Criptotoken, creados para estafar más allá del blockchain 

Los especialistas de CPR han identificado fraudes que apuntan que ni siquiera en el mundo impoluto del criptotoken, estamos a salvo.

 

Si usted es de los fieles creyentes de que el blockchain y las criptomonedas son tanto el futuro como la tierra prometida, por favor, siéntese: estás no son buenas noticias. 

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies, ha detectado y revelado cómo los estafadores desconfiguran los smart contracts para crear tokens fraudulentos.

Sí, como lo lee: el mundo criptos también puede ser pirateado desde el ADN de su código. Contra todo pronóstico. 

El pasado mes de octubre, CPR identificó el robo de carteras en OpenSea, el mayor mercado de NFT del mundo. Y en noviembre, los investigadores hicieron público que los ciberdelincuentes habían utilizando campañas de phishing en motores de búsqueda para robar medio millón de dólares en cuestión de días.  

Así, las revisiones de rutina de los softwares de la empresa para comprender los cada vez más frecuentes ataques a wallets de criptomonedas le permitieron a los técnicos establecer que: 

• En 2021 se registró un máximo histórico de delitos relacionados con las criptomonedas. en el que los estafadores robaron US$ 14.000 millones 
• El aumento de los fraudes y las amenazas está relacionado con el  crecimiento tanto del minado como del intercambio de criptoactivos en todo el mundo
• El método que están utilizando para robar dinero a los usuarios y muestra ejemplos de errores de configuración de los smart contracts que dan lugar a estafas económicas

Nubarron criptotoken en el metaverso

Lo más grave de este hallazgo es que el mismo compromete los planes del desarrollo en curso de distintos Metaversos (Facebook, Netflix, Disney) los cuales, en principio, suponen una actividad aún mayor para las criptodivisas que, aunque actualmente están a la baja, están muy lejos de desaparecer. 

Por ejemplo, PayPal está considerando el lanzamiento de su propia criptomoneda y MasterCard ha anunciado que los socios de su red pueden permitir a sus consumidores: 

• Comprar
• Vender 
• Y mantenerlas…
• … utilizando un monedero digital

Además:

• Nike compró una empresa de NFT
• Los clientes de Starbucks ya pueden utilizar la nueva aplicación Bakkt para pagar en las cafeterías de la cadena con bitcoin convertido
• Y, recientemente, la BBC informaba de que un criptotoken llamado SQUID robó US$ 3,38 millones a los criptoinversores en una estafa a gran escala

La investigación indaga en cómo los ciberdelincuentes crean cualquier criptotoken para estafar a los consumidores y ofrece consejos sobre cómo identificar estas estafas.

• Un cripttoken contiene una tasa de compra del 99% que permite robar todo el dinero en la fase de compra.
• Algunos de los tokens no dejan al comprador revender (SQUID Token) de forma que el único autorizado a vender es el propietario.
• Otros tokens implican una comisión de venta del 99%, lo que significa que en la fase de venta le quitarán todo su dinero.
• Y existen otros que no son maliciosos, sino que tienen vulnerabilidades de seguridad en el código fuente del contrato y pierden sus fondos a manos de los ciberdelincuentes que explotan las vulnerabilidades.

Cómo desconfigurar los smart contracts

1. Para crear un criptotoken fraudulento

Los ciberdelincuentes desconfiguran los llamados contratos inteligentes, programas almacenados en blockchain que se ejecutan cuando se cumplen unas condiciones predeterminadas. Check Point Research describe los pasos que siguen los atacantes para aprovecharse de este tipo de contratos.

2. Manipulan las funciones

Con la transferencia de dinero, impidiendo vender, o aumentar la cantidad de la cuota. 

La mayoría de las manipulaciones se producen cuando se transfiere el dinero.

3. Crean un hype a través de las redes sociales

Abrir canales Twitter/Discord/Telegram, sin revelar su identidad o utilizando la imagen falsa de otras personas, y empezarán a dar bombo al proyecto para que el público empiece a comprar.

4. “Retirada del dinero | criptotoken”

Una vez alcanzada la cantidad de dinero que quieren, retirarán de todo el dinero del contrato, y borrarán todos los canales de las redes sociales.

5. Omiten los timelocks

Por lo que no se verá que esos tokens bloqueen una gran cantidad de dinero en la reserva de contratos, ni tampoco que añadan timelocks. 

Los timelocks se utilizan sobre todo para retrasar las acciones administrativas y generalmente se consideran un fuerte indicador de que un proyecto es legítimo.

Consejos para evitar los fraudes con criptomonedas

1. Criptotoken en más de un monedero

Tener un monedero es el primer paso para poder utilizar bitcoins y, por extensión, cualquier otra criptodivisa. 

Estos monederos son la herramienta con la que los usuarios almacenan y gestionan sus bitcoins. 

Una de las claves para mantenerlos seguros es tener un mínimo de dos criptocarteras diferentes. 

El objetivo es poder utilizar una de ellas para almacenar compras y otras para comerciar e intercambiar. 

De esta manera, mantendrán sus activos más protegidos porque las billeteras también almacenan las contraseñas de cada usuario. 

Estas son una parte fundamental a la hora de comerciar con criptodivisas y tienen una clave pública, que es la que hace posible que otros usuarios las envíen a su cartera. 

Si un ciberdelincuente consigue acceder a ellas a través de cualquier ataque, tendrá acceso al monedero con el que estás comerciando, pero si tienes otro monedero en el que se almacenan las ya adquiridas, los bitcoins se mantendrán a salvo.

2. Ignorar los anuncios

Muchas veces, los usuarios buscan plataformas de monederos bitcoin a través de Google. 

Y es en ese momento cuando pueden cometer uno de los mayores errores: hacer clic en uno de los anuncios de Google, que aparecen en primer lugar. 

Los ciberdelincuentes suelen estar detrás de estos enlaces, creando sitios web maliciosos a través de los cuales robar credenciales o contraseñas.

Por lo tanto, es más seguro ir a las páginas web que no son un Anuncio de Google.

3. Transacciones de prueba 

Hay veces que muchas personas pecan de precavidas y los ciberdelincuentes se aprovechan de ello. 

Para evitar caer en una de sus trampas, una de las medidas que se pueden poner en práctica es que antes de enviar grandes cantidades de cripto, enviar primero una transacción “de prueba” con un importe mínimo. 

De esta manera, en caso de que la estemos enviando a un monedero falso, será más fácil detectar el engaño y perderemos mucho menos.

4. Doble atención para reforzar la seguridad

Una de las mejores medidas a implementar para protegerse de cualquier tipo de ciberataque es activar la autenticación de doble factor en las plataformas en las que se tiene una cuenta. 

De esta forma, cuando cualquier atacante intente iniciar sesión en alguna de ellas de forma irregular, recibirá un mensaje para comprobar su autenticidad, impidiendo que un ciberdelincuente pueda acceder. 

Con la autenticación de dos factores, en lugar de requerir sólo una contraseña para la autenticación, el inicio de sesión en una cuenta requerirá que el usuario envíe una segunda clave, haciéndola más segura.