El Talón de Aquiles de Cripto

En el reino de las criptomonedas, donde fortalezas digitales protegen fortunas virtuales, la amenaza más peligrosa no siempre es una línea de código defectuosa, sino la persona detrás del teclado.

Mientras los evangelistas del blockchain alaban los registros inhackeables y las maravillas criptográficas, los ciberdelincuentes están explotando una vulnerabilidad mucho más simple: la naturaleza humana misma.

Un ejemplo: el épico fracaso de Evolve Bank and Trust en mayo de 2024. Un empleado, un clic, un enlace malicioso, eso fue todo lo que LockBit necesitó para llevarse 33 terabytes de jugosos datos de usuarios.

Más de 155,000 cuentas de usuarios de Bitfinex, Copper Banking y Nomad vieron su ropa sucia expuesta ante todos.

Nombres, direcciones, números de seguro social, saldos de cuentas, todo el paquete completo.

Esto no es un caso aislado. Es la nueva normalidad en un mundo donde tus claves pueden estar seguras, pero tu identidad está en juego.

Desde la amenaza constante de ataques de phishing, hasta cuentas de celebridades en Twitter promocionando scam coins, pasando por falsos reclutadores de LinkedIn hablando suavemente para acceder a repositorios de GitHub, el factor humano es el punto débil de la seguridad cripto.

¿Las consecuencias? La confianza hecha trizas, usuarios en modo pánico, y reguladores frotándose las manos. Es un recordatorio contundente de que en el mundo cripto, tu eslabón más débil no es tu código, sino tu gente.

Abróchense los cinturones para sumergirnos en el incendio de los errores humanos en la seguridad cripto.

Al enfrentar la dura realidad de nuestra propia falibilidad en el ámbito de la seguridad cripto, es hora de preguntarnos, ¿podemos realmente asegurar nuestros activos digitales sin primero dominar las vulnerabilidades de nuestra propia naturaleza humana?

Los ciberdelincuentes ya no son solo programadores en habitaciones oscuras; son maestros manipuladores, expertos en explotar la naturaleza humana.

Varias tendencias clave dan forma al cambiante campo minado en el mundo cripto.

Una tendencia importante involucra campañas de phishing dirigidas, donde los atacantes se disfrazan de servicios cripto legítimos para atraer a víctimas desprevenidas.

En junio, un actor malicioso comprometió el proveedor de la lista de correos de Ethereum y envió a más de 35,000 direcciones un correo electrónico de phishing con un enlace a un sitio malicioso que ejecutaba un crypto drainer.

Ethereum reveló el incidente en una publicación de blog y dijo que no tuvo un impacto material en los usuarios.

¿Esquivaron una bala?

Según el Informe de Phishing de Mitad de Año de Scam Sniffer, 260,000 víctimas perdieron $314 millones en cadenas EVM, superando los $295 millones robados el año anterior.

Con la mitad del año por delante, los ataques de phishing siguen siendo una gran amenaza.

Notablemente, la mayoría de los robos de tokens ERC20 entre las 20 principales víctimas involucraron tácticas de phishing de firma engañosas como Permit, IncreaseAllowance y Uniswap Permit2.

La mayoría de los grandes robos involucraron activos en Staking, Restaking, Aave Collateral y tokens Pendle.

Estos tokens también soportan Permit. Una vez robados, tus activos en staking no pueden ser recuperados.

Por ejemplo, una víctima perdió $11 millones en tokens aEthMKR y Pendle USDe debido a la firma de múltiples firmas de phishing Permit.

Transacción:

0x8d0360632bc385171e20c12aa3152933bb041402bb3e06ab29136985a4745e57

Víctima:

0xfb94d3404c1d3d9d6f08f79e58041d5ea95accfa

Estafador:

0x739772254924a57428272f429bd55f30eb36bb96

Además, los hackeos de cuentas en redes sociales se han vuelto más frecuentes, ya que los ciberdelincuentes difunden enlaces maliciosos a través de perfiles comprometidos.

Scam Sniffer afirmó que la mayoría de los ataques de phishing fueron causados por cuentas suplantadoras en X.

Muchas de estas cuentas hackeadas promocionan meme coins de Solana, la lista de recientes impostores incluye a celebridades como Doja Cat, Hulk Hogan, 50 Cent y Metallica.

Estos casos de cuentas comprometidas no deben confundirse con celebridades que realmente están estafando a la gente con sus pump and dump de shitcoins.

¿Alguien más se siente PumpDotDone?

No es tu camarada

Mientras que las estafas en redes sociales lanzan una red amplia, algunos depredadores prefieren un enfoque más dirigido.

Entramos en el reino de las amenazas internas y los grupos de hackers patrocinados por estados, donde la ingeniería social se encuentra con el espionaje cibernético.

Estos no son estafadores comunes, sino las Fuerzas Especiales del inframundo digital.

El infame Grupo Lazarus, ampliamente reconocido como una de las amenazas más activas que apuntan a la industria cripto, explota vulnerabilidades humanas en lugar de técnicas.

Su enfoque involucra:

• Contactar a empleados a través de redes sociales o apps de mensajería

• Dirigirlos a un repositorio de GitHub para una oferta de trabajo o recompensa por errores

• Comprometer el dispositivo del individuo

• Obtener entrada no autorizada a la infraestructura de la empresa

• Comprometer la empresa y sus usuarios

En un caso notable destacado por el investigador de seguridad Tayvano, un operativo de Lazarus utilizó un perfil falso de LinkedIn para contactar a dos empleados técnicos de la misma empresa.

El atacante comprometió el dispositivo del primer empleado con malware, incluso pagándole $100 USDT para mantener la farsa.

Al descubrir que el primer empleado no tenía acceso, cambiaron el enfoque al segundo empleado, comprometiéndolo también, lo que resultó en un robo sustancial un mes después.

Otro incidente vio a empleados de CoinsPaid contactados por falsos reclutadores en LinkedIn, prometiendo salarios de hasta $24,000 por mes.

Empleados fueron engañados para instalar malware durante "asignaciones de prueba", lo que llevó a un robo de $37.3 millones.

El mayor robo de cripto de la historia, el hackeo de $625 millones de Axie Infinity, se originó cuando un solo ingeniero abrió una oferta de trabajo maliciosa en PDF.

Estos incidentes subrayan la sofisticada ingeniería social, adaptabilidad y persistencia de Lazarus. Apuntan a individuos en varios roles y utilizan diversas plataformas como Telegram, Slack, correo electrónico y Discord.

Para más información sobre las tácticas y la historia de Lazarus, consulta Cómo el Grupo Lazarus lavó $200M de más de 25 hackeos cripto por ZachXBT y esta brillante colección de artículos, análisis y atracos atribuidos a su grupo y grupos asociados.

Al entender sus métodos, los individuos y las organizaciones pueden fortalecer sus defensas contra actores de amenazas avanzadas como Lazarus.

Huione Guarantee: El Amazon del Cibercrimen

Si el Grupo Lazarus es las Fuerzas Especiales del cibercrimen, entonces Huione Guarantee es el Amazon Prime.

Mientras que los hackers patrocinados por el estado elaboran ataques a medida, hay un mercado creciente de soluciones de cibercrimen listas para usar.

¿Por qué reinventar la rueda cuando simplemente puedes añadir fraude a tu carrito?

Conoce a Huione Guarantee, el conglomerado camboyano que convierte el cibercrimen en una experiencia de un solo clic.

Esta guarida digital de iniquidad se extiende a través de miles de canales de aplicaciones de mensajería instantánea, ofreciendo un festín de servicios para el estafador exigente.

Las ofertas de hoy incluyen servicios ilícitos como lavado de dinero, desarrollo de sitios web de estafa a medida y la venta de datos personales recién obtenidos.

Para los operadores más siniestros, incluso hay una selección de herramientas de tortura, supuestamente utilizadas en trabajadores esclavizados dentro de los compuestos de estafa.

Pero no tomes nuestra palabra. Los sabuesos blockchain de Elliptic han olfateado más de $11 mil millones fluyendo a través de las billeteras cripto de Huione desde 2021.

Alerta de spoiler: No todo fue por vender galletas de Scout.

No contentos con ser solo el Etsy del mal, la subsidiaria de Huione, Huione International Payments, decidió ensuciarse las manos también.

Por una modesta tarifa, lavarán tus ganancias mal habidas más rápido de lo que puedes decir KYC.

En el mundo del fraude digital, Huione no solo está jugando el juego, está vendiendo todo el maldito casino.

Apps de Mensajería

Pero, ¿por qué molestarse con un supermercado del cibercrimen cuando las herramientas para el caos están al alcance de tu mano?

Nuestras queridas aplicaciones de chat se han convertido en criaderos desprevenidos de cibercrimen.

Es difícil estar en el espacio cripto sin usar al menos X y Telegram, ya que ahí es donde ocurre gran parte de la acción.

Estoy seguro de que ya sabes a estas alturas que X es una preocupación de seguridad debido a las cuentas comprometidas y las estafas de phishing.

Telegram es todo un semillero para el mismo comportamiento, pero también está siendo armado a través de bots OTP (contraseñas de un solo uso).

La autenticación de dos factores no es una solución a prueba de balas, gracias a sofisticados bots OTP que se ejecutan en Telegram.

Los hackers obtienen tu información de inicio de sesión a partir de brechas de datos o phishing. Usan bots impulsados por IA para llamarte, haciéndose pasar por tu banco.

El bot te engaña para que le des tu contraseña de un solo uso, enviada legítimamente por tu servicio real. Una vez que ingresas ese código, el estafador está en tu cuenta al instante.

Estos bots son un negocio en auge, con suscripciones semanales y características como suplantación de números y personalización de voz.

Están convirtiendo el 2FA en un bache en lugar de una fortaleza.

Signal también ha sido comprometido, la aplicación de escritorio fue encontrada exponiendo los secretos del usuario al dejar las claves de cifrado a la vista.

Este fallo de seguridad permite a los ojos indiscretos infiltrarse en los historiales de chat y clonar sigilosamente las sesiones.

Aunque Signal intentó minimizar el problema, los críticos insisten en una mejor protección de datos local para evitar que esta vergüenza se convierta en un escándalo a gran escala.

Telegram y Signal presumen de sus capacidades de cifrado, siendo las de Signal bastante cuestionables.

Discord no utiliza cifrado de extremo a extremo.

Hay cifrado de capa de transporte (TLS), que cifra el mensaje en tránsito, pero ese es el alcance completo de la seguridad de Discord.

Esto significa que Discord puede ver tu comunicación con otros, y también puede hacerlo cualquiera que pueda hackear los sistemas de Discord.

No solo tienes que preocuparte por la filtración de tus conversaciones privadas, sino que las limitaciones de seguridad de Discord plantean riesgos adicionales.

La falta de cifrado de extremo a extremo de la plataforma y la susceptibilidad a las estafas de phishing pueden llevar al robo de cuentas de juegos y Discord, spam generalizado e información personal comprometida.

Con grupos astutos como Pink Drainer, Discord se ha convertido en un patio de recreo peligroso para los criminales cripto.

Estos piratas digitales han descifrado el código para explotar las vulnerabilidades de Discord, convirtiendo la plataforma en un terreno de caza para sus escapadas de phishing.

Al tejer intrincadas redes de engaño, han logrado arrebatar millones en activos digitales justo bajo las narices de usuarios y moderadores por igual.

Además, algunas de las travesuras que los bots de Discord son capaces de hacer son bastante aterradoras.

No busques más allá de este video de YouTube “Infiltrando un bot de Discord que espía a la gente.”

Desde frenesís de phishing hasta travesuras internas, atracos patrocinados por estados, hasta kits de cibercrimen DIY, hemos pelado algunas de las capas de la cebolla del cripto-crimen.

Resulta que el objetivo más jugoso no es alguna blockchain inhackeable, sino la materia gris blanda entre nuestras orejas.

En este campo minado cripto, debemos reflexionar sobre nuestro papel como usuarios y empleados.

¿Somos el eslabón más débil en la seguridad cripto y cómo podemos fortalecer nuestras defensas contra las tácticas implacables de los cibercriminales?

Antes de que te pongas en modo supervivencia total y entierres tus frases semilla en el patio trasero, cálmate un poco.

Claro, el salvaje oeste cripto hace que el verdadero Salvaje Oeste parezca una piscina para niños, pero eso no significa que todos seamos patos sentados en una galería de tiro.

Así que, antes de que renuncies a internet y vayas a vivir en una jaula de Faraday, quédate por aquí.

Es hora de cambiar de marcha, del pesimismo y la tristeza a tu auge de ciberseguridad personal.

¿Estás listo para protegerte?

Si trabajas para un protocolo, la descentralización ayuda a eliminar puntos únicos de falla.

Si estás en un equipo que está usando una sola clave privada y no una multisig, ¿estás seguro de que deberías estar aquí?

Los compromisos de claves privadas son uno de los exploits más comunes actualmente.

Si estás almacenando fondos en una billetera caliente, es como si anduvieras con un blanco en la espalda. Opta por una billetera fría siempre que puedas.

Esto debería ser obvio, pero la gente sigue cayendo, no hagas clic en enlaces ni descargues archivos de extraños.

No uses SMS para autenticación, ¡nunca! Usa aplicaciones de autenticación o claves de hardware 2FA.

Considera también usar diferentes dispositivos para uso personal y para acceder a tus criptos.

Es una buena práctica revisar las aprobaciones revocadas, ya sea en Rabby o en RevokeCash.

Ya seas un nativo cripto o trabajes en la industria, usar algunas de estas medidas puede ayudarte a fortalecer tu castillo, pero no son una solución infalible.

Para una inmersión profunda en consejos de seguridad y dispositivos para nómadas digitales, esta pieza del blog de Officer’s es un gran recurso.

Si quieres entender cómo los hackers pueden infiltrarse y comprometer tu dispositivo, lee esta entrada en el Blog del Officer’s.

Ármate con conocimiento, tu chaleco antibalas contra los forajidos del cripto.

Mientras cabalgas por la frontera salvaje, recuerda mantenerte vigilante y asegurar tus fortalezas digitales.

En el juego de altas apuestas de la seguridad cripto, ¿puedes permitirte no estar un paso adelante de los forajidos?

REKT sirve como plataforma pública para autores anónimos, nos deslindamos de la responsabilidad por las opiniones y contenidos alojados en REKT.

dona (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

aviso legal:

REKT no es responsable ni culpable de ninguna manera por cualquier Contenido publicado en nuestro Sitio Web o en conexión con nuestros Servicios, sin importar si fueron publicados o causados por Autores ANÓN de nuestro Sitio Web, o por REKT. Aunque determinamos reglas para la conducta y publicaciones de los Autores ANÓN, no controlamos y no somos responsables por cualquier contenido ofensivo, inapropiado, obsceno, ilegal o de cualquier forma objetable, que se pudiera encontrar en nuestro Sitio Web o Servicios. REKT no es responsable por la conducta, en línea o fuera de línea, de cualquier usuario de nuestro Sitio Web o Servicios.