¿Cómo detectar una estafa en criptomonedas? (Y no caer en ella)
Ponencia de Alberto Muñoz perteneciente al módulo Concienciación CIBER de C1b3rWall Academy 22/23
Tiempo de lectura estimado: 17 minutos
La industria del criptofraude
En 2019, la mayoría de los movimientos de criptomonedas realizados por entidades ilícitas estaban relacionados con estafas. Esto representa el 2% (unos 20.000 millones) del movimiento total de criptomonedas de ese año. Lo primero es aclarar que las criptomonedas no son una estafa, pero hay estafadores que se aprovechan del término.
Tipos de estafas con criptomonedas
Todas las estafas relacionadas con criptos suelen compartir algunas características:
- Prometen altísimas rentabilidades de forma constante y segura.
- Tiene un sistema de referidos/afiliados muy agresivo.
- Utiliza un lenguaje hueco pero lleno de términos sofisticados.
- El whitepaper del proyecto contiene información vaga, confusa o copiada de otro proyecto. Los miembros del equipo no existen (bancos de imágenes).
- La criptomoneda solo se negocia en un exchange apenas conocido
Todo esto se resume en ”si algo parece demasiado bueno para ser verdad, entonces seguramente no sea verdad”. Es decir, cualquier producto que ofrezca alta rentabilidad sin riesgo asociado.
Phishing. Se trata de un método habitualmente utilizado por los ciberdelincuentes, no solo en el mundo de las criptomonedas, sino en cualquier sitio donde haya dinero (bancos, brokers, etc.). El cibercriminal recrea completamente un sitio web legítimo e intentan atraer a sus víctimas haciéndolas creer que es una web auténtica, comprando incluso publicidad.
Otro método consiste en el envío de emails falsos de la propia empresa enlazando a una URL falsa. Cuando el usuario se conecta a la web falsa toda la información se envía al ciberdelincuente. Incluso aquellas cuentas que tengan seguridad adicional con autenticación de dos factores son vulnerables, ya que el código permanece activo durante al menos 30 segundos.
Consejos para evitar el phishing
- Verificar la web real y guardarla en favoritos y siempre acceder desde ahí
- No usar enlaces recibidos por email o encontrados en el buscador
- Comprobar la URL antes de hacer login
- En caso de duda, comprobar quién es el dueño del dominio haciendo un whois
Anuncios de famosos. La víctima es atraída a la plataforma ficticia a través de un anuncio o email falso en el que simula la web de un medio de comunicación fiable, utilizando la foto de un famoso que ha descubierto el secreto para ganar mucho dinero rápidamente.
Los ciberdelincuentes compran publicidad de forma masiva en Google, Facebook e Instagram asegurándose aparecer antes que otros servicios. Al acceder, la víctima debe registrarse y depositar una cantidad inicial que un supuesto algoritmo o robot gestionará acorde al mercado y sus decisiones, haciendo “ganar mucho dinero” a los usuarios.
De un día para otro las ganancias serán muy grandes, pero simplemente es lo que pone en la pantalla no la realidad. Si el usuario quiere retirar su dinero le pondrán todo tipo de excusas. Algunos nombres a tener en cuenta son Bitcoin Revolution, Bitcoin Profit, Bitcoin Trader, Bitcoin Future, Bitcoin Era, CryptoBoom…
Giveaways. O regalos de criptodivisas, suele utilizarse en Twitter y Telegram con bots que publican mensajes indicando que un famoso o una compañía regalan criptomonedas. Si accedemos, lo primero que nos piden es depositar una pequeña cantidad en bitcoin o ethereum para la verificación. Una vez transferido el importe recibiremos supuestamente dicha cantidad duplicada o multiplicada por 10.
En ocasiones los ciberdelincuentes hackean cuentas verificadas y cambian el nombre de usuario para crear más confianza. También publican reacciones falsas indicando que han conseguido el regalo con éxito y generando muchos likes. Desde el año 2020 los estafadores han dado el salto a YouTube. Hackean cuentas verificadas y en un directo muestran los supuestos regalos. Podemos consultar la dirección de la billetera en la blockchain si tiene entradas y salidas o solo entradas para terminar de desmontar qué es una estafa.
Esquemas Ponzi. O estafas piramidales, todas funcionan igual. Prometen rendimientos increíblemente altos y constantes en el tiempo. En la práctica los nuevos inversores suelen pagar los rendimientos de los antiguos. En el momento que se acaba el flujo de entradas la pirámide colapsa al no poder pagar a los inversores y en ese momento los estafadores desaparecen con todo el dinero.
Para infundir confianza, al principio se paga para que haya pruebas de que funciona y animar a familiares y amigos. Muchos suelen tener un programa de referidos por el cual te pagan más para atraer inversores.
En muchos casos se establece un plazo de bloqueo de los beneficios en el que no es posible retirar el dinero de la plataforma. En muchos casos los inversores suelen ser conscientes de que es una estafa pero aún así se arriesgan a participar por el dinero que consiguen con los referidos.
Pumps and dumps. Se organiza a cientos de usuarios (normalmente en Telegram) para comprar de forma simultánea una criptodivisa a una hora fijada por el líder del grupo. El nombre de la criptomoneda solo se da a conocer a una hora establecida y en algunos casos se puede pagar un extra por tener el nombre 5 o 10 segundos antes.
Los usuarios no saben que el líder y sus compinches han comprado la criptodivisa unos días u horas antes. Cuando se anuncia la criptomoneda a la hora acordada lo del mundo inicia las compras provocando una fuerte subida y su precio. El movimiento es además exacerbado por otros traders y algoritmos automáticos de trading.
El líder del grupo y sus asociados tienen puestas ya las órdenes de venta de las criptos compradas previamente y liquidan sus posiciones vendiéndoselas al resto. Una vez se termina el flujo de compras el precio vuelve generalmente al punto de partida y las víctimas se quedan enganchadas a precios estratosféricos.
SIM Swapping. Es una técnica muy compleja por lo que iba dirigido a personas concretas que los ciberdelincuentes saben que tienen una gran cantidad de criptodivisas. El ciberdelincuente extrae información de la víctima analizando su perfil en redes sociales y otra información disponible en Internet.
Con esta información llama al proveedor de telefonía de la víctima y solicita una nueva tarjeta SIM. Tras pasar la validación del operador, el suplantador solicita que se le envíe la tarjeta a una dirección diferente.
Cuando se activa la nueva tarjeta, la antigua se desactiva sin ninguna notificación. A partir de ahí, el ciberdelincuente restablece las contraseñas e inicia sesión en las cuentas de la víctima aunque tenga validación SMS. Para evitar este tipo de estafas, conviene:
- Indicar a nuestro proveedor de telefonía que solo envíe la tarjeta SIM canciones conocidas, o que obligue a recogerla SIM personalmente en la tienda.
- Usar únicamente autenticación de dos factores mediante una aplicación, no SMS.
- Revisar la información disponible sobre nosotros en la red y eliminar todo aquello que puede resultar comprometedor como fecha de nacimiento o DNI.
ICOs falsas y DeFi Rug Pulls. O exit scams. Los ciberdelincuentes crean un token que promete grandes beneficios y es muy promocionado. Una vez se consigue una determinada cantidad de fondos todo desaparece y los usuarios pierden los fondos.
En el caso de un DeFi rug pull se promete la obtención de una elevada rentabilidad invirtiendo en un token de un proyecto DeFi. Una vez que los ciberdelincuentes logran la cantidad deseada vacía la pool de liquidez dónde lanzaron el token dejando a los compradores sin la posibilidad de venderlo. Esto sucede normalmente bajo el pretexto de un fallo técnico que debe ser reparado, lo que les permite ganar tiempo. Para evitarlas:
- Siempre revisar el whitepaper del proyecto.
- Analizar si el equipo realmente existe y se usan fotos tomadas de bancos de imágenes.
- En el caso de proyectos DeFi, verificar el fondo de liquidez del que disponen y si hay fluctuaciones repentinas en el precio del token.
Bonus track: Deep Fake. Recientemente la compañía BlackSwan fue víctima de una estafa en la que les robaron 30000 $ en tokens. La cantidad no fue elevada pero el método si fue realmente sofisticado.
Para hacerlo usurparon la identidad de Andre Cronje, creador de Yearn Finance, durante una videoconferencia en Zoom. En ella el falso Andre les ofreció intercambiar el nuevo token de Yearn Finance en Fantom (YFM) por el equivalente en el token SWAN por un importe de 50000 $.
Como no se fiaban, le pidieron una copia de su pasaporte, y el falso Andre envió una copia del pasaporte a BlackSwan convenciéndoles para enviar el dinero. Minutos después los tokens eran inmediatamente vendidos en el mercado.
Otras estafas de criptos.
- Esquemas Cloud Mining (generalmente son simples Ponzis)
- Ataques con ransomware (vigilar y mantener la seguridad de la red corporativa y formar a los empleados).
- Fraude con cold wallets (venta de hardware wallets comprometidos o de compañías inexistentes).
- Venta de rigs de minería manipulados o que funcionan mal (comprar siempre directamente al proveedor).
Algunos casos reales
Por volumen a nivel internacional, algunas de las más famosas han sido Plus Token, Bitconnect, BitClub o OneCoin. En España, destacan Arbistar, Kuailian y Mind Capital.
¿Qué hacer si te han estafado?
Si a pesar de todo caes en las redes de los ciberdelincuentes, ¿qué hacer?
- Recopila todas las pruebas posibles (registro de transacciones, correos electrónicos whatsapps, webs, etc.)
- Presenta denuncia ante la Policía Nacional (Brigada de Investigación Tecnológica de la Unidad de Investigación Tecnológica UIT) o la Guardia Civil (Grupo de Delitos Telemáticos - GDT).
- Comunícalo a la Comisión Nacional de Mercado de Valores (canal de whistleblowing): 900 373 362 / comunicaciondeinfracciones@cnmv.es
- Informa a tu banco y exchange de lo sucedido.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Alberto Muñoz Cabanes
Alberto es profesor del Departamento de Economía Aplicada y Estadística de la Universidad Nacional de Educación a Distancia (UNED).
- Contacto: amunoz@cee.uned.es
- Redes sociales: LinkedIn.
¿Cuál es tu reacción?
-
AnnaMuchos inversores pierden dinero con estas estafas de inversión de Bitcoin y forex que hacen que la mayoría de los inversores potenciales renuncien a la idea de invertir en Crypto. Para la recuperación de Bitcoin, desafortunadamente, hay muchas personas que han perdido mucho debido a que son corredores de bitcoin falsos, o de sus billeteras computarizadas donde les roban sus formas criptográficas de dinero. Ya sea que haya perdido su Bitcoin u otro dinero digital debido a una bifurcación en la cadena de bloques, o debido a problemas con cualquier fraude en línea, La noticia alentadora es que existe una compañía de recuperación confiable llamada Lallroyal .org que puede ayudarlo con cualquier estafa o fraude en línea. Una vez me ayudaron a mí ya mi socio cuando casi perdemos nuestra fortuna.