Seleccionar página

En el ecosistema de las criptomonedas abundan las historias afortunadas que han surgido a medida que progresa la relación entre los seres humanos y la tecnología basada en las cadenas de bloques; pero también hay múltiples testimonios de situaciones desafortunadas en torno a fondos en bitcoins u otros criptoactivos que ahora están en poder de los hackers. Es por esta razón que en este artículo te mostramos cuatro métodos usados por los ciberdelincuentes y las fórmulas que debes implementar para protegerte.

Harry Denley, el Director de Seguridad de la plataforma MyCrypto publicó una serie de artículos en los que detalla los resultados de su investigación con respecto a las técnicas que utilizan los hackers para engañar y sustraer los fondos en bitcoins o ether de sus víctimas. Acá te hablamos de cuatro de ellos:

Ataque avanzado de phishing

Muchas plataformas del mundo de las criptomonedas, especialmente los productos que necesitan que introduzcas información secreta, te piden que compruebes en la barra de direcciones URL el certificado SSL (Secure Sockets Layer), que es el título digital que autentifica la identidad de un sitio web y cifra la información que se envía al servidor. Pero, de acuerdo con lo señalado por Denley, incluso no debes confiar del todo, aunque compruebes estos elementos, en virtud que ya se han registrado ataques que burlan estas medidas de seguridad con el objetivo de manipular al usuario para que este crea que está en un determinado sitio web, cuando en realidad no lo está. Por ello, la recomendación es que los usuarios estén siempre atentos y opten por mecanismos de seguridad adicionales.

La técnica de phishing lleva a una página web casi idéntica a la original. Imagen por Rawpixel / elements.envato.com.

En 2017, un ataque tipo phishing logró robar más de 15 mil dólares en ETH, antes de ser descubierto por el hacker y pentester Wesley Neelen, quien se dedica a probar el nivel de seguridad de los servicios web, a fin de prevenir ataques maliciosos.

El ataque llegó a través de un correo electrónico de una dirección que, aparentemente, solo estaba suscrita a la Kin Foundation, una Oferta Inicial de Moneda (ICO) que se encontraba en el mercado, en ese momento. En éste, se detallaba que MyEtherWallet (MEW) requería actualizar la información sobre el balance de las carteras con motivo de una bifurcación que ocurriría posteriormente.

A través de un link contenido en el correo, los usuarios eran dirigidos a un sitio web que copiaba exactamente la interfaz de la página oficial de MEW, la única diferencia era una especie de coma debajo de la t, que corresponde a un carácter en latín que fue introducido a través de un truco de Unicode. El sitio incluso implementó HTTPS, que mostraba la página como segura, usando un servicio gratis llamado Let’s Encrypt.

Así se ve una página falsa que pretende robar los datos de incautos. Fuente: Investigación de Wesley Neele.

Fórmulas para evitarlo

Mantente alerta en todo momento y comprueba si tu navegador pasa al modo de pantalla completa. Nunca introduzcas tus credenciales o claves privadas en los sitios web, ni en los que llegaste a través de un enlace.

No ingreses a las páginas web a través de links, sino escribiendo directamente en la barra de dirección. Igualmente, los expertos recomiendan instalar EtherAddressLookup, un complemento para el navegador Chrome, o utilizar MetaMask, que aloja tus llaves privadas y bloquea las direcciones usadas para phishing que estén registradas en su lista de sitios fraudulentos.

Aprende y comparte conocimientos sobre nuevas tácticas de phishing dentro de la comunidad. Si crees que algo parece raro, confía en tu instinto y encuentra una fuente confiable para lo que sea que estés tratando de ejecutar. Usa carteras hardware o implementa la verificación 2FA en sus monederos.

Denley, quien maneja la base de datos de estafas de criptomonedas EtherScamDB, recomienda a los usuarios que se mantengan vigilantes de las advertencias que son publicadas en este sitio web.

Cuidado con las extensiones maliciosas

Durante la conferencia Baltic Honeybadger en Riga, realizada en septiembre pasado, el CEO de Casa Jeremy Welch advirtió a la audiencia que las extensiones del navegador pueden ayudar a los estafadores y hackers a robar sus bitcoins u otras criptomonedas.

Las extensiones pueden reunir una gran cantidad de datos, que pueden ser filtrados, robados y utilizados por los estafadores. Un ejemplo es el historial del navegador, que puede exponer los hábitos en línea de los usuarios, incluidas las visitas al sitio relacionadas con las criptomonedas. De igual manera, Welch hizo la advertencia a los presentes: “asegúrese de no exponer sus direcciones de bitcoin en ningún lugar”.

Una promesa que es «demasiado buena para ser verdad» es usada frecuentemente como carnada por los hackers. Imagen por DC_Studio / elements.envato.com.

Sobre este mismo tema, Harry Denley, informó en su blog, sobre un proyecto que promete devolver el dinero de cada transacción realizada por los usuarios, con la condición de que instalen una extensión del navegador. El producto promete hasta 5% de reembolso. Pero, “un producto que promete hasta un 5% de retorno en todas sus transacciones en criptomonedas, es demasiado bueno para ser verdad”, apunta el experto. Entonces, tras inspeccionar el código, descubrió que el sitio tiene un comportamiento malicioso.

Resulta que cuando los usuarios instalan la extensión del navegador, esta les pide acceso a varios sitios específicos como GitHub, Exmo, Coinbase, HitBTC, LocalBitcoins, entre otros. También, solicita acceso a varias pestañas abiertas y a sus cookies. El objetivo de los hackers, es utilizar luego estos permisos para robar los fondos en bitcoins almacenados en casas de cambios y monederos de criptomonedas. “Para resumirlo en una frase, roba todos tus secretos dependiendo del dominio en el que estés. Por ejemplo, en Binance roba tus datos de acceso, los códigos 2FA, los tokens CSRF, e intenta retirar automáticamente las criptomonedas”, señala Denley.

Pasos para protegerte

No instales software que no puedas leer y que te pida permisos de intrusión. Si algo parece estar mal, probablemente lo esté. Evalúa lo que podría causar que cambies tu experiencia de usuario. Revisa periódicamente las extensiones que tienes en tu navegador, elimina las que ya no utilizas.

Si tienes instaladas extensiones de navegador que si utilizas, busca versiones o alternativas de código abierto. También, desactiva las actualizaciones automáticas de Chrome y asegúrate de auditar el código o encuentra a alguien de confianza que pueda ayudarte a mantener tu seguridad.

Tenga cuidado con sus documentos KYC

Muchas casas de cambio de criptomonedas exigen a sus usuarios la verificación de sus cuentas mediante KYC (Know Your Customer o Conoce a tu Cliente), pero sobre este proceso, Denley envía un alerta a los usuarios: deben ser cuidados con su información.

El experto, informa que investigó una plataforma de criptomonedas, después de que se descubriera que eran falsas las fotos del supuesto equipo líder del sitio web. Por ejemplo, su CMO llamado Rizwan Gray fue representado con una foto de un profesor de la Universidad Fairleigh Dickinson llamado Dr. Jonathan Schiff.

El proceso de autenticación KYC requiere especial cuidado para evitar enviar información sensible a personas maliciosas. Imagen por master1305 / elements.envato.com.

Pero, más allá, lo que arrojó la investigación, es realmente inquietante. “Primero el proyecto se ejecuta en WordPress – que intrínsecamente no es tan malo – pero WordPress no es la cúspide de la seguridad, y es especialmente malo para un proyecto que ejecuta una ICO que requiere documentos KYC. Navegué por el directorio que almacena las subidas de WordPress y encontré que se listaron más de 15.000 documentos KYC. Eran 15.000 documentos listados públicamente. 15.000 documentos disponibles para todos”, explica Denley en su publicación.

Pasos para mantenerse a salvo

Si los documentos que los usuarios suministran para cumplir con el procedimiento KYC, llega a manos de los hackers, estos pueden ser usados para perjudicarte de varias maneras, como por ejemplo, robando tu identidad, robar tus fondos en bitcoins y otras criptomonedas, destruir tu calificación crediticia, destruir tu reputación y causar grandes problemas en tu vida.

Los expertos recomiendan que te detengas un poco y evalúes si realmente valoras el proyecto en el cual vas a dejar tus datos. Pregúntate si crees en su seguridad, en su visión y somete a consideración si crees que debes subir tus documentos de identidad a un servidor al azar dirigido por administradores desconocidos.

Un dato adicional que deja Denley es que si estás subiendo tus documentos exigidos por el procedimiento KYC a un intercambio o ICO en el que confías, asegúrate de sellarlo con el dominio de esa plataforma para que sea más difícil de ser usado maliciosamente si se filtra.

Resguarda tu clave privada

Paul Puey, CEO y cofundador de la billetera móvil Edge, en conversación con CriptoNoticias habló sobre la necesidad de asegurar las claves privadas de manera que solo el usuario pueda tener acceso ellas.

Para Puey, la tecnología blockchain está creando un nuevo paradigma de seguridad digital, pues cree que las criptomonedas y la tecnología blockchain han puesto el control total del dinero digital en manos de individuos y “ese poder es el que trae la responsabilidad de proteger los datos para que solo un usuario pueda acceder a ellos”.

4 métodos hackers robar bitcoin
La clave probada no debe introducirse en ningún sitio web. Imagen por Rawpixel / elements.envato.com.

Pero si bien son los usuarios los que deben tener el control absoluto de sus claves privadas, también los usuarios deben saber que para autenticar una transacción en una cadena de bloques, no se requiere un nombre de usuario, solo hace falta la clave privada.

“Al enviar su éter, no se requiere tener ambas claves, la pública y la privada. Todo lo que necesitas es una clave privada para acceder a una cartera. Esto crea un riesgo adicional, ya que un estafador o un sitio de phishing solo necesita obtener esa única información para arruinar su día, su mes, su año, su vida”, señala Harry Denley en su blog.

Así pues, si un usuario pierde su clave privada ya no habrá nada que hacer, debido a que sus claves privadas no están almacenadas en un servidor central. Si pierde su clave privada, sus fondos quedarán perdidos para siempre, no hay manera de recuperarlos.

Por otro lado, si alguien obtiene acceso a tu clave privada, lo único que podrás hacer será moverte más rápido que los hackers que obtuvieron la clave privada y tratar de proteger los fondos en bitcoins, antes que los transfieran y los pierdas.

Puede sorprenderte la frase que Denley usa: “usar una clave privada para acceder a tus activos, especialmente en un sitio web, es jugar con fuego”.

Taylor Monahan, fundadora y CEO de MyEtherWallet también ha hablado al respecto: “cuando empezamos a construir MyEtherWallet, no me di cuenta de lo peligroso que era animar a la gente a usar sus claves privadas en un sitio web. Pensé que si éramos dignos de confianza y nunca enviábamos las claves privadas a ningún sitio, entonces sería seguro. Eso era miope, estúpido, ignorante, dañino y nunca podremos volver atrás en el tiempo para cambiar las decisiones que tomamos a principios de 2015”.

Monahan asegura que tras darse cuenta de que estaban guiando a los usuarios a adoptar una mala práctica, ahora están reeducando a la comunidad advirtiéndoles que por ninguna razón deben introducir sus claves privadas en ningún sitio web. También, les advierten a sus usuarios que al hacerlo, están propensos a convertirse en víctimas de los hackers, phishers, estafadores y ciberdelincuentes, que pretenden adueñarse de los bitcoins y otras criptomonedas.

Las estadísticas que muestran EtherScamDB, señalan que se han enviado más de 40.000 ETH a direcciones que están marcadas como afiliadas a sitios de estafa o phishing. Esos fondos son solo los que apuntan a individuos que dejaron sus claves en sitios web.

Para protegerte, asegúrate de aplicar lo siguiente:

Cambia tus contraseñas y conviértelas en una fortaleza. Una buena contraseña es algo como esto: 3o*awM#A^9x&r61v. Usa un administrador de contraseñas para generar una con símbolos y caracteres en mayúsculas y minúsculas.

Si no tienes un administrador de contraseñas, instala uno, por ejemplo, 1Password o LastPass. No uses el administrador de contraseñas integrado en tu navegador, ni introduzcas detalles de tarjetas de crédito u otra información en ninguno de ellos. Configúralo correctamente en todos los dispositivos. Protege tu administrador de contraseñas con 2FA a través Google Authenticator.

Cambia todas tus claves, incluso las que tiene en Skype, Twitter, Instagram y demás. Nunca repitas tus claves en diferentes servicios. Colócale autenticación de 2FA a todos los servicios en los que coloques una clave privada.

No guardes copias de seguridad de tu clave privada en tu computadora u otros equipos. Si las cosas no se te pierden con facilidad piensa en opciones como YubiKey, una llave USB de autenticación, resistente a hackers y al phishing que permite el inicio de sesión en un ambiente seguro para acceder a tus fondos en bitcoins y otras criptomonedas. Utiliza una impresora para imprimir tus copias de seguridad de las claves privadas de tus monederos, o copias de seguridad del código de Google Authenticator y otras. Evalúa usar carteras frías para resguardar tus ahorros.