Simple en la práctica: La cripto-educación es clave para frenar las estafas de phishing
A medida que la cripto-economía mundial sigue prosperando, con Bitcoin (BTC) ocupando actualmente la región de los 15.500 dólares, siguen persistiendo las dudas sobre la seguridad general de los activos digitales, especialmente a raíz de una nueva estafa en la que los hackers informáticos hicieron uso de un correo electrónico para phishing para dirigir a los usuarios a un sitio web falso de Ledger. Según varios informes, las víctimas fueron estafadas con 1.150.000 XRP, por un valor aproximado de 290.000 dólares.
Dave Jevans, director general de la empresa de inteligencia de Blockchain CipherTrace y presidente del Anti-Phishing Working Group, dijo a Cointelegraph: “Ledger debería tener claramente una estrategia defensiva más agresiva de adquisición de dominios, ya que los phishers utilizaron dominios similares para intentar engañar a los usuarios de Ledger“. Explicó además que un esquema ilegal de obtención de dinero empleaba el uso de un homoglífico en la URL oficial de la empresa, en este caso, una letra que se parecía a la letra “e”. Añadió:
“Las estafas de phishing fueron probablemente el resultado de los correos electrónicos liberados de una brecha del equipo e-commerce/marketing. Un tercero no autorizado tuvo acceso a una parte de la base de datos de comercio electrónico y marketing de Ledger a través de una clave API”.
A principios de julio de este año, el equipo de Ledger reveló que había estado en el extremo receptor de una violación de datos, como resultado de la cual se comprometieron casi un millón de direcciones de correo electrónico, junto con los datos personales de un subconjunto de 9.500 clientes. Además, en 2018, los estafadores pudieron crear una copia del sitio web de Binance (con un certificado SSL), que permaneció activo durante algún tiempo antes de ser retirado.
Por último, algunos malhechores lograron obtener 1,4 millones de tokens XRP en marzo, utilizando una extensión de Google Chrome que reproducía la imagen de Ledger. De hecho, la extensión estuvo en vivo en la tienda de aplicaciones de Google durante casi un mes. Hablando sobre los diversos protocolos de seguridad que la compañía emplea, un portavoz de Ledger dijo a Cointelegraph:
“Ledger tiene su propio laboratorio de ataques, Ledger Donjon, donde los expertos en seguridad tratan de hackear y probar nuestras propias soluciones, las soluciones de nuestros socios y las soluciones de nuestros competidores. Además, Ledger realiza regularmente pruebas de penetración”.
¿Los clientes también son responsables?
No hace falta decir que los operadores de wallets necesitan estar al tanto de su juego de seguridad cuando se trata de proteger los activos de sus clientes. Sin embargo, los ataques de phishing son frecuentes, no sólo en el espacio cripto, sino también en cualquier servicio en línea que implique un medio de pago.
Al respecto, Pavol Rusnák, cofundador y director de tecnología de SatoshiLabs, la empresa que está detrás de la wallet Trezor, dijo a Cointelegraph que es de suma importancia que los propietarios de criptomonedas sean cuidadosos y verifiquen cada pieza de información que reciban en relación con sus activos digitales, ya sea de sus proveedores de carteras o de Internet en general:
“Si un correo electrónico afirma que necesitas hacer algo, siempre puedes confirmarlo a través del soporte del proveedor o con otros usuarios en Reddit o Twitter. En cuanto a lo que los proveedores pueden (y deben) hacer es disminuir la posibilidad de la fuga al no compartir los datos de sus clientes con terceros y disminuir el impacto de tales fugas borrando los datos de sus clientes después de un cierto período de tiempo”.
Una perspectiva similar compartió Jevans, que cree que los asuntos relacionados con la seguridad y la privacidad de los clientes deben verse con una lente de “responsabilidad compartida”, de modo que los operadores de carteras de hardware así como los propietarios de criptomonedas trabajen en sincronía entre sí para garantizar la seguridad óptima de sus activos frente a las amenazas de terceros.
Jevans alentó a los usuarios a que adoptaran medidas de seguridad razonables para proteger su valor y asumieran la responsabilidad de sus acciones mediante el uso de prácticas que se basan en la seguridad de los datos individuales, añadiendo: “Desplegar la autenticación de dos factores, así como no hacer nunca clic en un enlace de Ledger a menos que hayan solicitado específicamente el restablecimiento de su contraseña. Los usuarios siempre deben teclear ellos mismos la URL cuando visiten el sitio del Ledger directamente“.
La educación en criptomonedas sigue siendo crucial
A pesar de ser revolucionario en diseño y potencial tecnológico, las criptomonedas siguen siendo un concepto extraño para la mayoría. Sin embargo, al proporcionar a las personas la autosoberanía monetaria, la tecnología también les ha cargado de mucha responsabilidad personal, especialmente en términos de seguridad financiera individual. En consecuencia, es lógico que las empresas del espacio de la tecnología Blockchain y de las criptomonedas necesiten educar a sus usuarios acerca de las consecuencias de sus acciones para la seguridad.
Rusnák cree que la industria aún tiene que recorrer un largo camino en lo que respecta a la seguridad. Señaló que un número de empresas que operan en este ámbito hoy en día tienden a hacer grandes simplificaciones, como, “Sus monedas están seguras porque su wallet tiene un elemento seguro“, o, “Sus monedas están seguras porque nuestro exchange está asegurado“. A esto, añadió, “Esto no ayuda en el asunto, haciendo que la gente crea algo que no es verdad, dejándolos indefensos.“
Estadísticamente hablando, alrededor del 85% al 90% de los propietarios de criptomonedas parecen ser presa de esquemas muy comunes de robo de criptomonedas, típicamente estafas de inversión falsas en lugar de trampas de phishing, según los datos proporcionados a Cointelegraph por CipherTrace. Como resultado, Jevans cree que lo mejor para los principales operadores de wallets de hardware sería utilizar sus plataformas para educar a sus usuarios sobre lo que deben buscar cuando se trata de intentos de phishing, en particular cuando estas estafas invocan el nombre del proveedor de la wallet:
“Sobre la base de cientos de casos de robo y fraude con criptomonedas, los usuarios de criptomonedas deben ser mucho más sofisticados en lo que respecta a sus operaciones de seguridad personal (SecOps) cuando deciden custodiar sus claves privadas. Muchas víctimas de delitos de criptomonedas no saben qué hacer cuando descubren que han sufrido un robo”.
Los operadores de wallets deben convertirse en pioneros de la industria
Si bien empresas como Ledger y Trezor tienen en sus sitios web información dedicada a la suplantación de identidad y otras tácticas de estafa similares, estas páginas no son de fácil acceso y suelen estar enterradas en las secciones de preguntas frecuentes sobre la solución de problemas. Por lo tanto, parece razonable esperar que los proveedores de wallets establecidas hagan más en términos de proveer a los clientes con un acceso racionalizado a una educación de alta calidad que se centra en la seguridad.
En este tema, Rusnák es categórico en que la transparencia y la educación son las claves cuando se trata de maximizar la seguridad de los fondos de uno. Opina que los usuarios no pueden estar realmente seguros a menos que se tomen el tiempo para sentarse y entender el meollo de la seguridad cripto y la seguridad de la wallet personal.
En un plano más técnico, explicó que el diseño operacional básico de las diversas opciones de wallets de Trezor es totalmente abierto y que la empresa es totalmente transparente en cuanto a los diversos acuerdos operacionales con sus clientes, a fin de evitar todos los problemas monetarios legales que puedan surgir más adelante: “Tomará algún tiempo hasta que cada compañía en el espacio de las criptomonedas entienda esto, pero también es nuestro trabajo exigir transparencia y apertura de los proveedores de servicios que usamos“.
Sigue leyendo: