Intento de Robo en Kraken: Estafador Usa Máscara de Goma para Suplantar a su Víctima

Cuando intentas recuperar el acceso a tu cuenta de Kraken, es posible que te pidan que hagas una videollamada con un agente de soporte para demostrar que realmente eres quien dices ser.

El mes pasado, el exchange centralizada dijo que atrapó a alguien usando una máscara de goma estilo Halloween intentando engañar al trabajador al otro lado de la llamada, pero no funcionó.

El atacante había levantado varias alertas durante la primera ronda de verificaciones, como no poder nombrar los activos que tenía la cuenta. Estas alertas hicieron que el agente a cargo del caso requiriera una videollamada para otorgar acceso a la cuenta. Durante la llamada, el trabajador de Kraken hizo algunas preguntas adicionales y verificó la identificación de la persona.

El atacante falló en esta etapa, de manera dramática.

"Nuestro agente estaba como: Esto es absolutamente ridículo. Esto es una máscara de goma que el tipo está usando", dijo el Director de Seguridad de Kraken, Nick Percoco a Decrypt.

El disfraz ni siquiera se parecía a la persona que el atacante afirmaba ser, dijo Percoco. La víctima era un hombre caucásico de unos 50 años, por lo que parecía que el atacante simplemente agarró una máscara que se ajustaba vagamente a la descripción.

Y esta no es la primera vez que alguien se disfraza en un intento de engañar a Kraken.

“[Nosotros] vemos cosas, de vez en cuando, donde la gente se pone un bigote falso,” dijo Decrypt. “Muestran [ID] y parece cercano porque llevan las mismas gafas, tienen un bigote y cabello rubio. Vemos eso de vez en cuando. Nunca pasan [la verificación].” 

“Pero esta es la primera vez,” agregó, “que alguien ha ido a la tienda de disfraces a conseguir una máscara.”

Para empeorar las cosas, el atacante ni siquiera tenía una identificación creíble. Estaba "claramente" photoshopeada e impresa en cartulina, explicó Percoco, aunque con la información correcta.

Si bien este no fue un ataque sofisticado, destaca que incluso los estafadores descuidados pueden potencialmente obtener acceso a la información privada de personas comunes. Incluso con un intento tan poco pulido, Percoco cree que los atacantes podrían tener éxito.

"Creo que debe [funcionar]," le dijo a Decrypt. "Creo que las personas que usan disfraces, las personas que violan otro lugar y obtienen una copia de tu identificación gubernamental, y luego la imprimen en papel brillante, mostrándola... en algunos exchanges, eso probablemente funciona".

Afirmó que algunos exchanges no tienen el mismo nivel de atención al detalle que Kraken exige de su equipo. Percoco señala específicamente a empresas que subcontratan su soporte, afirmando que esto es más probable que conduzca a errores.

Si tiene razón, esto significa que aquellos que utilizan exchanges centralizados no siempre deben depender de la empresa para repeler a los actores malintencionados. Para protegerse, Percoco dice que los usuarios deben implementar autenticación de dos factores "en todas partes", desde su correo electrónico hasta mucho más allá, para evitar que los actores malintencionados obtengan cualquier información personal a toda costa.

Incluso con métodos de protección empleados, un usuario aún puede caer en estafas de phishing. Para el nivel más alto de seguridad, recomienda usar FIDO2 y passkeys, que son llaves de hardware que pueden convertir su teléfono o computadora portátil en su contraseña para una cuenta.

"Las passkeys están vinculadas criptográficamente a los sitios y las aplicaciones con las que las estás utilizando", afirmó, "así que no puedes ser engañado pensando que estás iniciando sesión en Kraken".

Editado por Andrew Hayward