Envío de la comunidad - Autor: WhoTookMyCrypto.com
2017 fue un año notable para la industria de las criptomonedas, ya que su rápido aumento en las valoraciones las impulsó a los principales medios de comunicación. Como era de esperar, esto despertó un inmenso interés tanto por parte del público en general como de los ciberdelincuentes. El relativo anonimato que ofrecen las criptomonedas las ha convertido en las favoritas entre los delincuentes, que a menudo las utilizan para eludir los sistemas bancarios tradicionales y evitar la vigilancia financiera de los reguladores.
Dado que las personas pasan más tiempo en sus teléfonos inteligentes que en sus computadoras de escritorio, no es sorprendente que los ciberdelincuentes también hayan dirigido su atención a ellos. La siguiente discusión destaca cómo los estafadores se han dirigido a los usuarios de criptomonedas a través de sus dispositivos móviles, junto con algunos pasos que los usuarios pueden tomar para protegerse.
Aplicaciones de criptomonedas falsas
Aplicaciones falsas de intercambio de criptomonedas
El ejemplo más conocido de una aplicación falsa de intercambio de criptomonedas es probablemente el de Poloniex. Antes del lanzamiento de su aplicación oficial de comercio móvil en julio de 2018, Google Play ya incluía varias aplicaciones falsas de intercambio de Poloniex, que fueron diseñadas intencionalmente para ser funcionales. Muchos usuarios que descargaron esas aplicaciones fraudulentas vieron comprometidas sus credenciales de inicio de sesión de Poloniex y les robaron sus criptomonedas. Algunas aplicaciones incluso fueron un paso más allá al solicitar las credenciales de inicio de sesión de las cuentas de Gmail de los usuarios. Es importante resaltar que solo se vieron comprometidas las cuentas sin autenticación de dos factores (2FA).
Los siguientes pasos pueden ayudarle a protegerse contra este tipo de estafas.
Consulte el sitio web oficial del intercambio para verificar si realmente ofrecen una aplicación de comercio móvil. Si es así, utilice el enlace proporcionado en su sitio web.
Lea las reseñas y calificaciones. Las aplicaciones fraudulentas suelen tener muchas críticas negativas y las personas se quejan de haber sido estafadas, así que asegúrese de revisarlas antes de descargarlas. Sin embargo, también debes ser escéptico con las aplicaciones que presentan calificaciones y comentarios perfectos. Cualquier aplicación legítima tiene una buena cantidad de críticas negativas.
Consulte la información del desarrollador de la aplicación. Busque si se proporcionan una empresa, una dirección de correo electrónico y un sitio web legítimos. También debes realizar una búsqueda en línea de la información proporcionada para ver si realmente están relacionadas con el intercambio oficial.
Comprueba el número de descargas. También se debe considerar el recuento de descargas. Es poco probable que un intercambio de criptomonedas muy popular tenga una pequeña cantidad de descargas.
Active 2FA en sus cuentas. Aunque no es 100 % seguro, la 2FA es mucho más difícil de eludir y puede marcar una gran diferencia a la hora de proteger tus fondos, incluso si tus credenciales de inicio de sesión son objeto de phishing.
Aplicaciones falsas de billeteras de criptomonedas
Hay muchos tipos diferentes de aplicaciones falsas. Una variación busca obtener información personal de los usuarios, como las contraseñas de su billetera y sus claves privadas.
En algunos casos, las aplicaciones falsas proporcionan a los usuarios direcciones públicas generadas previamente. Entonces asumen que los fondos se depositarán en estas direcciones. Sin embargo, no obtienen acceso a las claves privadas y, por lo tanto, no tienen acceso a los fondos que se les envían.
Este tipo de billeteras falsas se crearon para criptomonedas populares como Ethereum y Neo y, desafortunadamente, muchos usuarios perdieron sus fondos. Aquí hay algunas medidas preventivas que se pueden tomar para evitar convertirse en víctima:
Las precauciones destacadas en el segmento anterior de la aplicación de intercambio son igualmente aplicables. Sin embargo, una precaución adicional que puede tomar al tratar con aplicaciones de billetera es asegurarse de que se generen direcciones nuevas cuando abra la aplicación por primera vez y de que esté en posesión de las claves privadas (o semillas mnemotécnicas). Una aplicación de billetera legítima le permite exportar las claves privadas, pero también es importante asegurarse de que la generación de nuevos pares de claves no se vea comprometida. Por lo tanto, debería utilizar un software de buena reputación (preferiblemente de código abierto).
Incluso si la aplicación le proporciona una clave privada (o semilla), debe verificar si se pueden derivar las direcciones públicas y acceder a ellas. Por ejemplo, algunas billeteras Bitcoin permiten a los usuarios importar sus claves privadas o semillas para visualizar las direcciones y acceder a los fondos. Para minimizar los riesgos de que las claves y las semillas se vean comprometidas, puede realizar esto en una computadora con espacio de aire (desconectada de Internet).
Aplicaciones de criptojacking
El criptojacking ha sido un gran favorito entre los ciberdelincuentes debido a las bajas barreras de entrada y los bajos gastos generales requeridos. Además, les ofrece el potencial de obtener ingresos recurrentes a largo plazo. A pesar de su menor potencia de procesamiento en comparación con las PC, los dispositivos móviles se están convirtiendo cada vez más en un objetivo del criptojacking.
Además del criptojacking de navegadores web, los ciberdelincuentes también están desarrollando programas que parecen ser aplicaciones legítimas de juegos, utilidades o educativas. Sin embargo, muchas de estas aplicaciones están diseñadas para ejecutar secretamente scripts de minería de criptomonedas en segundo plano.
También hay aplicaciones de cryptojacking que se anuncian como mineros legítimos de terceros, pero las recompensas se entregan al desarrollador de la aplicación en lugar de a los usuarios.
Para empeorar las cosas, los ciberdelincuentes se han vuelto cada vez más sofisticados y han desplegado algoritmos de minería livianos para evitar ser detectados.
El criptojacking es increíblemente dañino para sus dispositivos móviles, ya que degrada el rendimiento y acelera el desgaste. Peor aún, podrían actuar como caballos de Troya para malware más nefasto.
Se pueden tomar las siguientes medidas para protegerse contra ellos.
Descargue aplicaciones únicamente de tiendas oficiales, como Google Play. Las aplicaciones pirateadas no se analizan previamente y es más probable que contengan scripts de criptojacking.
Controle su teléfono para detectar un agotamiento excesivo o sobrecalentamiento de la batería. Una vez detectado, cierre las aplicaciones que están causando esto.
Mantén tu dispositivo y tus aplicaciones actualizados para corregir las vulnerabilidades de seguridad.
Utilice un navegador web que lo proteja contra el cryptojacking o instale complementos de navegador confiables, como MinerBlock, NoCoin y Adblock.
Si es posible, instale un software antivirus móvil y manténgalo actualizado.
Sorteos gratuitos y aplicaciones falsas de criptominería
Estas son aplicaciones que pretenden extraer criptomonedas para sus usuarios, pero en realidad no hacen nada más que mostrar anuncios. Incentivan a los usuarios a mantener las aplicaciones abiertas al reflejar un aumento en las recompensas del usuario con el tiempo. Algunas aplicaciones incluso incentivan a los usuarios a dejar calificaciones de 5 estrellas para obtener recompensas. Por supuesto, ninguna de estas aplicaciones estaba realmente minando y sus usuarios nunca recibieron ninguna recompensa.
Para protegerse contra esta estafa, comprenda que para la mayoría de las criptomonedas, la minería requiere hardware altamente especializado (ASIC), lo que significa que no es factible minar en un dispositivo móvil. Cualquier cantidad que extraigas sería, en el mejor de los casos, trivial. Manténgase alejado de dichas aplicaciones.
Aplicaciones de cortapelos
Estas aplicaciones alteran las direcciones de criptomonedas que usted copia y las reemplazan con las del atacante. Así, si bien una víctima puede copiar la dirección correcta del destinatario, la que pega para procesar la transacción es reemplazada por la del atacante.
Para evitar ser víctima de este tipo de aplicaciones, aquí hay algunas precauciones que puede tomar al procesar transacciones.
Siempre verifique dos y tres veces la dirección que está pegando en el campo del destinatario. Las transacciones blockchain son irreversibles por lo que siempre debes tener cuidado.
Es mejor verificar la dirección completa en lugar de solo partes de ella. Algunas aplicaciones son lo suficientemente inteligentes como para pegar direcciones similares a la dirección deseada.
intercambio de SIM
En una estafa de intercambio de SIM, un ciberdelincuente obtiene acceso al número de teléfono de un usuario. Lo hacen empleando técnicas de ingeniería social para engañar a los operadores de telefonía móvil para que les proporcionen una nueva tarjeta SIM. La estafa de intercambio de SIM más conocida involucró al empresario de criptomonedas Michael Terpin. Alegó que AT&T fue negligente en el manejo de las credenciales de su teléfono móvil, lo que le provocó la pérdida de tokens valorados en más de 20 millones de dólares estadounidenses.
Una vez que los ciberdelincuentes obtienen acceso a su número de teléfono, pueden usarlo para evitar cualquier 2FA que dependa de él. Desde allí, pueden abrirse camino hasta sus carteras e intercambios de criptomonedas.
Otro método que pueden emplear los ciberdelincuentes es monitorear sus comunicaciones por SMS. Las fallas en las redes de comunicación pueden permitir que los delincuentes intercepten sus mensajes, lo que puede incluir el PIN de segundo factor que se le envió.
Lo que hace que este ataque sea particularmente preocupante es que los usuarios no están obligados a realizar ninguna acción, como descargar un software falso o hacer clic en un enlace malicioso.
Para evitar ser víctima de este tipo de estafas, aquí hay algunos pasos a considerar.
No utilice su número de teléfono móvil para SMS 2FA. En su lugar, utilice aplicaciones como Google Authenticator o Authy para proteger sus cuentas. Los ciberdelincuentes no pueden acceder a estas aplicaciones incluso si poseen su número de teléfono. Alternativamente, puede utilizar hardware 2FA como YubiKey o Titan Security Key de Google.
No reveles información de identificación personal en las redes sociales, como tu número de teléfono móvil. Los ciberdelincuentes pueden recopilar dicha información y utilizarla para hacerse pasar por usted en otro lugar.
Nunca debes anunciar en las redes sociales que posees criptomonedas, ya que esto te convertiría en un objetivo. O si se encuentra en una posición en la que todos ya saben que los posee, evite revelar información personal, incluidos los intercambios o billeteras que utiliza.
Haga arreglos con sus proveedores de telefonía móvil para proteger su cuenta. Esto podría significar adjuntar un PIN o contraseña a su cuenta y dictar que sólo los usuarios con conocimiento del PIN puedan realizar cambios en la cuenta. Alternativamente, puede solicitar que dichos cambios se realicen en persona y rechazarlos por teléfono.
Wifi
Los ciberdelincuentes buscan constantemente puntos de entrada a los dispositivos móviles, especialmente los de los usuarios de criptomonedas. Uno de esos puntos de entrada es el acceso WiFi. El WiFi público es inseguro y los usuarios deben tomar precauciones antes de conectarse a él. De lo contrario, corren el riesgo de que los ciberdelincuentes obtengan acceso a los datos de sus dispositivos móviles. Estas precauciones se tratan en el artículo sobre WiFi público.
Pensamientos finales
Los teléfonos móviles se han convertido en una parte esencial de nuestras vidas. De hecho, están tan entrelazados con su identidad digital que pueden convertirse en su mayor vulnerabilidad. Los ciberdelincuentes son conscientes de esto y seguirán encontrando formas de explotarlo. Proteger sus dispositivos móviles ya no es opcional. Se ha convertido en una necesidad. Mantenerse seguro.
