El ecosistema Web3 ha seguido creciendo a un ritmo inescrutable durante los últimos dos años. Algunos estudios sugieren que, para finales del año que viene, este sector de rápida evolución tendrá un valor de 6 billones de dólares, creciendo a una tasa de crecimiento anual compuesta del 44,6% entre 2023 y 2030. Sin embargo, este enorme crecimiento no ha estado exento de problemas, ya que los problemas de seguridad, en particular los ataques de phishing, han aumentado drásticamente en los últimos meses.
En su sentido más básico, un ataque de phishing es un tipo de fraude online que engaña a los usuarios desprevenidos para que revelen sus datos privados confidenciales (tales como contraseñas, números de tarjetas de crédito, etc.) a ciberdelincuentes que se hacen pasar por fuentes fiables. Estos esquemas se pueden facilitar a través de varias vías, incluido el correo electrónico, las redes sociales o los sitios web maliciosos.
En este sentido, un informe publicado por la popular empresa de seguridad blockchain Certik señala que, solo en el segundo trimestre de 2022, los ataques de phishing dentro de la arena Web3 se dispararon 170% en comparación con el trimestre anterior, y la mayoría de los hackers explotan las plataformas de redes sociales de los usuarios para llevar a cabo sus nefastas actividades. Y no solo eso, sino que entre abril y junio de este año, se identificaron un total de 290 campañas de phishing, una cifra sustancialmente superior a los 106 ataques que tuvieron lugar solo unos meses antes.
Por último, el estudio afirma que durante la primera mitad de 2022, varios hacks y exploits robaron más de 2.000 millones de dólares. En perspectiva, esta cifra ya es más que el volumen total de fondos que se perdieron durante todo el 2021. Los investigadores también creen que este número seguirá aumentando a corto y medio plazo.
El phishing sigue siendo la forma más popular de ciberataque
Según la empresa de seguridad cibernética Web3 TRM Labs, los activos de criptomonedas y los tokens no fungibles (NFT) siguen siendo los objetivos más populares de los hackers. Tanto es así que, solo entre junio y julio de este año, el mercado de los NFT sufrió ataques de phishing/estafas por valor de más de 22 millones de dólares. Una de las muchas víctimas de estos ataques fue el actor Seth Green, que perdió un total de cuatro NFT (entre ellos, el Bored Ape #8398), lo que sugiere que todo el mundo puede ser víctima de estas tácticas.
El phishing sigue siendo el primer vector de ataque para la mayoría de los piratas informáticos porque está diseñado para manipular psicológicamente a los usuarios, especialmente a las personas que no están bien informadas sobre las tendencias dominantes de ciberseguridad de la actualidad.
En este momento, la mayoría de las estafas de phishing utilizan tácticas de ingeniería social en las que los hackers envían mensajes a sus posibles víctimas. Por lo general, esto implica informarles sobre el lanzamiento de un token lucrativo, una posible violación de la cuenta, proyectos increíbles que pueden permitirles maximizar su capital en cuestión de días, etc. Además, la gran mayoría de los mensajes requieren que los usuarios actúen dentro de un periodo de tiempo específico, lo que aumenta el factor FOMO (“miedo a perderse algo”, por sus siglas en inglés) en la mente de las víctimas.
Tipos de estafas de phishing en el mercado actual
Airdrops (que parecen demasiado buenos para ser verdad)
En esencia, los airdrops son herramientas promocionales que muchas empresas implementan para que la gente utilice sus servicios. Debido a que brindan dinero gratis a los signatarios, se han vuelto extremadamente populares entre los fans de las criptomonedas en los últimos años.
Teniendo eso en cuenta, no es de extrañar que los airdrops sean las principales vías para llevar a cabo estratagemas de phishing. Por ejemplo, los hackers pueden enviar mensajes a una persona desprevenida, diciéndole que su cartera ha recibido un activo digital determinado. Una vez que se atrae a la víctima, se le redirige a una plataforma de trading en la que tiene que conectar sus carteras. Sin embargo, tan pronto como lo hace, los piratas informáticos pueden robarle sus fondos.
Fraude social + phishing de clones
Como dijimos anteriormente, el medio más común para llevar a cabo un ataque de phishing es usar direcciones URL y correos electrónicos falsos. Como el ecosistema Web3 es relativamente joven todavía, está lleno de falsificaciones de sitios web fraudulentos pero realistas, copias de cuentas de redes sociales y mucho más. Por lo tanto, es vital que los usuarios no respondan a ningún mensaje no solicitado, por muy tentador o real que pueda parecer.
En este sentido, cabe señalar que, a finales del año pasado, un empleado que trabajaba para la destacada plataforma de trading de criptomonedas bZx abrió un correo de phishing que le costó a su empresa la friolera de 55 millones de dólares.
Clickjacking
También se le conoce como ‘Ice phishing’ y es un esquema elaborado en el que los hackers deben realizar modificaciones en la interfaz de usuario del contrato inteligente de una plataforma, principalmente inyectándole un script malicioso. Como resultado, los usuarios, sin saberlo, envían fondos a la dirección de cartera incorrecta.
Phishing de frases semilla
Como la mayoría de los usuarios de criptomonedas saben, una frase semilla es un conjunto de palabras aleatorias que sirven como una especie de “clave maestra”, que permite a cualquier persona que las posea acceder a los activos de una persona. En los últimos meses, cada vez son más los piratas informáticos que han comenzado a utilizar medios novedosos (como sitios web falsificados, extensiones de navegador falsas, etc.) para robar las claves semilla de los usuarios. Una vez obtenidas, pueden vaciar inmediatamente la cartera de la víctima y robarle sus tenencias.
Aprende a protegerte
Para protegerse de los ataques de phishing, los usuarios no deben responder a correos electrónicos, SMS u otros mensajes de terceros (recibidos a través de Telegram, Whatsapp, etc.) de una fuente desconocida. Además, los usuarios nunca deben proporcionar sus credenciales o información personal en respuesta a estos mensajes, ya que la mayoría de las empresas de cifrado de buena reputación nunca solicitarán a sus clientes dicha información.
Los propietarios de criptomonedas también deberían evitar compartir sus credenciales o datos personales al utilizar una red wifi pública o compartida. Otra buena práctica es evitar tener una falsa sensación de seguridad, porque uno podría estar usando un sistema operativo o smartphone en particular que se ha promocionado como ‘inhackeable’. Independientemente de si utilizas iPhone, Linux, Mac o iOS, el problema no es el dispositivo o el sistema operativo en sí, sino el sitio web en cuestión.
De cara al futuro
Aunque el ecosistema Web3 se vuelva más resistente a los ataques de phishing, los hackers seguirán encontrando formas novedosas de llevar a cabo sus nefastos actos. Por lo tanto, lo mejor para los usuarios de criptomonedas es desconfiar de las diversas tácticas que emplean los piratas informáticos, así como el deber de las empresas de ciberseguridad de educar a las masas para mitigar cualquier problema potencial.
¿Quieres hacer trading como un profesional? Prueba GRATIS la Newsletter Premium 4 en 1 de Benzinga España con acciones, breakouts, criptomonedas y opciones.