¿Podrías detectar una estafa de phishing si apareciera en tu próximo encuentro? Descubre cómo la decepción de Lainchain sorprendió a los profesionales en París.

Tabla de Contenidos

  • Una trampa cripto en París

  • Entendiendo las estafas de phishing y sus variaciones

  • Cómo funciona la estafa

  • Hallazgos de la investigación técnica

  • Identidades falsas y ingeniería social

  • Análisis de Telegram y redes sociales

  • Filtraciones de datos y actividad en la dark web

  • Protégete en el espacio cripto

Una trampa cripto en París

En la noche del 3 de diciembre, se llevó a cabo un encuentro de freelancers en el Café Oz en París, atrayendo a individuos de diversas industrias para hacer networking e intercambiar ideas. Entre los asistentes estaba Scott Horlacher, un ingeniero de software y desarrollador.

La noche tomó un giro inusual con la llegada de dos individuos. Uno estaba vestido elegantemente, presentándose como un abogado que manejaba el lado comercial de las cosas, mientras que el otro, un individuo más joven y de aspecto rudo, se presentó como Leo, un desarrollador. Juntos, afirmaron representar una nueva plataforma de intercambio cripto llamada Lainchain.

La conversación de Horlacher con ellos comenzó de manera inocente. “Estábamos conversando en francés”, explicó Scott, señalando que el desarrollador, que se hacía llamar Leo, describió Lainchain como una aplicación de Python Flask. Sin embargo, las respuestas a las preguntas técnicas de Scott levantaron banderas rojas.

“Le estaba preguntando sobre la capa de liquidación, como, ¿cómo se procesan y liquidan las transacciones en su intercambio o plataforma?”

El fundador de Lainchain respondió: “solo conectas tu MetaMask, y lo envías directamente.” En ese momento, las sospechas de Horlacher crecieron. Cuando Horlacher visitó Lainchain.com, el problema se hizo evidente. “Desplazándome hacia la sección de registro, es básicamente cuando me di cuenta de que, oh hombre, este tipo es un estafador”, dijo.

“La página de registro tiene un generador de frases semilla de billetera directamente en ella. Claramente, el intercambio está gestionando tus claves privadas, y en cualquier momento, es un riesgo de seguridad. La persona es realmente estúpida por desarrollar la plataforma, o es un estafador. Y creo que es más probable que sea un estafador.”

Después de confrontar a la pareja sobre el asunto, su confianza se desmoronó. Abandonaron el evento poco después, dejando a Horlacher y otros para juntar las piezas del engaño, advirtiendo a los demás asistentes.

Decididos a llegar al fondo de este encuentro sospechoso, crypto.news se asoció con AMLBot, una firma de cumplimiento y forense de blockchain. Lo que siguió fue una investigación en profundidad que expuso a Lainchain por lo que realmente era: un engaño de phishing cuidadosamente orquestado.

Este artículo desglosa los hallazgos de esa investigación y examina cómo funcionó la estafa, qué señales de advertencia buscar, y, lo más importante, cómo puedes protegerte de caer en esquemas similares en el futuro.

Entendiendo las estafas de phishing y sus variaciones

Antes de profundizar más en el problema de Lainchain, es importante entender los tipos de estafas de phishing que existen y cómo atacan a las víctimas, particularmente en los sectores financiero y cripto.

Las estafas de phishing utilizan la decepción para engañar a las personas a revelar información sensible como contraseñas, frases semilla o credenciales de billetera. A diferencia del hacking directo, el phishing se basa en la ingeniería social, convirtiendo a las víctimas en participantes involuntarios en su propia explotación.

Según Statista, en 2023, el 27.32% de los ciberataques globales eran ataques de phishing financiero, una disminución del 36.3% en 2022 y 41.8% en 2021.

Parte de ataques de phishing financiero a nivel mundial de 2016 a 2023 | Fuente: Statista

Además, en 2023, el Centro de Quejas de Delitos por Internet del FBI reportó más de 69,000 quejas relacionadas con fraude financiero que involucraba cripto. Las pérdidas estimadas superaron los $5.6 mil millones, afectando activos como Bitcoin (BTC), Ethereum (ETH) y Tether (USDT).

Las estafas de phishing a menudo toman estas formas:

  • Phishing por correo electrónico: Correos electrónicos genéricos suplantan entidades de confianza, como intercambios, instando a los usuarios a hacer clic en enlaces maliciosos o compartir detalles de inicio de sesión.

  • Spear phishing: Estafas altamente dirigidas personalizan mensajes basados en víctimas específicas, a menudo suplantando a miembros del equipo o socios para establecer confianza.

  • Clone phishing: Sitios web o aplicaciones falsas, como Lainchain, imitan a las legítimas, engañando a los usuarios para que ingresen sus credenciales o conecten billeteras.

  • Phishing en redes sociales: Los estafadores en plataformas como Telegram o Twitter se hacen pasar por influenciadores, personal de soporte o representantes de proyectos, atrayendo a las víctimas con sorteos falsos u ofertas de inversión.

  • Phishing basado en malware: Aplicaciones o enlaces maliciosos infectan dispositivos, capturando datos sensibles como frases semilla, claves privadas y credenciales.

El phishing en cripto es particularmente peligroso debido a la naturaleza irreversible de las transacciones en blockchain: una vez que los fondos son transferidos, no pueden ser recuperados. Comprender estas tácticas es esencial para evitarlas.

Reconocer las señales de advertencia y emplear prácticas básicas de seguridad, como la autenticación de dos factores y la verificación de fuentes, son pasos cruciales para proteger tus activos digitales.

Cómo funciona la estafa

Según los investigadores de AMLBot, Lainchain se presentó como un intercambio cripto legítimo pero estaba plagado de fallas fundamentales que expusieron su verdadera naturaleza. La interfaz de la plataforma estaba lejos de ser profesional, presentando un diseño rudimentario que desmentía sus audaces afirmaciones.

Página de aterrizaje de lainchain.com, 19 de diciembre de 2024.

La decepción comenzó con una solicitud aparentemente rutinaria para que los usuarios conectaran sus billeteras MetaMask para acceder a los servicios de la plataforma. La integración de billeteras es una característica común en aplicaciones basadas en blockchain, pero Lainchain manipuló este proceso. En lugar de un aviso de autorización estándar, se pidió a los usuarios que ingresaran sus frases semilla — una práctica que ninguna plataforma legítima respaldaría, lo que llevó a sospechas de que estaba operando como una estafa de phishing.

La página de registro de lainchain.com, donde se pide a los usuarios su frase semilla, 19 de diciembre de 2024.

Los investigadores destacaron que esta táctica entregó efectivamente el control de las billeteras de los usuarios a los estafadores. Con acceso a las claves privadas, los perpetradores podían transferir fondos libremente sin detección ni interferencia.

Más allá del robo directo, Lainchain empleó estrategias psicológicas para profundizar su explotación. Las víctimas fueron atraídas con promesas de retornos extraordinarios y se les animó a depositar más fondos para “desbloquear el máximo potencial”.

Cuando los usuarios intentaron retirar, se encontraron con obstáculos fabricados como exigencias de “tarifas de transacción” o “cargos de verificación”, que solo servían para drenarlos de más dinero.

La investigación también reveló que Lainchain recopiló datos personales durante el registro, incluyendo direcciones de correo electrónico y detalles de billetera vinculados. Esta información probablemente se monetizó más, vendida en mercados de la dark web y utilizada para campañas de phishing u otras formas de robo de identidad.

Hallazgos de la investigación técnica

Los investigadores de AMLBot emplearon técnicas de inteligencia de código abierto para desentrañar las operaciones engañosas de Lainchain. Un avance crítico provino del análisis de los detalles de registro del dominio lainchain.com.

El dominio, registrado a través de HOSTINGER — un registrador de bajo costo a menudo explotado por estafadores — se configuró con ajustes de privacidad para oscurecer la identidad del propietario.

Esta anonimidad deliberada es un sello distintivo de las operaciones de cibercriminales. Registrado el 30 de enero de 2023 y actualizado el 30 de octubre de 2024, la cronología del dominio indicaba una ventana prolongada para defraudar a las víctimas.

Una investigación adicional mostró que el sitio web estaba alojado en servidores en Helsinki, Finlandia, bajo Hetzner Online GmbH, un proveedor de alojamiento con reputación por sus servicios centrados en la privacidad y asequibles. Aunque legítimos, tales servicios atraen con frecuencia a actores maliciosos que buscan cobertura.

Los investigadores también encontraron que Lainchain no era una estafa aislada, sino parte de una red de plataformas fraudulentas como Rawkchain y Staxeblock, todas construidas sobre bases de código casi idénticas.

Comentarios incrustados en el código fuente HTML de Lainchain hacían referencia explícita a Rawkchain, confirmando que los sitios eran clones. Esta táctica permitió a los estafadores rebrandear y relanzar tras la exposición, continuando para engañar a los usuarios.

El análisis del certificado SSL vinculó aún más a Lainchain con un dominio sospechoso, finalsolutions.com.pk, insinuando una red más amplia para phishing o blanqueo de fondos robados. Además, las búsquedas de IP inversas y el análisis de DNS revelaron servidores compartidos con otras plataformas dudosas, exponiendo su dependencia de alojamiento barato y mínimo esfuerzo.

Los investigadores concluyeron que Lainchain ejemplificaba un modelo de estafa escalable, de bajo costo y alta recompensa, explotando la anonimidad y atajos técnicos para cazar usuarios.

Identidades falsas y ingeniería social

Uno de los aspectos más alarmantes de la estafa de Lainchain fue su uso calculado de identidades robadas y prueba social fabricada para construir confianza y atraer a las víctimas.

Según los investigadores, el sitio web de Lainchain mostraba imágenes de supuestos miembros del equipo, ejecutivos y fundadores, completas con títulos impresionantes y biografías profesionales.

Sin embargo, los investigadores revelaron que muchas de estas imágenes fueron robadas de eventos de blockchain públicos y perfiles de redes sociales. Los estafadores reutilizaron fotos de individuos desprevenidos, presentándolos falsamente como el equipo de liderazgo de Lainchain.

En un ejemplo llamativo, se utilizó la imagen de un conocido político ruso para fabricar la identidad de un ejecutivo. Otras fotos rastreadas hasta profesionales no relacionados se emparejaron con credenciales falsas para reforzar la ilusión de credibilidad.

La decepción se extendió más allá del sitio web. En plataformas como Trustpilot, Lainchain exhibió numerosas reseñas elogiosas, alabando su interfaz amigable, robustez en seguridad y rentabilidad.

Sin embargo, un análisis adicional reveló que estas reseñas eran falsas, originadas de cuentas recién creadas o sospechosas. Muchos de estos perfiles tenían historias de reseñar otras plataformas fraudulentas, como Rawkchain y Staxeblock.

Esta combinación de identidades robadas, presencia en línea fabricada y testimonios brillantes pero falsos creó una fachada sofisticada, engañando a las víctimas para que confiaran en la plataforma, dejándolas vulnerables a pérdidas financieras y explotación adicional.

Análisis de Telegram y redes sociales

Las funciones de privacidad y facilidad de uso de Telegram lo han convertido en una plataforma favorita para comunidades cripto — y para estafas como Lainchain. Los investigadores descubrieron que Telegram era central para la operación, sirviendo como un centro para promover la plataforma fraudulenta y conectar con las víctimas.

Los estafadores operaban un grupo de soporte privado donde cuentas como Arin_lainchain y DanbenSpencer se hacían pasar por administradores útiles. Compartían contenido promocional y dirigían a los usuarios a representantes de soporte falsos.

Un paso en falso reveló otra cuenta clave, Lucifer3971, que los investigadores vincularon a actividades del mercado negro, incluyendo el comercio de datos robados. Mientras que otras cuentas fueron abandonadas, Lucifer3971 permaneció activa, proporcionando pistas críticas.

Dentro del grupo, los estafadores también crearon la ilusión de legitimidad utilizando cuentas falsas para simular actividad. Estas cuentas hacían preguntas, compartían reseñas brillantes y discutían retiros falsos, haciendo que el grupo pareciera confiable. Los moderadores daban la bienvenida a los nuevos miembros con mensajes guionizados y publicaban historias de éxito fabricadas para atraer a las víctimas más.

El esquema se extendió más allá de Telegram. En Facebook, los estafadores se infiltraron en grupos de cripto y freelancers con perfiles falsos para promover Lainchain. En Twitter, utilizaron bots y testimonios fabricados para amplificar su mensaje, creando una ilusión de credibilidad y confianza.

Filtraciones de datos y actividad en la dark web

La estafa de Lainchain extendió su explotación más allá de robar fondos, atacando los datos personales de las víctimas para generar ganancias adicionales. Los investigadores descubrieron que la información sensible fue canalizada hacia filtraciones de datos a gran escala y vendida en mercados de la dark web.

Un importante repositorio vinculado a esta red era naz.api, una base de datos notoria por albergar datos de usuarios robados de esquemas de phishing, ataques de malware y exploits de navegadores.

Una búsqueda en naz.api reveló numerosos registros comprometidos vinculados a Lainchain, incluyendo direcciones de correo electrónico, números de teléfono, contraseñas y otros detalles privados.

La investigación también identificó registros de robos conectados a Lainchain. Estos registros, ampliamente comercializados en la dark web, proporcionaron instantáneas detalladas de las sesiones de navegación de las víctimas, incluyendo credenciales guardadas, datos de autocompletado y capturas de pantalla de portales de inicio de sesión.

Aún más preocupante, estos registros no estaban aislados; incluían datos de las estafas predecesoras de Lainchain, Rawkchain y Staxeblock, alimentando una red creciente de información robada.

Protégete en el espacio cripto

La estafa de Lainchain destaca la creciente amenaza de plataformas falsas diseñadas para imitar operaciones legítimas, apuntando a aquellos que no están familiarizados con los sistemas cripto. Aunque estafas como esta son expuestas, incontables otras operan sin ser detectadas, robando millones a usuarios desprevenidos.

Mantenerse a salvo comienza con entender cómo funcionan estas estafas. Los estafadores a menudo solicitan frases semilla o engañan a los usuarios para que conecten sus billeteras a plataformas maliciosas. Slava Demchuk, CEO de AMLBot, explicó los riesgos:

“Al conectar tu billetera a una plataforma no confiable, puedes otorgar sin saberlo permisos para que contratos inteligentes maliciosos accedan y drenen tus fondos. Antes de aprobar cualquier transacción, siempre revisa los detalles cuidadosamente. Si la plataforma parece poco confiable o carece de un historial comprobado, es mejor alejarse.”

Otra táctica común implica aplicaciones de billetera falsas incrustadas con malware para robar información sensible. Demchuk enfatizó la necesidad de tener precaución al descargar aplicaciones:

“Solo descarga aplicaciones de fuentes reputadas y verifica su credibilidad revisando las opiniones de los usuarios. Mantener tu software antivirus actualizado agrega otra capa de protección.”

También aconsejó un enfoque escéptico al evaluar plataformas:

“Busca señales de alerta como equipos anónimos o no verificables, credenciales faltantes o inconsistencias en sus afirmaciones. Si algo parece extraño, detente y haz más investigaciones. Siempre es mejor pecar de cauteloso que arriesgarte a comprometer tus activos.”

Informar sobre estafas es igualmente importante. La colaboración entre usuarios, desarrolladores y reguladores es esencial para salvaguardar el ecosistema cripto. Mantenerse informado y proactivo no solo protege los activos individuales, sino que también fortalece a la comunidad cripto en general contra estas amenazas.