desde el principio. Sólo cuando el usuario intenta retirar sus supuestas ganancias se da cuenta de que no hay fondos allí, ni criptográficos ni de otro tipo. La Comisión de Comercio de Futuros de Materias Primas de EE. UU. (CFTC) advirtió sobre esto :

“Los estafadores están explotando el interés público en la inteligencia artificial (IA) para promocionar algoritmos comerciales automatizados, estrategias de señales comerciales y esquemas de comercio de criptoactivos que prometen retornos garantizados o excesivamente altos. No les creas a los estafadores. La tecnología de inteligencia artificial no puede predecir el futuro ni los cambios repentinos del mercado”.

Trucos de discordia

Discord es una plataforma de comunicación útil, utilizada por millones de personas en todo el mundo. Eso también incluye a la mayor parte del mundo de las criptomonedas: es extraño que un proyecto, moneda o marca de criptomonedas no tenga su propio servidor Discord para compartir con su comunidad. Un hecho ampliamente conocido por los ciberdelincuentes, que felizmente se mezclan dentro de esa comunidad, esperando la oportunidad de estafar a alguien.

Esto podría no ser tan diferente del phishing común, pero el principal problema aquí es que los piratas informáticos apuntan a servidores criptográficos en Discord y de alguna manera arrebatan las cuentas de los administradores para publicar anuncios falsos y enlaces maliciosos. Al confiar en los líderes y moderadores, los usuarios harían clic en esos enlaces y potencialmente perderían sus fondos criptográficos y tokens no fungibles (NFT).

Numerosos proyectos criptográficos han sufrido este ataque, incluidas marcas populares de NFT como Bored Ape Yacht Club (BAYC), Mars Cats Voyage, Known Origin y Homeless Friends. Otros servidores criptográficos como Finanzas del orbitador ,metaclave , arbitraje , Red Sei , Pólemos , Valheim , Red Sui , e incluso obyte También he pasado brevemente por este truco, con resultados diferentes.

Es importante recordar que, a diferencia de las criptomonedas, Discord y otras plataformas de chat no fueron diseñadas para la seguridad desde el principio. Recuerde siempre consultar los anuncios primero en otras fuentes (especialmente sitios web/blogs oficiales) antes de enviar fondos o escribir credenciales en sitios web externos.

¡Aplica medidas de seguridad!

Ahora que conoce algunas amenazas potenciales, seguramente podrá aplicar algunas medidas para proteger sus fondos criptográficos y sus datos personales.

• Mantenga sus dispositivos y software antivirus actualizados. También puede instalar herramientas de seguridad adicionales, como una extensión del navegador para seguridad web3 (por supuesto, sea escéptico ante cualquier cosa que prometa “seguridad”). Pueden ayudarle a identificar y bloquear sitios web fraudulentos o de phishing.

  
  

• Nunca hagas clic en enlaces de origen cuestionable, ya sea que lleguen por SMS, correo electrónico o redes sociales. Si no conoce al remitente (número de teléfono, correo electrónico o URL), no los abra.

  
  

• No confíes ciegamente cuando te pidan dinero o te den recomendaciones de inversión , especialmente en criptomonedas. Tenga cuidado con la manipulación emocional y mantenga un nivel saludable de escepticismo.

  
  

• Siempre verifique sus direcciones criptográficas y códigos QR, o reemplácelos con monedas de texto, nombres de usuario o correos electrónicos en obyte . Esta función está disponible a través de la billetera (pestañas Enviar y Recibir).

  
  

• Asegúrese de activar todas las funciones de seguridad disponibles en las redes sociales (como 2FA) y en su billetera criptográfica personal. En Obyte, es posible eliminar tus palabras de respaldo (después de guardarlas en otro lugar), Requiere una contraseña para enviar fondos y abrir la billetera. y conéctese a través del navegador privado Tor.

Imagen vectorial destacada por Freepik