Por Federico Vadillo, experto en ciberseguridad de Akamai.
Las estafas de inversiones milagrosas y sorteos de criptomonedas son un problema creciente en la red. Se basan en elementos emocionales como el temor a perder una oportunidad o la expectativa de obtener una importante suma de dinero que pueda transformar su vida. Manipulan a la gente utilizando la ingeniería social evitando que verifiquen la información que les han proporcionado y acaban cayendo en la estafa.
Recientemente nuestros analistas han estado monitorizando varias estafas de criptomonedas (el último que ha llegado a salir en la prensa ha sido el de Juicy Fields). Este tipo de fraudes aprovechan las redes sociales y las campañas de phishing para ganarse la confianza de los entusiastas de las criptomonedas. Es habitual que se hagan pasar por famosos con importantes recursos financieros, como Elon Musk , los cuales tienen muchos seguidores y una presencia conocida dentro de la comunidad cripto.
Distintas características ayudan a que estas estafas parezcan legítimas: desde tener en cuenta la popularidad de la moneda en ese momento, aprovechar nombres y marcas conocidas de manera ilegítima, secuestrar cuentas de YouTube, crear monedas falsas e incluso celebrar reuniones cara a cara.
Aunque el medio de pago varía, el método base de la estafa es el mismo: atraer a la víctima con información falsa a una web que parece legítima. Para al final convencerla de que transfiera criptomonedas a la billetera que controla el estafador.
Estas estafas tienen diferentes niveles de elaboración. La forma más común es a través de redes sociales como Twitter y YouTube. Las cuales permiten llegar a una gran audiencia y así aumentar las posibilidades de éxito de la estafa.
La idea es generar suficiente confianza con la víctima para evitar que intente verificar, por su cuenta, la legitimidad del perfil o la información que el atacante le ha facilitado.
Un ejemplo de esto se puede ver a continuación. Esta captura de pantalla hace que parezca que la persona suplantada (Elon Musk) respalde legítimamente el enlace que está compartiendo el estafador. Una mirada rápida a la cuenta de Twitter bastaría para comprobar que ese mensaje no es real. Pero de nuevo la esperanza de una recompensa millonaria y la volatilidad de la oferta hace que las víctimas no comprueben la información.
Otro forma es mediante el uso de mensajería instantánea como WhatsApp o Telegram. Lo primero que hace el estafador es unirse a grupos de temática cripto. Y bien mediante la publicación de mensajes en el grupo o mediante mensaje directo a los miembros del grupo, intentan convencer a la gente para que invierta en la plataforma que comparten. O les hablan de una oportunidad única para ganar dinero.
Los estafadores aprovechan los conocimientos del sector, como la popularidad de las monedas, los famosos u otras figuras conocidas, y la afiliación con organizaciones específicas para crear campañas de phishing muy realistas.
Estos sitios están diseñados para generar confianza a primera vista, incluso tienen "soporte técnico" de un chatbot en vivo para ayudar a los usuarios a resolver cualquier duda.
Entre que la imitación de las páginas de las campañas de marketing legítimas es casi perfecta, el síndrome FOMO (sensación de estar perdiéndote algo), la presión de la inmediatez y el "respaldo" del famoso, el nivel de detalle para garantizar el éxito de la estafa es indicativo de lo lucrativas que son.
Aunque un experto podría reconocer una estafa de este tipo de inmediato, es muy fácil que el usuario medio pueda caer en la trampa. La estafa en sí está diseñada para generar confianza. Las web requieren la creación de una cuenta de usuario para darle más veracidad a la estafa. La víctima envía criptomonedas con el pretexto de recibir un reembolso inmediato una vez que se completa la fase de autenticación. Luego, el atacante toma su dinero y pasa a la siguiente víctima una vez que esto ha ocurrido
Este tipo de estafa seguirán apareciendo mientras tengan éxito. Hay varios indicativos que nos pueden ayudar a no caer en la trampa:
- Si suena demasiado bueno para ser verdad, es que es falso.
- Si alguien en las redes sociales le promete una recompensa a cambio de criptomonedas, no le envíe nada. Es probable que sea una estafa.
- Verificar las cuentas de redes sociales, si es una cuenta oficial o tiene un nombre parecido a la oficial. Si el mensaje publicado sigue existiendo.
- Existen sorteos legítimos, pero siempre es mejor verificar. Ante la duda comprobar si hay información .
Las víctimas de phishing son estafadas por quienes están dispuestos a aprovechar los acontecimientos actuales , las situaciones personales y las respuestas emocionales.
A pesar de la amplia conciencia pública, estas estafas continúan funcionando. Solo los daños del criptofraude han superado los mil millones de dólares desde 2021, y podemos esperar ver un aumento a medida que las criptomonedas se arraigan más en la sociedad.