Los esquemas de phishing criptográfico recaudan 7,77 millones de dólares en noviembre

Resumen ejecutivo

Según los datos de Scam Sniffer, los ataques de phishing dirigidos al sector de las criptomonedas causaron aproximadamente 7,77 millones de dólares en pérdidas a 6.344 víctimas en noviembre. Estos incidentes destacan un panorama de amenazas significativo y en evolución donde los atacantes despliegan métodos sofisticados para defraudar a los inversores. Un caso notable involucró a una sola víctima que perdió 1,22 millones de dólares a través de una firma 'permit' comprometida, lo que subraya los graves riesgos financieros asociados con las interacciones modernas de contratos inteligentes.

El evento en detalle

La firma de monitoreo de seguridad de blockchain Scam Sniffer informó que noviembre fue otro mes costoso para los inversores en criptomonedas debido a las actividades de phishing. Las pérdidas totales ascendieron a 7,77 millones de dólares, con miles de personas afectadas.

La pérdida individual más significativa provino de un exploit que involucraba una firma 'permit'. Esta técnica, basada en EIP-2612, permite a los usuarios aprobar el gasto de tokens a través de una firma fuera de la cadena sin pagar tarifas de gas. Si bien está diseñada para mayor comodidad, se ha convertido en un objetivo principal para los phishers. Los atacantes engañan a los usuarios para que firmen un mensaje aparentemente inofensivo, lo que en realidad otorga al estafador permiso para vaciar los tokens de la billetera del usuario. El robo de 1,22 millones de dólares demuestra la potencia de este vector de ataque, ya que una sola firma puede autorizar transferencias extensas de activos sin requerir una transacción directa en cadena de la víctima.

Implicaciones para el mercado

La persistencia y la creciente sofisticación de los ataques de phishing contribuyen a un sentimiento de mercado bajista al erosionar la confianza en la seguridad de las plataformas DeFi y Web3. Cada robo de alto perfil refuerza la percepción del espacio criptográfico como un entorno de alto riesgo, lo que puede disuadir la adopción generalizada y atraer un mayor escrutinio regulatorio. La explotación de características fundamentales de blockchain como las firmas 'permit' podría llevar a los reguladores a imponer estándares de seguridad más estrictos a los desarrolladores de DApps y proveedores de billeteras para proteger a los consumidores.

Comentario de expertos

La evolución técnica de las campañas de phishing es una preocupación clave para los expertos en seguridad. Los atacantes ya no dependen de estafas simples y fácilmente detectables. Según un informe de MediaPost, los phishers ahora incrustan caracteres Unicode invisibles y guiones suaves en las líneas de asunto de los correos electrónicos. Estos caracteres no son visibles para el ojo humano, pero revuelven eficazmente el contenido para los filtros de seguridad basados en palabras clave, lo que permite que los correos electrónicos maliciosos eviten la detección.

"Para usted, parece normal. Para un filtro de seguridad, parece revuelto, sin una palabra clave clara que coincida", explica el periodista de tecnología Kurt the CyberGuy. Esto permite a los atacantes entregar correos electrónicos engañosos que crean una sensación de urgencia, dirigiendo a los usuarios a páginas de inicio de sesión falsas.

Además, la amenaza se extiende más allá del correo electrónico. La firma de seguridad Koi Security identificó a un actor de amenazas, 'ShadyPanda', que ha distribuido más de 100 extensiones de navegador maliciosas para Chrome y Edge. Estas extensiones, descargadas por más de 4 millones de usuarios, operan como puertas traseras para fraude de afiliados, robo de datos y ejecución remota de código. Representan un vector de amenaza persistente que puede registrar las pulsaciones de teclas del usuario, robar datos de cookies y exfiltrar huellas digitales del navegador.

Contexto más amplio

Estos incidentes de phishing son parte de una tendencia más amplia de escalada de ciberdelincuencia dirigida a plataformas digitales. Por ejemplo, la reciente violación de datos en el gigante del comercio electrónico Coupang resultó en el robo de información personal de 33,7 millones de clientes. Si bien no es un evento directo de phishing criptográfico, tales violaciones a gran escala proporcionan a los atacantes los datos sin procesar (nombres, direcciones de correo electrónico y números de teléfono) necesarios para elaborar campañas de phishing altamente dirigidas y convincentes.

La convergencia de ingeniería social sofisticada, exploits técnicos y datos personales fácilmente disponibles crea un riesgo sistémico para todo el ecosistema de activos digitales. Esto impone una mayor responsabilidad a las plataformas para desarrollar arquitecturas de seguridad más resilientes y a los usuarios para mantener un alto grado de vigilancia al interactuar con aplicaciones y firmar transacciones.