Las estafas se han convertido en un problema generalizado en la industria de las criptomonedas, con actores maliciosos que utilizan diversas tácticas para robar fondos de inversores desprevenidos.
Al comprender las tácticas comunes utilizadas por los estafadores y ser proactivo en la protección de tus activos, puedes protegerte mejor contra el fraude y minimizar tu riesgo de pérdida.
El fraude de suplantación de empleado ocurre cuando una persona hace clic en un enlace o descarga software no verificado en su computadora, lo que conduce a la instalación de malware en la computadora sin que la persona lo sepa.
El malware permanece inactivo en la máquina de la persona hasta que visita su sitio bancario o de intercambio. Tan pronto como llega al sitio, el malware tiene un script preparado que abre de inmediato una ventana de chat, aparentando ser un agente de soporte al cliente de Uphold.
El "agente de soporte" informa a la persona que su cuenta ha sido comprometida y que será contactada por un miembro del departamento de fraude del banco. Esa llamada telefónica luego guía a la persona a través de la transferencia de su dinero a un lugar más seguro, que en realidad es mover los fondos a la cuenta del estafador.
En algunas ocasiones, el estafador pedirá a la persona que proporcione sus códigos personales o información de autenticación de dos factores (2FA), algo que Uphold nunca hará.
Los fraudes de phishing son intentos fraudulentos de robar información sensible, como credenciales de inicio de sesión, contraseñas y claves privadas, haciéndose pasar por una entidad de confianza, como un intercambio de criptomonedas legítimo o una billetera. A menudo utilizan correos electrónicos falsos, sitios web o ventanas emergentes para engañar a los usuarios y hacer que ingresen su información.
Un ejemplo de un fraude de phishing en la industria de las criptomonedas es un correo electrónico falso o una ventana emergente que parece provenir de un intercambio conocido, como Binance, y le pide al usuario que ingrese sus credenciales de inicio de sesión o su clave privada. La información se utiliza luego para robar los fondos del usuario.
Los fraudes en redes sociales son cuentas fraudulentas en plataformas de redes sociales que pretenden ser entidades legítimas, como intercambios de criptomonedas, proveedores de billeteras o incluso personas famosas. Engañan a los usuarios para que envíen fondos a sus billeteras mediante falsas promociones, sorteos o oportunidades de inversión.
Un ejemplo de un fraude en redes sociales es una cuenta fraudulenta de Twitter que finge ser Elon Musk y ofrece regalar Bitcoin a sus seguidores. El estafador les pide a los usuarios que envíen una pequeña cantidad de Bitcoin a una dirección específica, y una vez que se envían los fondos, son robados y no se pueden recuperar.
El secuestro de SIM, también conocido como SIM swapping, es un tipo de ataque en el que un actor malicioso obtiene acceso al número de teléfono móvil de una víctima al engañar al operador de telefonía móvil para que transfiera el número a una nueva tarjeta SIM controlada por el atacante.
Así es como suele funcionar el ataque:
-
Obtención de información personal: El atacante primero recopila información personal sobre la víctima, como su nombre completo, fecha de nacimiento y dirección. Esta información se puede obtener a través de ingeniería social, fraudes de phishing o comprándola en la web oscura.
-
Contacto con el operador de telefonía móvil: El atacante luego se comunica con el operador de telefonía móvil de la víctima, haciéndose pasar por la víctima y afirmando que ha perdido su tarjeta SIM o que está dañada. El atacante proporciona al operador la información personal que ha obtenido para demostrar su identidad.
-
Transferencia del número: Si el atacante logra convencer al operador, este transferirá el número de teléfono de la víctima a una nueva tarjeta SIM controlada por el atacante. El atacante puede usar la nueva tarjeta SIM para recibir llamadas y mensajes de texto destinados a la víctima, incluidos códigos de autenticación de dos factores (2FA) y alertas de 2FA.
-
Toma de control de cuentas: Con acceso al número de teléfono de la víctima, el atacante puede restablecer contraseñas y tomar el control de las cuentas en línea de la víctima que están protegidas por 2FA, como correos electrónicos, redes sociales y cuentas de criptomonedas.
Es importante destacar que los ataques de secuestro de SIM son cada vez más comunes y pueden causar pérdidas financieras significativas para las víctimas. Para protegerse contra estos ataques, se recomienda utilizar contraseñas fuertes, habilitar la autenticación de dos factores en todas las cuentas y ser cauteloso con los correos electrónicos y las llamadas telefónicas sospechosas que solicitan información personal. Además, algunos operadores de telefonía móvil ofrecen medidas de seguridad adicionales, como la autenticación de múltiples factores o la congelación temporal del número de teléfono, que se pueden utilizar para prevenir ataques de secuestro de SIM.
Estas estafas prometen altos rendimientos en inversiones, pero en realidad, solo están pagando a los primeros inversionistas con el dinero depositado por nuevos inversionistas. El esquema colapsa eventualmente cuando no hay suficientes nuevos inversionistas para pagar a los existentes.
Un ejemplo de una estafa Ponzi en la industria de las criptomonedas es Bitconnect, que prometía a sus inversionistas altos rendimientos a través de un programa de préstamos y un robot comercial. Sin embargo, el esquema finalmente colapsó y muchos inversores perdieron sus fondos.
Las bolsas de valores falsas son sitios web fraudulentos que imitan a intercambios de criptomonedas legítimos y engañan a los usuarios para que depositen fondos en cuentas falsas. Los fondos son robados y los usuarios no tienen forma de recuperarlos.
Un ejemplo de una bolsa de valores falsa es un sitio web que parece ser la plataforma de negociación de criptomonedas legítima Uphold, pero con una ligera diferencia en la URL o el logotipo. Los usuarios que depositan fondos en este intercambio falso perderán su dinero, ya que el intercambio no está relacionado con la verdadera plataforma Uphold.
Las estafas de minería en la nube son empresas falsas que afirman estar extrayendo criptomonedas para sus inversores. Toman dinero de sus inversores y luego desaparecen, dejándolos sin rendimientos y sin forma de recuperar sus fondos.
Un ejemplo de una estafa de minería en la nube es una empresa que afirma estar extrayendo Bitcoin en nombre de sus inversores y promete altos rendimientos. Sin embargo, la empresa nunca extrae realmente ningún Bitcoin y simplemente toma el dinero de sus inversores.
Los esquemas de bombeo y descarga son esfuerzos coordinados para inflar artificialmente el precio de una criptomoneda, a menudo a través de spam en el mercado con órdenes de compra. Las personas detrás del esquema luego venden la criptomoneda con fines de lucro, lo que provoca que el precio caiga y deja a otros inversores con pérdidas.
Un ejemplo de un esquema de bombeo y descarga es un grupo de personas que coordinan para comprar una criptomoneda de bajo volumen, lo que hace que su precio aumente. Luego, venden la criptomoneda con fines de lucro, lo que hace que el precio caiga y deja a otros inversores con pérdidas.
Las estafas de ICO son ofertas iniciales de monedas falsas que recaudan fondos de inversores y luego desaparecen, dejándolos con tokens sin valor. Los estafadores a menudo crean documentos técnicos falsos, sitios web y cuentas en redes sociales para engañar a los inversores y hacerles creer que están invirtiendo en un proyecto legítimo.
Un ejemplo de una estafa de ICO es una empresa que recauda fondos a través de una oferta inicial de monedas, prometiendo desarrollar un nuevo proyecto de blockchain. La empresa toma los fondos y luego desaparece, dejando a los inversores con tokens sin valor y sin forma de recuperar su inversión.
Las estafas de billetera son servicios de billetera falsos que roban las claves privadas y los fondos de los usuarios. A menudo imitan a proveedores de billeteras legítimos y engañan a los usuarios para que descarguen su software o proporcionen sus claves privadas.
Un ejemplo de una estafa de billetera es una aplicación de billetera móvil falsa que parece ser la aplicación legítima MyEtherWallet. La aplicación está diseñada para robar las claves privadas y los fondos de los usuarios tan pronto como depositan cualquier criptomoneda en la billetera.
Los bots de negociación fraudulentos son bots de negociación fraudulentos que manipulan los mercados de criptomonedas y causan pérdidas financieras a usuarios desprevenidos. Pueden programarse para ejecutar operaciones en momentos específicos, aprovechar la volatilidad del mercado o incluso realizar operaciones falsas para engañar a los inversores.
Un ejemplo de un bot de negociación fraudulento es un bot programado para ejecutar operaciones en función de información falsa o engañosa, como noticias falsas o señales de mercado falsas. El bot puede causar pérdidas financieras a los inversores que lo utilizan para negociar criptomonedas.
Las estafas de sorteos falsos son estafas que prometen regalar criptomonedas gratis, pero en realidad roban fondos de los participantes. A menudo requieren que los usuarios envíen una pequeña cantidad de criptomonedas a una dirección específica para participar en el sorteo, pero una vez que se envían los fondos, son robados y no se pueden recuperar.
Un ejemplo de un sorteo falso es una estafa que promete regalar Bitcoin gratis a sus seguidores en Twitter. El estafador les pide a los usuarios que envíen una pequeña cantidad de Bitcoin a una dirección específica para participar en el sorteo, pero una vez que se envían los fondos, son robados y no se pueden recuperar.
Las estafas de transacción falsa ocurren cuando se envía un mensaje fraudulento (ya sea por texto o correo electrónico) que le pide que confirme una transacción de alto valor. Cuando la víctima responde "no, no fui yo", se le dice que, para volver a acreditar su tarjeta con los fondos, debe proporcionar los detalles de su tarjeta de crédito. Luego, su tarjeta se utiliza para compras fraudulentas.
El ejemplo más común de esto son los mensajes que parecen ser de Amazon, a menudo mostrando una compra de un iPhone.
Las estafas de cortejo de cerdos son un tipo de estafa a largo plazo que se llama así porque el perpetrador "engorda" a su víctima con el tiempo para quitarle todo su dinero.
Esto comienza cuando se inicia el contacto a través de mensajes de texto, redes sociales, aplicaciones de citas u otras plataformas de comunicación. A menudo, la comunicación comienza de manera inocua con lo que parece ser un mensaje equivocado o dirigido a la persona equivocada.
El mensaje dirá algo como "Hola, ¿cómo estás?" o "Fue genial verte la semana pasada". Una vez que la víctima responde con una comunicación de "número equivocado/persona equivocada", el estafador aprovecha la oportunidad para entablar una conversación y convencer a la víctima de que ha hecho un nuevo amigo. Una vez que se ha establecido suficiente rapport, el estafador presentará la idea de invertir en criptomonedas y sugerirá que ha ganado mucho dinero con ello, ofreciéndose a ayudar a la víctima a ganar dinero también.
Una vez que la víctima ha depositado fondos, el estafador la convencerá de la validez de esta inversión mostrándole información falsa e incluso permitiéndole retirar una pequeña cantidad de fondos. Pero si la víctima solicita retirar más fondos, el estafador le informará que se deben pagar tarifas u otros gastos arbitrarios.
El estafador convencerá a la víctima de que invierta la mayor cantidad de fondos posible, incluso convenciendo a las víctimas de que saquen el máximo de tarjetas de crédito o tomen préstamos. Una vez que el estafador está satisfecho de haber "engordado" a la víctima lo más posible, retirará los fondos, cerrará la cuenta y desaparecerá.
Las estafas de "man-in-the-browser" ocurren cuando un individuo hace clic en un enlace o descarga software no verificado en su computadora sin darse cuenta (ver Estafas de Phishing arriba). Esto resulta en que se coloque malware en la computadora sin que el individuo lo sepa.
El malware permanece inactivo en la máquina del individuo hasta que visitan el sitio de su banco o de intercambio de criptomonedas. Tan pronto como llegan al sitio, el malware tiene un script preparado que abre inmediatamente una ventana de chat que parece ser el Soporte al Cliente del banco.
El "Agente de Soporte" informa al individuo que su cuenta ha sido comprometida y que serán contactados por un miembro del departamento de fraudes del banco. Esa llamada telefónica luego guía al individuo a través de la transferencia de su dinero a un lugar más seguro, que en realidad es mover los fondos a la cuenta del estafador.
En algunos casos, el estafador pedirá al individuo que proporcione sus códigos personales o información de autenticación de dos factores (2FA), algo que ningún banco o empresa legítima nunca haría.