Cómo proteger tus criptos de ataques de phishing

A medida que crece la fascinación por la tecnología blockchain y los activos digitales, también aumenta la amenaza de los ciberataques. Entre estas amenazas, las estafas de phishing se han convertido en un desafío considerable para los nativos cripto.

Se trata de engaños en línea que utilizan métodos para tomar a las personas desprevenidas y ocasionarles la pérdida de activos digitales valiosos. En este artículo trataremos en profundidad el phishing de criptomonedas, revelaremos las tácticas que utilizan los ciberdelincuentes y te mostraremos cómo proteger tus criptoactivos.

Te resumimos lo más importante

  • El phishing es una amenaza común en el espacio cripto. Aprovecha la complejidad de la tecnología blockchain para ejecutar estafas tales como el “phishing de lanza” y el “secuestro de DNS”.

  • En ataques de phishing de lanza la víctima recibe mensajes engañosos personalizados que parecen provenir de fuentes confiables pero que, en realidad, pretenden acceder a sus activos digitales.

  • Los secuestros de DNS son una táctica de engaño en la que los sitios web legítimos son reemplazados por sitios web fraudulentos para engañar a los usuarios y que estos revelen su información de inicio de sesión cripto.

  • Las extensiones de navegador falsas imitan las legítimas para robar la información de inicio de sesión, por lo que se hace aún más importante descargar únicamente de fuentes autorizadas.

  • Mantente al tanto de las últimas informaciones, mantén una actitud escéptica y prioriza las medidas de seguridad digital para protegerte frente a posibles estafas cripto. Esto incluye el uso de contraseñas fuertes y la habilitación de la autenticación de dos factores.

¿Qué es el phishing?

La amenaza de un phishing de criptomonedas no es un inconveniente menor, sino un riesgo serio para tus activos digitales. Los actores malintencionados están mejorando constantemente sus tácticas y aprovechando la naturaleza compleja de la tecnología blockchain y de las criptomonedas en general. Utilizan una variedad de esquemas sofisticados para atacar a particulares y a empresas.

El tipo de ciberataque llamado phishing de lanza consiste en que los estafadores crean mensajes personalizados para engañar a su víctima y que esta acabe revelando datos confidenciales o haga clic en en enlaces maliciosos. Es habitual que intenten que estos mensajes aparenten provenir de fuentes confiables, tales como empresas famosas o personas conocidas para la víctima. Engañan a las víctima y la llevan a comprometer sus activos en línea.

El secuestro de DNS es una táctica maliciosa en la que los hackers toman el control de sitios web válidos y los reemplazan por sitios fraudulentos. Esto puede engañar a personas que no sospechan nada al respecto y que acaban ingresando sus datos de inicio de sesión en el sitio fraudulento, entregando sin saber el acceso a su criptomonedas.

Otro riesgo adicional son las extensiones de navegador fraudulentas. Los actores malintencionados diseñan extensiones que imitan las reales para obtener la información de inicio de sesión de las víctimas. Estas extensiones falsas pueden adquirir las credenciales de inicio de sesión de tu billetera, lo que te puede ocasionar pérdidas financieras. Para reducir esta amenaza, es importante obtener las extensiones solo del sitio web oficial de los desarrolladores o de otras fuentes confiables.

Existen numerosas actividades fraudulentas en el mundo de las criptomonedas: ICO fraudulentas, esquemas Ponzi con criptomonedas y métodos avanzados tales como el cryptojacking, en el que los atacantes utilizan discretamente tu computadora para minar criptos.

Para estar seguros, es esencial mantenerse alerta y seguir las medidas recomendadas, tales como crear contraseñas fuertes e individuales, activar la autenticación de dos factores y tener cuidado con las oportunidades inesperadas que parecen demasiado buenas para ser verdad. La actualización frecuente de tu sistema operativo y de software también puede protegerte ante posibles amenazas de seguridad por parte de estafadores. Entretanto, dedicar tiempo a formarte sobre nuevas amenazas y tácticas también puede ayudarte a protegerte al navegar por el espacio cripto y a hacerlo de forma segura.

¿Cómo se realizan las estafas de phishing que persiguen criptos?

A medida que la tecnología avanza, los estafadores se están volviendo más avanzados y se sirven de varias tácticas para acceder a tus criptos. Examinemos estas estrategias.

Airdrop falso: la ilusión de tokens gratis

Imagina que recibes una pequeña cantidad de USDT de origen misterioso o que te encuentras en tus registros con transacciones hacia direcciones que se parecen increíblemente a las tuyas. Estos son indicadores típicos de una proyecto de airdrop fraudulento. Los estafadores generan direcciones que imitan direcciones auténticas, engañándote para que les envíes tus activos involuntariamente. ¿Cuál es la clave para protegerte? Vuelve a verificar cada carácter en la dirección antes de realizar una transacción.

Firma inducida: trampa mediante engaños

En este escenario, los atacantes crean páginas web que imitan proyectos conocidos o promocionan airdrops atractivos. Cuando vinculas tu billetera al proyecto, los estafadores te invitan a confirmar transacciones que les permiten transferir tus activos a su dirección o direcciones sin tú saberlo.

El fraude de la firma inducida se concreta de muchas formas, desde transferencias sencillas y tácticas de autorización engañosas hasta enfoques más elaborados. Entre las variantes más astutas se encuentra la estafa de phishing "eth_sign", en la que las víctimas son engañadas para que firmen una transacción o mensaje utilizando su clave privada, la cual queda después comprometida. El nombre "eth_sign" hace referencia a la llamada de función de Ethereum, que solicita la firma de un usuario para acceder a los datos. Otra estafa sofisticado de firma se dirige contra los usuarios del estándar EIP-2612. Aquí, los usuarios son engañados para firmar un permiso aparentemente legítimo que autoriza una acción que no parece ser dañina. En cambio, la firma otorga a los atacantes acceso a los tokens de la víctima.

Clonación de sitio web

Los estafadores copian sitios web de servicios de billetera o de exchanges de criptomonedas reales logrando copias casi idénticas para robarse los detalles de inicio de sesión. Cuando los usuarios ingresan sus datos en estos sitios copiados, proporcionan a los atacantes acceso a sus cuentas reales de forma involuntaria. Antes de iniciar sesión, confirma la URL del sitio web y verifica si hay conexiones HTTPS seguras.

Spoofing de correo electrónico

Otra táctica común es el envío de correos electrónicos que fingen ser de entidades de confianza dentro de la comunidad cripto, tales como exchanges o proveedores de billeteras. Estos correos electrónicos pueden incluir enlaces a sitios web copiados o solicitar detalles confidenciales. Ten cuidado con cualquier correo electrónico que solicite claves privadas o información personal.

Suplantación en redes sociales

Es común que las personas maliciosas se hagan pasar por figuras famosas, influencers de las redes sociales o incluso por perfiles legítimos de plataformas populares de criptomonedas. Pueden ofrecer regalos o airdrops falsos a cambio de depósitos pequeños o de detalles personales. Es crucial verificar la legitimidad de los contenidos de redes sociales y evitar la divulgación de tus claves privadas.

Smishing y vishing

El smishing y el vishing son técnicas que los estafadores usan para obtener información personal o para convencer a las personas de tomar medidas que comprometerán su seguridad. Estos métodos incluyen el envío de mensajes de texto o la realización de llamadas telefónicas que pueden obligar a las personas a compartir información confidencial o a visitar sitios web maliciosos. Recuerda que las empresas de renombre nunca solicitarán detalles confidenciales a través de estos canales de comunicación.

Ataques del tipo "hombre en el medio"

En estos ataques los estafadores interrumpen la correspondencia entre el individuo y un servicio autorizado, por lo general, en redes Wi-Fi públicas o poco seguras. Pueden tomar la información que se está enviando, tales como datos de inicio de sesión y códigos confidenciales. Se recomienda usar una VPN para proteger tus conexiones en línea.

Ejemplo de estafa de phishing

Veamos un ejemplo de estafa vía phishing típica. Aquí, el estafador utiliza la app de mensajería Telegram para engañar a un usuario y que este revele su dirección de correo electrónico. Se produce una manipulación mayor a través de Telegram por parte de alguien que se hace pasar por un funcionario de OKX.

Cómo funciona la estafa

El mensaje de phishing inicial La estafa suele empezar en una plataforma P2P en la que la víctima es abordada por un estafador que se presenta como un comprador o vendedor legítimo. El estafador solicita la dirección de correo electrónico del usuario bajo el pretexto de facilitar la transacción. Confiando en su petición, el usuario comparte su correo electrónico.

Phishing scam initial message
Be cautious of unsolicited messages received on platforms such as Telegram

Contacto por correo electrónico y Telegram: poco después de compartir su correo electrónico, el estafador contacta con el usuario y este ahora continúa la conversación por correo electrónico. El estafador sugiere mover la conversación a Telegram, alegando que es más conveniente. Este cambio de un método de comunicación a otro debe ser una importante señal de alerta. En Telegram el estafador se hace pasar por un trabajador de OKX para dar credibilidad a sus afirmaciones fraudulentas.

Signos engañosos de verificación: el perfil del estafador en Telegram puede parecer verificado porque muestra el tick azul. Sin embargo, es importante tener en cuenta que ese tick azul puede ser un emoji utilizado por el estafador para crear una ilusión de legitimidad. Los usuarios deben comprender que un tick azul en Telegram no indica necesariamente una cuenta oficial o verificada. El estafador se hace pasar por un trabajador de OKX usando una foto oficial de OKX en Telegram, el nombre de la compañía o una insignia de verificación falsa.

Comprobante falso de transferencia: el falso trabajador de OKX envía una captura de pantalla al usuario, afirmando que el comprador P2P ya depositó el dinero en moneda local en la OKX Wallet. Estas imágenes suelen ser capturas de pantalla alteradas o recibos de pago fabricados con el objetivo de aumentar la credibilidad y convencer al vendedor de que envíe criptomonedas al comprador.

Phishing scam fake transfer proof
Scammers often use fake documents and doctored screenshots to create the illusion of legitimacy

Solicitud de depósito de cripto: después de presentar el comprobante de pago falso, el igualmente falso trabajador de OKX le pide a la víctima que deposite criptomonedas en la dirección de billetera proporcionada. Creyendo que la transferencia en moneda local ya se realizó, la víctima envía sus criptos solo para, justo después, darse cuenta de que la transferencia en moneda local nunca fue real.

Cómo identificar y prevenir intentos de phishing

Para identificar con éxito los intentos de phishing relacionados con criptos es esencial mantenerse alerta, dudar y contar con buena información. A continuación encontrarás una guía específica sobre cómo identificar los ataques de phishing mencionados anteriormente.

Depósitos o airdrops inesperados

Ten cuidado con los depósitos o airdrops no solicitados en tu billetera de criptomonedas. Puede tratarse de la preparación de un ataque de phishing diseñado para despertar tu interés y para que bajes la guardia.

Si accedes a participar, corres el riesgo de ser redirigido a un sitio web dañino o de que te soliciten revelar tus claves privadas o tus detalles personales a cambio de supuestos activos adicionales. Esta estrategia aprovecha la atracción y el deseo que despierta la idea de recibir dinero o tokens gratis. Sin embargo, los airdrops legítimos de proyectos confiables suelen incluir anuncios formales y establecer pautas explícitas comunes a través de fuentes oficiales.

Solicitudes de firma sospechosas

Es importante evaluar detenidamente cualquier solicitud de firma digital, sobre todo si nos llega de forma inesperada o de un remitente no confiable. Los ataques de phishing pueden engañarte solicitando tu firma para fines aparentemente inofensivos.

Pero pueden permitir, sin que tú lo desees, a los estafadores acceder a tus fondos o a tus billeteras. Confirma el origen de la solicitud y asegúrate de comprender plenamente lo que estás autorizando antes de acceder. Si no estás seguro, rechaza la solicitud y consulta a expertos o en comunidades relacionadas con la criptomoneda en cuestión.

Ofertas demasiado buenas para ser verdad

Para atraer a las personas, los estafadores utilizan técnicas de phishing con promesas tentadoras de grandes premios y de poco o ningún riesgo. Estos esquemas, regalos o premios de lotería podrían incluir la solicitud de una pequeña cantidad de criptomonedas por adelantado o la petición de compartir tus claves privadas.

Las empresas y proyectos de renombre generalmente no funcionan de esta manera. Antes de realizar cualquier acción, es importante investigar a fondo la propuesta, buscar las declaraciones oficiales al respecto y confirmar la información de contacto.

Protección de tus activos: mejores prácticas

Sea cual sea la amenaza, esta lista con las mejores prácticas te podrá ayudar en gran medida a proteger tus activos digitales.

  • Examinar la fuente: verifica la legitimidad de la dirección de correo electrónico, de la URL del sitio web y de la cuenta de mensajería. Presta atención a posibles errores ortográficos menores o al uso de caracteres especiales sutiles usados para imitar fuentes legítimas.

  • Ten cuidado con la urgencia o la presión: los estafadores suelen usar la urgencia para manipular a las víctimas y lograr que estas tomen decisiones apresuradas sin verificar la información, cayendo así en la estafa.

  • Verifica los errores ortográficos y gramaticales: las empresas y proyectos legítimos suelen garantizar que sus comunicaciones tengan lugar sin errores, mientras que las estafas de phishing a menudo contienen errores de este tipo.

  • Uso de marcadores en tu navegador: para evitar la trampa de hacer clic en enlaces maliciosos disfrazados de legítimos, guarda en tus marcadores los sitios confiables. Este paso rápido garantiza que accedas siempre al sitio web correcto.

  • Verifica los enlaces antes de hacer clic: evita hacer clic en los enlaces sin antes pasa el cursor por ellos para comprobar cuál es su destino. Utiliza fuentes confiables y sitios web oficiales para verificar la información en lugar de recurrir a enlaces de correos electrónicos o mensajes no solicitados.

  • Ten cuidado con los indicadores de verificación: ten en cuenta que un tick azul en Telegram puede ser falso y no garantiza la autenticidad del usuario. Podría ser un simple emoji utilizado para engañarte.

  • Vuelve a verificar el comprobante de pago: nunca confíes únicamente en capturas de pantalla ni en imágenes como prueba de un pago. Verifica la transacción a través de tu propia cuenta bancaria o billetera cripto. Verifica siempre que el dinero se haya transferido al método de pago que deseas a través de las apps oficiales y no te bases en ninguna captura de pantalla proporcionada.

  • Utiliza las funciones de seguridad: para mejorar tu protección contra el phishing, usa funciones de seguridad tales como la autenticación de dos factores, billeteras físicas y contraseñas fuertes.

  • Autenticación multifactor (MFA): habilita la MFA en todas las billeteras y herramientas que ofrezcan esta función. Esto agrega una capa adicional de seguridad que garantiza que, aunque tu contraseña esté comprometida, el acceso no autorizado no tenga éxito.

  • Usa una billetera de confianza: tómate la selección de tu billetera como la elección de una caja protectora para tus artículos valiosos. Asegúrate de elegir billeteras con una reputación confiable y con un historial de seguridad. Ten en cuenta que priorizar la comodidad sobre la seguridad no es una decisión inteligente.

  • Almacenamiento en frío: una opción para proteger grandes montos de criptos es usar métodos de almacenamiento en frío como las billeteras físicas. Estas herramientas mantienen las claves privadas offline, protegiéndote de los métodos de piratería en línea.

  • Actualizaciones de software periódicas: es importante mantener actualizado tu software, incluyendo billeteras, herramientas e incluso tu navegador. Los desarrolladores lanzan actualizaciones regularmente para solucionar las vulnerabilidades de seguridad. Al mantener todo actualizado, minimizas el riesgo de que te ataquen aprovechando vulnerabilidades conocidas.

  • Aprendizaje continuo: los ataques de phishing están en constante evolución y los atacantes inventan constantemente nuevas técnicas. Es conveniente informarte sobre las últimas amenazas de seguridad y sobre cómo puedes protegerte de ellas. Para hacerlo, debes seguir fuentes de noticias de seguridad cibernética confiables y unirte a las comunidades de criptomonedas, en las que podrás intercambiar información con otros usuarios.

Conclusiones finales

Conforme continúa avanzando la tecnología blockchain, los actores malintencionados van encontrando nuevas formas de abusar de usuarios inocentes o engañarlos y de obtener acceso a sus activos digitales. Conocer los diferentes tipos de estafas es el primer paso para protegerte. Además, mantener la precaución y el escepticismo, verificar la legitimidad de los mensajes y utilizar herramientas de seguridad, tales como la autenticación multifactor (MFA) son prácticas que pueden ayudarte a disfrutar de los beneficios de las criptos a la vez que te proteges a ti mismo y proteges tus activos.

Recuerda que, en la batalla contra el phishing, el conocimiento no es solo poder, sino también protección. Dedicando tiempo a familiarizarte con las nuevas tácticas de estafa y a investigar nuevos tokens, proyectos y protocolos, estarás en una mejor posición para identificar y evitar nuevos intentos de estafa.

Aviso legal
Este contenido se proporciona solo con fines informativos y puede incluir productos que no estén disponibles en tu región. No tiene la intención de brindar: (i) asesoramiento o recomendaciones de inversión, (ii) ofertas o solicitudes de compra, venta o holding de activos digitales, (iii) asesoramiento financiero, contable, legal o fiscal. Los holdings de activos digitales, incluyendo stablecoins y NFT, implican un alto nivel de riesgo y pueden fluctuar considerablemente. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti según tu situación financiera. Consulta a tu profesional legal, fiscal o de inversiones sobre tus circunstancias específicas. La información que figura en esta publicación (incluyendo datos del mercado e información estadística, si los hubiera) solo tiene fines informativos generales. Si bien se tomaron todas las precauciones necesarias al preparar estos datos y gráficos, no se admite responsabilidad alguna por cualquier error de hecho u omisión aquí expresados. Tanto OKX Web3 Wallet como el mercado de NFT de OKX están sujetos a términos de servicio diferentes en www.okx.com.
© 2024 OKX. Este artículo se puede reproducir o distribuir tanto en su totalidad como parcialmente en fragmentos de 100 palabras o menos, siempre que no sea con fines comerciales. Cualquier reproducción o distribución del artículo en su totalidad debe indicar de forma prominente: “Este artículo es © 2024 OKX y se utiliza con permiso”. Los fragmentos permitidos deben citar el nombre del artículo e incluir la autoría. Por ejemplo: “Nombre del artículo, [nombre del autor si corresponde], © 2024 OKX”. No se permiten trabajos derivados u otros usos de este artículo.
Expandir
Artículos relacionados
Ver más
Ver más