Listas repletas de información sensible sobre los asistentes a eventos de la industria de criptomonedas se están vendiendo bajo la apariencia de “marketing y promoción y búsqueda de clientes,” lo que presenta una posible mina de oro de datos para estafadores y actores maliciosos.
Las listas pueden contener información como nombres completos, números de teléfono, nacionalidades, roles laborales y empresas, junto con enlaces a redes sociales personales y comerciales.
Algunos incluso incluyen la fecha de compra de entradas de los asistentes, el tipo de entrada, el sistema operativo utilizado para realizar la compra, el número de seguidores en redes sociales, direcciones de billeteras de criptomonedas y mensajes escritos en un campo de texto enviados a los organizadores del evento.
Información como esta se recoge típicamente a través de formularios de registro de eventos en conferencias o eventos paralelos. Recientemente, los eventos que utilizan plataformas como lu.ma para emitir entradas comúnmente requieren enlaces a cuentas específicas de redes sociales antes de aceptar solicitudes.
Una muestra censurada de una lista compartida con Cointelegraph incluía los identificadores de Telegram de los asistentes. Fuente: Elias Ahonen/Cointelegraph
Cointelegraph obtuvo “muestras” de tales listas de un vendedor a través de Telegram, que incluían cuatro listas de aproximadamente 60 a 100 participantes, que parecían derivar de múltiples eventos y cada una contenía diferentes puntos de datos sobre los asistentes.
Los eventos parecen haber tenido lugar principalmente en otoño de 2024, y los números de teléfono de los asistentes sugieren que los eventos ocurrieron en diferentes países, principalmente en el sudeste asiático y la India.
Un solo vendedor que tiene acceso a listas de múltiples países sugiere que, más que un incidente aislado, hay un comercio internacional organizado de datos de asistentes a eventos de blockchain.
Un traficante de datos de asistentes a eventos explica qué hay en las listas. Fuente: Elias Ahonen/Cointelegraph
Las listas parecen ser la punta del iceberg: también se compartieron imágenes de muestras adicionales supuestamente conectadas a Blockchain Fest y Devcon.
Cointelegraph no sugiere que los organizadores o el personal de eventos importantes estén involucrados en el comercio, ya que cientos de eventos paralelos en conferencias también recogen detalles similares.
De valor específico fue una aparente lista de 1,700 asistentes a la conferencia AIBC de noviembre de 2024 en Malta. El precio solicitado por la lista, que el vendedor dijo que se distribuiría a “solo unas pocas personas,” fue de casi $4,000, pero luego se redujo a $650 después de unos días.
“Estos datos son información muy interna y exclusiva.”
El vendedor afirmó que las ganancias de las ventas se utilizarían para comprar listas adicionales de otros eventos, a saber, de Coinfest y DevCon, para los cuales compartieron capturas de pantalla de bases de datos.
El vendedor aparentemente actuaba como un revendedor de los datos y, aunque anónimo, tanto el vendedor como el compilador de los datos parecen ser rusos, como lo evidencian una de las pestañas del conjunto de datos titulado “List2” en ruso y un análisis de IA de la escritura del vendedor que apunta a un hablante nativo de ruso.
El vendedor incluso intenta justificar la venta de los datos “no filtrados”, afirmando que no es “información sensible” y que “la mayoría de las personas están abiertas a este tipo de marketing.”
La información podría ayudar enormemente a los estafadores de ingeniería social a dirigir sus ataques a aquellos en las listas con enlaces maliciosos e intentos de phishing para vaciar sus billeteras de criptomonedas.
El corredor de datos afirma que la información personal sensible es “solo para marketing.” Fuente: Elias Ahonen/Cointelegraph
El fundador de AIBC, Eman Pulis, quería saber cuán grande era la lista cuando Cointelegraph solicitó un comentario y dijo que el evento tiene “protocolos muy estrictos contra filtraciones de datos.” Pulis agregó que muchas bases de datos similares son fraudulentas y que “nos ofrecen bases de datos de nuestros competidores todo el tiempo.”
No se puede verificar la base de datos completa, pero el vendedor ofreció validar sus datos contra cualquier asistente conocido de AIBC.
“AIBC si conoces a alguien que estuvo allí, puedo probar la realidad, dame el apellido y encontraré a la persona.”
Aunque no está claro de dónde provienen los datos, está claro que listas de este tipo son buscadas por actores deshonestos, y los asistentes deben ser conscientes de los riesgos de ingresar datos personales en formularios en línea.
Revista: Los problemas legales rodean la creación de tokens criptográficos falsos por parte del FBI