Aunque los evangelistas de Web3 llevan mucho tiempo promocionando las características de seguridad nativas de blockchain, el torrente de dinero que fluye hacia la industria la convierte en una perspectiva tentadora para los hackers, los estafadores y los ladrones.

Cuando los malos actores consiguen vulnerar la ciberseguridad de Web3, a menudo se debe a que los usuarios pasan por alto las amenazas más comunes de la codicia humana, el FOMO y la ignorancia, y no a causa de los defectos de la tecnología.

Muchas estafas prometen grandes ganancias, inversiones o ventajas exclusivas; la FTC las denomina oportunidades de ganar dinero y estafas de inversión.

Mucho dinero en las estafas

Según un informe de junio de 2022 de la Comisión Federal de Comercio, desde 2021 se han robado más de mil millones de dólares en criptomonedas. Y el terreno de caza de los hackers es donde la gente se reúne en línea.

"Casi la mitad de las personas que declararon haber perdido criptomonedas por una estafa desde 2021 dijeron que comenzó con un anuncio, una publicación o un mensaje en una plataforma de medios sociales", dijo la FTC.

Aunque las ofertas fraudulentas suenan demasiado bien para ser verdad, las víctimas potenciales pueden suspender la incredulidad dada la intensa volatilidad del mercado de las criptomonedas; la gente no quiere perderse la próxima gran cosa.

Atacantes apuntando a los NFTs

Junto con las criptomonedas, los NFTs, o tokens no fungibles, se han convertido en un objetivo cada vez más popular para los estafadores; según la empresa de ciberseguridad Web3 TRM Labs, en los dos meses posteriores a mayo de 2022, la comunidad de NFTs perdió unos 22 millones de dólares por estafas y ataques de phishing.

"Colecciones de primera categoría" como Bored Ape Yacht Club (BAYC) son un objetivo especialmente preciado. En abril de 2022, la cuenta de Instagram de BAYC fue hackeada por estafadores que desviaron a las víctimas a un sitio que vació sus wallets de Ethereum de criptomonedas y NFT. Se robaron unos 91 NFT, con un valor combinado de más de 2,8 millones de dólares. Meses después, un exploit de Discord vio cómo se robaban NFT por valor de 200 ETH a los usuarios.

Los propietarios de BAYC de alto perfil también han sido víctimas de estafas. El 17 de mayo, el actor y productor Seth Green tuiteó que había sido víctima de una estafa de phishing que había provocado el robo de cuatro NFT, incluido el número 8398 de Bored Ape. Además de poner de manifiesto la amenaza que suponen los ataques de phishing, podría haber desbaratado un programa de televisión/streaming de temática NFT planeado por Green, "White Horse Tavern". Los NFT de BAYC incluyen derechos de licencia para utilizar el NFT con fines comerciales, como en el caso del restaurante de comida rápida Bored & Hungry de Long Beach, California.

Durante una sesión de Twitter Spaces del 9 de junio, Green dijo que había recuperado el JPEG robado después de pagar 165 ETH (más de 295.000 dólares en ese momento) a una persona que había comprado el NFT después de su robo.

"El phishing sigue siendo el primer vector de ataque", dijo a Decrypt Luis Lubeck, ingeniero de seguridad de la empresa de ciberseguridad Web3, Halborn.

Lubeck dice que los usuarios deben estar atentos a los sitios web falsos que piden credenciales de wallets, a los enlaces clonados y a los proyectos falsos.

Según Lubeck, una estafa de phishing puede comenzar con ingeniería social, informando al usuario sobre el lanzamiento anticipado de un token o que multiplicará por 100 su dinero, una API baja, o que su cuenta ha sido violada y requiere un cambio de contraseña. Estos mensajes suelen venir con un tiempo limitado para actuar, lo que fomenta el miedo del usuario a perderse algo, también conocido como FOMO.

En el caso de Green, el ataque de phishing llegó a través de un enlace clonado.

El phishing de clones es un ataque en el que un estafador toma un sitio web, un correo electrónico o incluso un simple enlace y crea una copia casi perfecta que parece legítima. Green pensó que estaba acuñando clones de "GutterCat" utilizando lo que resultó ser un sitio web de phishing.

Cuando Green conectó su wallet al sitio web de phishing y firmó la transacción para acuñar el NFT, dio a los hackers acceso a sus claves privadas y, a su vez, a sus Bored Apes.

Tipos de ciberataques

Las brechas de seguridad pueden afectar tanto a empresas como a particulares. Aunque no es una lista completa, los ciberataques dirigidos a Web3 suelen estar comprendidos en las siguientes categorías:

• 🎣 Phishing: Una de las formas más antiguas y a la vez más comunes de ciberataque, los ataques de phishing suelen venir en forma de correo electrónico e incluyen el envío de comunicaciones fraudulentas como textos y mensajes en las redes sociales que parecen provenir de una fuente de confianza. Este ciberataque también puede adoptar la forma de un sitio web comprometido o codificado de forma maliciosa que puede drenar las criptomonedas o NFT de una wallet basada en el navegador una vez que se conecta una wallet de criptomonedas.
• 🏴‍☠️ Malware: Abreviatura de software malicioso, este término abarca cualquier programa o código dañino para los sistemas. El malware puede entrar en un sistema a través de correos electrónicos, textos y mensajes de phishing.
• 👾 Sitios web comprometidos: Estos sitios web legítimos son secuestrados por los delincuentes y utilizados para almacenar malware que los usuarios desprevenidos descargan una vez que hacen clic en un enlace, imagen o archivo.
• 🪤 Suplantación de URL: Desenlazar sitios web comprometidos; los sitios web falsos son sitios maliciosos que son clones de sitios web legítimos. También conocido como URL Phishing, estos sitios pueden recoger nombres de usuario, contraseñas, tarjetas de crédito, criptomonedas y otra información personal.
• 🤖 Extensiones falsas del navegador: Como su nombre indica, estos exploits utilizan falsas extensiones del navegador para embaucar a los usuarios de criptomonedas para que introduzcan sus credenciales o claves en una extensión que dé al ciberdelincuente acceso a los datos.

Estos ataques suelen tener como objetivo acceder, robar y destruir información sensible o, en el caso de Green, un NFT de Bored Ape.

¿Qué puede hacer para protegerse?

Lubeck dice que la mejor manera de protegerse del phishing es no responder nunca a un correo electrónico, un texto SMS, un mensaje de Telegram, Discord o WhatsApp de una persona, empresa o cuenta desconocida. "Iré más allá", añade Lubeck. "Nunca introduzcas credenciales o información personal si el usuario no ha iniciado la comunicación".

Lubeck recomienda no introducir las credenciales ni la información personal cuando se utilicen redes o WiFi públicas o compartidas. Además, Lubeck dice a Decrypt que la gente no debe tener una falsa sensación de seguridad por usar un sistema operativo o un tipo de teléfono concreto.

"Cuando hablamos de este tipo de estafas: phishing, suplantación de páginas web, no importa si usas un iPhone, Linux, Mac, iOS, Windows o Chromebook", dice. "Nombra el dispositivo; el problema es el sitio, no tu dispositivo".

Mantén tus criptomonedas y NFTs a salvo

Veamos un plan de acción más "Web3".

Siempre que sea posible, utiliza wallets de hardware o de aire para almacenar activos digitales. Estos dispositivos, a veces descritos como "almacenamiento en frío", retiran tu criptomoneda de Internet hasta que estés listo para usarla. Aunque es común y conveniente utilizar wallets basados en el navegador como MetaMask, recuerda que cualquier cosa conectada a Internet tiene el potencial de ser hackeada.

Si utilizas una wallet móvil, de navegador o de escritorio, también conocida como wallet caliente, descárgala desde plataformas oficiales como Google Play Store, App Store de Apple o sitios web verificados. Nunca descargues desde enlaces enviados por texto o correo electrónico. Aunque las apps maliciosas pueden encontrar su camino en las tiendas oficiales, es más seguro que usar enlaces.

Después de completar la transacción, desconecta la wallet del sitio web.

Asegúrate de mantener la privacidad de tus claves privadas, frases de semillas y contraseñas. Si le piden que comparta esta información para participar en una inversión o acuñación, es una estafa.

Invierte sólo en proyectos que entiendas. Si no está claro cómo funciona el esquema, detente e investiga más.

Ignore las tácticas de alta presión y los plazos ajustados. A menudo, los estafadores se valen de esto para tratar de invocar el FOMO y conseguir que las víctimas potenciales no piensen ni investiguen sobre lo que se les dice.

Por último, pero no por ello menos importante, si suena demasiado bien para ser verdad, probablemente sea una estafa.