Contenido aportado por la comunidad – Autor: WhoTookMyCrypto.com
El 2017 fue un año remarcable para la industria de las criptomonedas debido al vertiginoso incremento de sus valoraciones, que como resultado condujo a una gran exposición en los principales medios de comunicación. Como no podía ser de otra forma, esta circunstancia les granjeó un enorme interés tanto del público general como de los cibercriminales. Y es que el relativo anonimato ofrecido por las criptomonedas las ha convertido en un instrumento codiciado por estos actores maliciosos, quienes a menudo las emplean para circunvalar los sistemas bancarios tradicionales y evitar la supervisión de los reguladores.
Dado que la gente tiende a pasar más tiempo utilizando smartphones que ordenadores de sobremesa, no resulta sorprendente que los cibercriminales hayan fijado su atención en los primeros. Por ello, el siguiente artículo se centra en los mecanismo utilizados por los estafadores para acceder a los usuarios de criptomonedas a través de sus dispositivos móviles, así como algunas medidas que éstos últimos pueden tomar para protegerse.
Apps falsas de criptomonedas
Apps falsas de casas de cambio de criptomonedas
El ejemplo más conocido de una app falsa de una casa de cambio de criptomonedas es, probablemente, el de Poloniex. Antes del lanzamiento de la app móvil oficial en julio de 2018, podían encontrarse ya varias apps falsas de la casa de cambio Poloniex en Google Play -las cuales habían sido diseñadas intencionalmente para resultar funcionales. Muchos usuarios que descargaron dichas apps fraudulentas vieron como sus credenciales de acceso a Poloniex quedaban comprometidas y sus criptomonedas eran sustraídas. Algunas apps iban un paso más allá, solicitando a los usuarios incluso las credenciales de acceso a sus cuentas de Gmail. Resulta necesario señalar que sólo las cuentas que carecían de autenticación de dos factores (2FA) se verían finalmente comprometidas.
Los siguientes pasos pueden ayudarte a protegerte contra este tipo de estafas:
- Revisa la página web oficial de la casa de cambio o exchange para verificar que realmente ofrezca una app móvil de trading. Si es así, utiliza el enlace proporcionado por la misma web.
- Lee las reseñas y valoraciones. Las apps fraudulentas a menudo presentan numerosas reseñas negativas de gente quejándose de haber sido estafada, así que asegúrate de llevar a cabo comprobaciones antes de hacer la descarga. Asimismo, también deberías mostrarte escéptico ante aquellas apps que presenten comentarios y valoraciones excesivamente positivas. Toda app legítima se ve siempre acompañada de una justa proporción de reseñas negativas.
- Revisa la información relativa al desarrollador de la app. Comprueba si se proporcionan referencias de una compañía, página web o correo electrónico legítimos. A continuación, deberías llevar a cabo una búsqueda online de la información proporcionada para verificar que realmente esté vinculada a la casa de cambio oficial.
- Revisa el número de descargas. Este detalle también deber ser tenido en cuenta porque es improbable que una casa de cambio muy popular presente un número de descargas bajo.
- Activa la autenticación 2FA en tus cuentas. A pesar de no ser 100% segura, la autenticación 2FA es mucho más difícil de circunvalar y puede marcar una gran diferencia en la protección de tus fondos -incluso en el caso de que tus credenciales de acceso se hayan visto afectadas por phishing.
Apps falsas de monederos de criptomonedas
Existen muchos tipos de apps falsas. Entre ellas, aquellas que busca obtener datos personales de los usuarios, como por ejemplo, las contraseñas y claves privadas de sus monederos.
En algunos casos, se trata de apps falsas que proporcionan a los usuarios direcciones públicas que previamente ya habían sido generadas. Los usuarios asumirán que pueden depositar fondos en dichas direcciones de forma segura, sin embargo, al no hacérseles entrega de las claves privadas, no podrán acceder a los fondos que allí depositen.
Monederos falsos de este tipo han sido creados para criptomonedas populares como Ethereum o Neo, y, desafortunadamente, muchos usuarios han perdido sus fondos. Estas son algunas de las precauciones que se pueden tomar para evitar convertirse en una víctima de dichas estafas:
- Las precauciones destacadas en la sección anterior -dedicada a las apps falsas de exchanges- son igualmente válidas en este caso. Sin embargo, una medida adicional que puede tomarse al lidiar con apps de monederos, es asegurarse que direcciones completamente nuevas son generadas cuando dichas apps son abiertas por primera vez, y que uno dispone de sus correspondientes claves privadas o mnemonic seeds (semillas mnemónicas). Las apps legítimas de monederos te permitirán exportar tus claves privadas; pero también es importante asegurarse de que la generación de nuevos pares de claves no está comprometida. Por ello, deberías utilizar un software reputado (preferiblemente, de código abierto).
- Incluso en el caso de que la app te proporcione una clave privada (o semilla), deberías comprobar si las direcciones públicas pueden ser derivadas y accedidas a partir de la misma. Por ejemplo, algunos monederos de Bitcoin permiten a los usuarios importar sus claves privadas o semillas para visualizar las direcciones y acceder a los fondos. Para minimizar el riesgo de que claves y semillas se encuentren comprometidas, lo ideal es llevar a cabo esta operación en un ordenador “air-gapped” (es decir, desconectado de internet).
Apps de cryptojacking
El cryptojacking se ha convertido en una de las prácticas favoritas de los cibercriminales debido a su fácil acceso y bajo coste, así como por el hecho de presentar el potencial de ofrecerles un ingreso recurrente a largo plazo. A pesar de su baja potencia de procesamiento en comparación con los PCs, los dispositivos móviles se están convirtiendo en un objetivo cada vez más habitual del cryptojacking.
Aparte del cryptojacking de navegador web, los cibercriminales están desarrollando también programas que aparentan ser apps funcionales, educativas y juegos completamente legítimos. Muchas de estas apps, sin embargo, han sido diseñadas para ejecutar scripts en segundo plano de forma secreta.
Existen también apps de cryptojacking que se anuncian como aplicaciones mineras legítimas de terceras partes, pero cuyas recompensas acaban siendo entregadas a los desarrolladores en lugar de a los usuarios de las mismas.
Para colmo de males, los criminales se han ido sofisticando cada vez más, lo que los ha llevado a instalar algoritmos de minado ligeros que dificultan enormemente su detección.
El cryptojacking es increíblemente dañino para los dispositivos móviles ya que degrada su rendimiento y acelera su desgaste. Peor aún, puede actuar también como caballo de Troya para otros tipos de malware aún más perniciosos.
Los siguientes pasos pueden resultar útiles para protegerse del cryptojacking:
- Solamente descargar apps de plataformas oficiales como, por ejemplo, Google Play. Las apps pirata no han sido sometidas a análisis previos y es más probable que contengan scripts de cryptojacking.
- Monitorea tu teléfono para identificar agotamientos de batería excesivos o sobrecalentamientos. Una vez detectadas, cancela las apps que provocan estos efectos.
- Mantén tu dispositivo y tus apps actualizadas para que las posibles vulnerabilidades de seguridad queden parcheadas.
- Usa un navegador web que proteja contra el cryptojacking o instala plug-ins reputados, tales como MinerBlock, NoCoin y Adblock.
- Si es posible, instala software antivirus móvil y mantenlo actualizado.
Distribuciones gratuitas (free giveaways) y aplicaciones de criptominado falsas
Se trata de apps que simulan minar criptomonedas, pero que en realidad no hacen nada salvo exhibir publicidad. Incentivan a los usuarios a mantener las apps abiertas al reflejar un incremento en las recompensas con el paso del tiempo. Algunas de estas apps incluso incentivan a los usuarios a dejar valoraciones de 5 estrellas como condición para obtener las citadas recompensas. Por supuesto, ninguna de estas apps mina de forma efectiva, y sus usuarios nunca llegarán a recibir una recompensa real.
Para protegerse frente a esta estafa, es necesario comprender que el minado de la mayoría de criptomonedas requiere de un hardware altamente especializado (los célebres ASICs), lo que significa que no es factible llevar a cabo la operación desde un dispositivo móvil. Y en todo caso, cualquier cantidad que pudiera minarse de esta forma, sería trivial. Por dicho motivo, te recomendamos mantenerte alejado de cualquier app parecida.
Apps portapapeles (clipper apps)
Este tipo de apps altera las direcciones de las criptomonedas que uno copia y las reemplaza por las del atacante. De esta forma, aunque la víctima pueda copiar una dirección de recepción correcta, la que pegará para procesar la transacción será sustituida por una de las del atacante.
A continuación, te presentamos una serie de medidas que puedes tomar al procesar tus transacciones, para evitar ser víctima de este tipo de apps:
- Comprueba siempre dos, o incluso tres veces, la dirección que estás pegando en el campo de envío. Las transacciones blockchain son irreversibles por lo que en todo momento deberás actuar con cautela.
- Es mejor verificar la dirección completa que proporciones en lugar de sólo partes de la misma. Algunas apps son lo suficientemente sofisticadas como para pegar direcciones con un aspecto similar a la legítima.
SIM swapping
En una estafa de SIM swapping, el cibercriminal gana acceso al número de teléfono del usuario. Lo logran empleando técnicas de ingeniería social que permiten engañar a los operadores móviles y conseguir que les entreguen una copia de la tarjeta SIM. La estafa de tipo SIM swapping más célebre fue la que afectó al emprendedor del sector de las criptomonedas Michael Terpin -quien alegó que AT&T había entregado las credenciales de su teléfono móvil de forma negligente a terceros, provocándole la pérdida de tokens valorados en más de 20 millones de dólares estadounidenses.
Una vez los criminales ganan acceso a tu número de teléfono móvil, podrán emplearlo para sortear cualquier autenticación 2FA que dependa del mismo. A partir de ahí, se abrirán camino hacia tus monederos de criptomonedas y cuentas en exchanges.
Otro método que los cibercriminales pueden emplear es el monitoreo de tus comunicaciones vía SMS. Fallos en las redes de comunicaciones pueden permitir a los criminales interceptar tus mensajes -entre los cuales puede encontrarse el número pin del 2FA.
Lo que hace que este tipo de ataques sean particularmente inquietantes es que no requieren un rol activo por parte de las víctimas -como sí ocurre en el caso de las descargas de software falso o en la apertura de enlaces maliciosos.
Para evitar caer en este tipo de estafas, se pueden considerar las siguientes medidas:
- No emplees tu número de teléfono móvil para autenticaciones 2FA de tipo SMS. En su lugar, utiliza apps como el Autenticador de Google o Authy para proteger tus cuentas. Los cibercriminales no podrán ganar acceso a este tipo de apps, ni siquiera en el caso de adueñarse de tu número de teléfono. Como alternativa, también puedes usar autenticaciones 2FA de tipo hardware -como YubiKey o las Titan Security Keys de Google.
- Nunca reveles datos personales -como por ejemplo, tu número de teléfono- en redes sociales. Los cibercriminales pueden aprovechar esa información y utilizarla para suplantar tu identidad en otros sitios.
- Nunca debes anunciar en redes sociales que posees criptomonedas porque eso puede convertirte en un objetivo. Si te encuentras en una posición en la que todo el mundo sabe que las posees, evita revelar información de tipo personal -como por ejemplo, los exchanges o monederos que utilizas.
- Planifica junto con tus proveedores de telefonía móvil la protección de tu cuenta. Esto puede incluir el requerimiento de un pin o contraseña para cualquier cambio que se desee llevar a cabo en la misma. Como alternativa, también se puede solicitar que dichos cambios sólo puedan efectuarse de forma presencial -imposibilitando su ejecución por vía telefónica.
WiFi
Los cibercriminales buscan de forma constante posibles formas de acceso a los dispositivos móviles, especialmente, de todos aquellos usuarios de criptomonedas. Uno de estos potenciales puntos de entrada es el WiFi. Las redes WiFi públicas son inseguras y sus usuarios siempre deberían tomar precauciones antes de conectarse a ellas. De lo contrario, se arriesgan a que cibercriminales ganen acceso a los datos almacenados en sus dispositivos móviles. Dichas precauciones han sido abordadas en el artículo dedicado a las redes WiFi públicas.
Reflexiones finales
Los teléfonos móviles se han convertido en una pieza fundamental de nuestras vidas. De hecho, se encuentran tan entrelazados con nuestra identidad digital, que pueden convertirse en nuestra principal vulnerabilidad. Los cibercriminales lo saben, y por ello siguen buscando mecanismos para explotarlos. Proteger tus dispositivos móviles ya no es una opción, sino que se ha convertido en una necesidad. Actúa siempre con prudencia.