Colega, ¿dónde están mis criptomonedas?
Tiempo de lectura estimado: 12 minutos
Esta conferencia magistral, perteneciente a la sección 3 "Criptomonedas y blanqueo de dinero", pretende que los inscritos en C1b3rWall Academy 2021 conozcan los esquemas utilizados por los cibercriminales en el entorno de las criptomonedas, además de los medios que pueden ser empleados para protegerse.
Quiénes son los adversarios o criminales
Cuando hablamos de cibercrimen con criptomonedas, normalmente a los criminales les interesa atacar al mayor número de víctimas posible. En la siguiente imagen, cuanto más a la izquierda está el perfil, a más víctimas atacan; cuanto más a la derecha, se orientan más a objetivos específicos.
Una campaña de ataque la conforman los siguientes actores:
- Desarrolladores de código.
- Operadores de la campaña.
- Equipos operadores de la infraestructura IT.
- Equipos de desarrollo de acceso.
Principales técnicas de ataque para el robo de criptomonedas
1. Ransomware
Conseguir comprometer el ordenador de la víctima facilita poder pedir un rescate. Antes, este tipo de pagos eran transferencias bancarias, pero eran fácilmente rastreables. Poco a poco, los cibercriminales han visto las criptomonedas como un medio de pago de rescates efectivo. Los operadores de la campaña prometen a cambio entregar la clave privada de cifrado y/o no publicar la información robada en Pastebin. De forma global, estos ataques suponen millones de dólares en criptomonedas.
2. Wallets falsas
Consiste en la generación de apps falsas (categorizadas como app scam) que se colocan en un market. Cuando una persona se registra, expone su información en estas wallets que aparentan ser legítimas, —sobre todo para usuarios poco experimentados— utilizando logos de criptomonedas conocidas, nombres de wallets asimilables a servicios legítimos de criptomonedas, etc.
Ejemplo de wallet falsa
Hay una serie de medidas de defensa contra estas apps maliciosas:
- Consultar listados de aplicaciones de prestigio como los existentes en bitcoin.org.
- Obtener los links de descarga desde el sitio web del desarrollador.
- Comprobar valoración y comentarios en el market correspondiente.
- Tener cuidado con las apps nuevas.
- Consultar a conocidos que tengan más conocimiento sobre wallets.
- Utilizar únicamente wallets que no estén bajo el control de terceros, de modo que el usuario tenga el control total de las claves privadas y nadie más tenga acceso a ellas.
- Empleo de wallets hardware o anotar las palabras de seguridad.
3. Campañas ICO falsas
Las nuevas criptomonedas comienzan con una ICO (Initial Coin Offering), que en muchos casos son una estafa, normalmente las que prometen muy altos beneficios. Este sistema de ICO favorece la creación de campañas que publiciten falsas criptomonedas. La principal defensa ante estas campañas es la propia concienciación de los usuarios, que deben analizar previamente la información disponible relacionada.
4. Hackeo de pools de minado de criptomonedas
Esta es una de las primeras técnicas empleadas. Consiste en el uso de los sistemas de la víctima para que minen criptomonedas que reviertan en los operadores de la campaña, utilizando ciclos del procesador para generar nuevas criptomonedas en favor del atacante sin que la víctima lo sepa. La principal desventaja en términos monetarios es que esta actividad se ve reflejada en el recibo eléctrico.
5. Empleo de crypto stealers
Empleo de desarrolladores propios o de commodity malware. Son especies de malware diseñados específicamente para el robo de información de criptomonedas. Cuando los desarrolladores consiguen maximizar la efectividad de su producto simplificando a la vez el manejo de su herramienta, habilitarán a cualquier operador a ejecutar campañas de robo, por poco conocimiento o habilidad que tengan.
Herramienta de robo presente en el mercado
6. Copia de claves privadas de usuarios
Los usuarios de wallets de criptomonedas disponen de su propia clave criptográfica para acceder y operar sus fondos. Los cibercriminales centran su objetivo preferentemente en sitios web de criptomonedas, puesto que el éxito del ataque les permitirá el robo de miles de credenciales de usuario. En muchas ocasiones, este tipo de ataques requiere de la colaboración de insiders.
7. Campañas de phishing
Consiste en disponer de servidores para remitir miles de correos fraudulentos a usuarios de plataformas de criptomonedas, esperando que un porcentaje de ellos revele sus datos personales y/o financieros. Se trata de uno de los ataques más utilizados por los cibercriminales. Las campañas mejor diseñadas emplean direcciones de correo que parecen reales ante usuarios que no han sido debidamente concienciados de estos riesgos.
8. Robo de correos electrónicos con credenciales
A veces, lo único que necesitan es obtener credenciales del buzón de correo, lo que pueden hacer por repetición de contraseñas. Así, obtienen acceso al correo entrante y saliente, lo que les permite tener información relativa a sus criptomonedas.
9. SIM card swap
Es el intercambio de tarjetas SIM. En este caso, el atacante depende de los operadores de red móvil. Persuaden para que el operador de la víctima reenvíe una tarjeta SIM vinculada al número de teléfono y cuenta actuales de la víctima, robando la carta del buzón en la mayoría de casos. Esto permite al criminal recibir todos los mensajes dirigidos a la víctima y acceder así a servicios bancarios, ya que muchos bancos utilizan los SMS con código como segundo factor de autenticación.
10. Sitios web falsos
Se emplean sitios web que mimetizan el original que pretenden suplantar. Cuando la víctima accede, se le pide que introduzca sus datos y se le invita a autenticarse desde esa plataforma en su wallet de criptomonedas. Como el aspecto está muy cuidado, es difícil darse cuenta de que se trata de una web falsa, sobre todo si se trata de usuarios poco experimentados.
11. Casinos de criptomonedas falsos
Los cibercriminales son conscientes de la creciente popularidad de estos juegos online, por lo que establecen falsos casinos web cuyo único propósito es atraer el mayor número de clientes posible durante un corto periodo de tiempo para que depositen sus criptomonedas, suspendiendo después la actividad del casino.
12. Esquemas ponzi (piramidales)
Suelen utilizar un buen gancho prometiendo beneficios por encima de la media, aprovechándose de la falta de conocimiento de la gente. El estafador aporta a las víctimas un beneficio por cada persona que referencien, pagando más a los que más tiempo llevan siendo víctimas y con el dinero que ingresan los nuevos. Cuando el estafador percibe que el engaño se ha detectado o decrece el número de usuarios, huye con el dinero disponible.
13. Criptomonedas falsas
Desarrollar una nueva criptomoneda requiere alto conocimiento y una fuerte inversión. En este caso, se trata de criptomonedas que no tienen nada detrás, por lo que, para evitar caer en este tipo de estafa, hay que investigar la credibilidad de los miembros que conforman el equipo de desarrollo. Algunas de estas criptomonedas falsas son OneCoin, BitConnect, PlusToken y Bitcoin Savings and Trust.
14. Robo a tiendas online
Cada vez hay más tiendas que aceptan pago en criptomonedas. Los criminales van a por ellas para modificar en la app la cartera a la que va ese dinero.
15. Robos debidos a los desarrolladores
Si un proyecto de criptomonedas carece de medidas de seguridad adecuadas, no se realiza un desarrollo de código seguro y los atacantes pueden aprovechar para explotar los fallos existentes y robar las criptomonedas.
16. Estafas de intercambio P2P
Los criminales emplean cuentas de PayPal comprometidas o tarjetas de crédito robadas mientras se realiza un intercambio P2P.
17. Fraude de cajeros de criptomonedas
Hay pocos cajeros donde se puede operar con bitcoin. Estas estafas consisten en tácticas similares a las usadas en el robo de cajeros automáticos convencionales.
Autor: Mario Guerra Soto
Cursó sus estudios de Ingeniero de Telecomunicación en la Universidad de Cantabria. Es Máster en Seguridad de las Tecnologías de la Información y Comunicación por la Universitat Oberta de Catalunya y Máster en Búsqueda de Evidencias Digitales y Lucha contra el Cibercrimen por la Universidad Autónoma de Madrid. Dispone de varias certificaciones en ciberseguridad. Sirvió entre 2004 y 2020 como oficial en la Armada Española, estando destinado entre septiembre de 2013 y octubre de 2020 en el Grupo de Investigación Digital del Mando Conjunto de Ciberdefensa. Actualmente trabaja como CISO en Disruptive Consulting. Ha colaborado como profesor con diferentes universidades españolas y como ponente en varios congresos de ciberseguridad.
¿Cuál es tu reacción?