Estafas más comunes en criptomonedas y cómo protegerse de ataques

Dentro de los artículos de formación en criptomonedas que hemos ido escribiendo, os hemos enseñado sobre diferentes temáticas de gran utilidad. Entre ellos temas como qué son las stablecoins, los Fan Tokens, el Proof of Reserves y protocolos de criptomonedas interesantes como Monero (XMR). Durante los siguientes artículos para vuestra formación en criptomonedas nos vamos a centrar en un tema muy importante dentro del ecosistema de las criptomonedas; la seguridad. En la formación en criptomonedas de hoy vamos a enseñaros cuáles son las estafas más comunes y cómo podemos protegernos de posibles ataques.

1. Airdrops fraudulentos. 🆓

Vamos a ver cuál es la primera estafa más común que os mostraremos en esta formación en criptomonedas. Un airdrop es una distribución de un token de criptomonedas, normalmente de forma gratuita, a numerosas direcciones de billeteras. Los airdrops se asocian a menudo con el lanzamiento de un nuevo token o un protocolo DeFi, principalmente como una forma de ganar atención y nuevos seguidores, lo que resulta en una mayor base de usuarios y un mayor desembolso de capital. Pero no todos los tokens que llegan a nuestras billeteras son de fiar.

Los airdrops fraudulentos podemos visualizarlos a través de exploradores de bloques. Fuente: BSCscan. 

Las recientes estafas de las DeFi son especialmente comunes en la cadena de bloques de la Binance Smart Chain (BSC). Suelen engañar a la gente haciéndoles creer que de repente han recibido tokens por valor de miles de dólares. Pero no son negociables en los exchanges porque no tienen liquidez.

2. Ataques de phishing.📨

Veamos cuál es la segunda estafa más común que os mostraremos en esta formación en criptomonedas. Los ataques de phishing son estafadores que se hacen pasar por una empresa oficial para engañar a las víctimas y hacerles revelar información sensible. Este tipo de estafas son especialmente frecuentes en el ámbito de las criptomonedas. Google tiene unos algoritmos en los cuales ciertas palabras clave en las redes sociales, como «MetaMask» en Twitter, provocan que una oleada de bots estafadores mandándonos mensajes para que les respondamos de vuelta. A menudo, estos bots nos redirigirá a un formulario de Google, pidiendo nuestra frase semilla de nuestra wallet u otra información personal sensible, algo que nunca deberíamos compartir con nadie.

Consejo fundamental para vuestra formación en criptomonedas; no os fieis ni de vuestra sombra. 

3. Honeypots.🍯

Si, la miel es un alimento delicioso, pero tomad nota que en vuestra formación en criptomonedas os salvará de muchos dolores de cabeza. Las criptomonedas son volátiles, lo que significa que los precios pueden fluctuar de forma masiva en un periodo de tiempo determinado. Pero, si un nuevo token sólo sube y nadie parece venderla, puede ser una señal de que se está produciendo algo conocido como una estafa de honeypot.

Cómo funciona una estafa de honeypot. Fuente: Cointelegraph

Aquí es donde los inversores son atraídos por el precio cada vez mayor de un token, pero la única billetera que el contrato inteligente permite vender está controlada por los estafadores. El token Squid Game es un claro ejemplo de un honeypot. El proyecto DeFi atrajo la atención de los medios de comunicación debido a su supuesta asociación con el popular programa de televisión. Subió rápidamente de valor poco después del lanzamiento, pero los medios de comunicación se dieron cuenta rápidamente de que los inversores no podían vender ninguno de sus tokens. Finalmente, los fundadores vendieron sus tokens y huyeron con millones de dólares en monedas de Binance Coin (BNB).

El token pasó de inmediato desde su ATH en 2.800 dólares a 0 en cuestión de segundos. Fuente: Coinmarketcap

4. Exploits y vulnerabilidades del protocolo.💥

Repasemos la cuarta estafa más común que debéis tener en cuenta en vuestra formación en criptomonedas. Las finanzas descentralizadas (DeFi) se ejecutan en códigos visibles para todo el mundo, lo que significa que las personas con más conocimientos técnicos pueden aprovechar las vulnerabilidades del código y sustraer enormes sumas de dinero. De hecho, la cantidad de fondos perdidos en explotaciones de proyectos DeFi asciende a 5,93 mil millones de dólares en 2022, según la empresa de seguridad de blockchain CertiK. Los ataques más comunes dentro de estas vulnerabilidades pueden ir desde ataques de préstamos flash loans, hacks en servidores de Discord o mints de NFT fraudulentos.

Cifras de dinero sustraído por los scammers en 2022 de enero a noviembre. Fuente: Certik

5. Rug Pulls.🎭

Los «Rug pulls» son tan comunes en DeFi que «hacerse el duro» se ha convertido en una frase común en el lenguaje de las criptomonedas. Un rug pull es un tipo de estafa de salida en la que los autores crean un nuevo token, lanzan un fondo de liquidez para él y lo emparejan con un token base como el éter (el token nativo de Ethereum) o una stablecoin como el dai (DAI).

Explicación de los tipos de Rug Pulls que podemos encontrarnos. Fuente: Cointelegraph.

Una vez que la cantidad de liquidez en el fondo alcanza un determinado punto, los creadores vuelcan todos sus tokens en el fondo y retiran todo el éter, dai o cualquier token base que se haya utilizado del fondo. Esto hace que el precio del token recién creado se acerque a cero, dejando a los inversores con monedas sin valor, mientras que los que se dedican a tirar de la manta se van con un buen beneficio. Es una de las estafas que más en cuenta tenemos que tener en nuestra formación en criptomonedas.

6. Anuncios falsos de Google.📣

Vamos a decir una verdad como un templo explicando esta estafa; Google es muy oportunista. Ha tratado de perjudicar múltiples veces el ecosistema de las criptomonedas mediante censuras en los anuncios y otras acciones. Eso sí, cuando puede sacar provecho ha sido el primero en tirar adelante. La última estafa que comentaremos en esta formación en criptomonedas hace partícipe indirecto al buscador de Google. El primer resultado de Google para un proyecto de las DeFi podría no llevarnos a la dirección correcta – de hecho, podría dirigirle hacia una estafa.

Tipos de direcciones falsas que conducen a estafas. Fuente: Google

Lamentablemente, Google no comprueba la autenticidad de los sitios web antes de vender un anuncio, por lo que un anuncio de Google nunca debe interpretarse como una señal de legitimidad. Si no estáis seguros de cuál es el sitio web correcto, podéis consultar fuentes fiables, como la página oficial de Twitter del proyecto o en Coinmarketcap, para encontrar el sitio web real.

¿Cómo podemos proteger nuestros fondos ante este tipo de ataques?🛡️

Vamos a repasar en esta formación en criptomonedas algunos de los mejores consejos de seguridad para protegernos de estas potenciales estafas con tal de mantener seguros nuestros fondos de criptomonedas:

Utilizar la autenticación de dos factores en nuestras cuentas. 🛂

Básicamente, la autenticación de dos factores es una segunda capa de seguridad al iniciar sesión. Por lo general, implica recibir un mensaje de texto con un código especial cada vez que inicia sesión en su cuenta. La autenticación de dos factores reduce sustancialmente la probabilidad de que su bandeja de entrada sea pirateada. Vamos a ver como configurar la autenticación de dos factores de Google, una de las más populares:

1. Abrimos nuestra cuenta de Google asociada al Exchange y nos dirigimos al panel de “Seguridad”.🔐  

En este panel nos aparece el apartado “verificación de dos pasos”. En mi caso vemos como ya la tengo configurada, pero podemos seguir la explicación igualmente.

Pestaña de seguridad de Google. Fuente: Google.

2. Iniciar configuración.⚙️  

Pulsamos a continuación en la configuración del autenticador e iniciamos la configuración escaneando el código QR que nos aparecerá al principio.

Primer paso de la configuración de Google Authenticator. Fuente: Google.

3. Iniciamos la configuración de la aplicación siguiendo los pasos en pantalla.📲 

Cuando hayamos terminado los pasos de la configuración, ya tenemos acceso a la pantalla principal.

Google Authenticator se renueva con Material Theming y te permite exportar e importar tus cuentas
Interfaz principal de la app Google Authenticator. Fuente: Google Authenticator. 

4. Vincular cuenta de Google Authenticator al exchange.🤝 

Una vez hemos configurado nuestra cuenta de Google Authenticator, procederemos a vincular nuestra cuenta del Exchange que usemos con la aplicación. Vamos a la pestaña de “Configuración > Seguridad > Google Authenticator” y accedemos a la configuración de la app. En nuestro caso haremos el ejemplo desde el Exchange Bitget.

5. Escanear QR Google Authenticator. 🤳🏻  

A continuación, desde la aplicación de Google Authenticator, escaneamos el código QR que nos aparece en nuestro Exchange para realizar la vinculación entre las dos cuentas.

qr

Código QR para vincular Google Authenticator con el exchange. Fuente: Bitget.

Introducimos el código.✍️ 

Para finalizar la configuración, introducimos el código que recibiremos en nuestra cuenta de correo electrónico asociada al Exchange y abajo la clave de 6 cifras que acabamos de configurar anteriormente. ¡Date prisa, que si se pasa el tiempo tendrás que introducir una nueva contraseña! 2022/12/image-7.pngConfiguración final al vincular Google Authenticator con el exchange. Fuente: Google Authenticator.— Recordamos eso sí, que para cada cuenta que tengamos asociada a un Exchange deberemos seguir los mismos pasos para poder configurar las claves de configuración de la aplicación para asegurar la verificación de dos pasos.

Activar la protección con contraseña en nuestro teléfono.📴

La identificación de la huella digital es la mejor opción, pero a menudo no es suficiente. Por ejemplo, un tribunal puede obligarnos a desbloquear nuestro teléfono con nuestra huella digital en caso que se precise en un juicio. Además, no podemos cambiar exactamente nuestra huella digital después de que un atacante se apodere de ella. Un atacante generalmente tendrá 10 intentos antes de que nuestro teléfono se bloquee por completo. Entonces, si tu contraseña de 4 dígitos es una de estas comunes, ya sería momento de cambiarla para no exponer tu cuenta a mayores peligros…

Utilizar contraseñas diferentes para cada Exchange.🔑

Las contraseñas son intrínsecamente inseguras. Mark Zuckerberg usó la contraseña “dadada” en su cuenta de LinkedIn. A principios de este año, cuando los hackers informáticos publicaron 117 millones de combinaciones de e-mails y contraseñas, la suya estaba entre ellas. Luego, los hackers informáticos pudieron usar su e-mail y su contraseña para obtener acceso a sus cuentas de Twitter y Pinterest.

El Tweet de los hackers revelando su intromisión en el perfil de Zuckerberg. Fuente: Twitter. 

Así que no uséis la misma contraseña en más de un sitio. De esta manera, si alguna vez se compromete el acceso a una de vuestras cuentas, no tendréis vuestro capital tan expuesto.

Revisar los permisos firmados en nuestra wallets.📝

Este es uno de los errores que podemos cometer inconscientemente al utilizar protocolos descentralizados mediante nuestras wallets de criptomonedas. Siempre que interactuemos por primera vez con un protocolo, debemos firmar un permiso para poder interactuar con los Smart Contracts del protocolo.

Pestaña de sitios conectados en la wallet de Metamask. Fuente: Metamask. 

Aquí es donde debemos tener cuidado, dado que de manera predeterminada le permitiremos al protocolo realizar las acciones que firmemos en dicho mensaje, lo cual puede exponer potencialmente nuestros fondos. Para proteger nuestros fondos, es recomendable que al interactuar con los protocolos con esta firma, modifiquemos los permisos que le otorgamos al protocolo y que quitemos los permisos una vez hayamos terminado de interactuar con el protocolo en la pestaña de “sitios conectados”.

Estableciendo direcciones de confianza (White List).✅

Como medida de seguridad adicional, podemos establecer direcciones de confianza que suelen agruparse dentro de una lista (Whitelist). Este puede parecer un método un tanto engorroso y al principio puede parecer ineficiente (tarda 24 horas en permitir realizar envíos a una nueva dirección), pero lo cierto es que como capa adicional de seguridad para proteger nuestros activos es una gran opción.

https://cryptocom.intercom-attachments-7.com/i/o/470509953/b8442782ddeb637fac92fdd3/oae9lWxpdAJ_n82z3P6HVNaVgU5DwvKwmOyAjub6yH5hTmC0fbd5F9q_9YfoNZO-Ng1itSA3paKPOEFNdFGbNsfm4m0KtsB0oLSC1K1h7VkDtHQTlQZrMR4F6-uCWCO06y6OF7S-
El Exchange Crypto.com requiere esperar 24 horas antes de realizar una transferencia a nuevas direcciones agregadas. Fuente imagen: Crypto.com

Imaginemos que alguien ha conseguido traspasar varias capas de seguridad de nuestra cuenta y está ante sus manos la posibilidad de poder enviar nuestros fondos hacia una dirección que él/la decida. Con este método, anteriormente ya habíamos detectado una falla de seguridad en nuestra cuenta, pero aún tenemos tiempo de poder bloquear la posible sustracción de nuestros fondos. Pensadlo, más vale tardar un poco más, pero preservar lo que es nuestro…

Conclusiones de esta formación en criptomonedas sobre estafas en el ecosistema de las criptomonedas.💡

Ahora que ya hemos finalizado esta formación en criptomonedas sobre las estafas más comunes y cómo protegernos de ellas, repasemos los puntos más importantes. Hemos aprendido sobre las diferentes estafas más comunes que podemos encontrarnos habitualmente. Aunque también tenemos que tener en cuenta que, al igual que la tecnología que rodea las criptomonedas avanza, las posibles estafas también siguen el mismo ritmo.

Un ejemplo de un token de estafa; Deriswap (DWAP). Fuente:Arxiv.org

Por lo que pueden surgir nuevos métodos para tratar de robarnos nuestros fondos. Es por eso que debemos siempre ser cautos a la hora de confiar nuestros datos y ser muy desconfiados a la hora de otorgar permisos a protocolos de criptomonedas. También hemos enumerado algunas de las mejores acciones que podemos realizar para poder aumentar la seguridad en nuestras cuentas con tal de protegernos de estas estafas y evitar que nos roben nuestros preciados fondos.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.