ESET, compañía líder en detección proactiva de amenazas, advierte sobre los tipos de fraude más comunes entorno a estos cripto activos para así establecer parámetros que permitan a los usuarios mantenerse protegidos y operar con tranquilidad a la hora de utilizarlos.
Los tokens no fungibles, más conocidos como NFT por sus siglas en inglés o nifties, comienzan aproximadamente en 2012 con la creación de Colored Coins, últimamente han comenzado a captar más la atención de los usuarios debido a la explosión que ha tenido esta tecnología en diversos segmentos como el arte, la creación de coleccionables relacionados con deportes o el segmento de videojuegos. En 2020, el mercado de NFT creció casi un 300% en comparación con 2019 y actualmente las operaciones que involucran NFT superan los 300 millones de dólares en volumen de transacciones. Como era de esperarse, esta combinación de factores despertó el interés de cibercriminales, tal como ocurrió con las criptomonedas.
Para comprar, vender o almacenar un NFT se necesita una billetera digital. Mantener seguras estas billeteras y el uso de sus sistemas asociados es una de las cuestiones que genera más preocupación entorno a la protección de estos criptoactivos. “Por ejemplo, en caso de que alguien intentara robar una obra de arte física, debería vulnerar la seguridad física del museo que aloje dicha obra, mientras que para robar un bien digital se requiere vulnerar la seguridad del sistema que lo aloje y aquellos que están involucrados a su alrededor. En este contexto, amenazas como el malware, el uso de técnicas de Ingeniería Social como el phishing y otras modalidades de engaño comienzan a ser más frecuentes debido al mayor interés de atacantes que buscan apropiarse o manipular estos criptoactivos.”, comenta Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Entorno a las estafas y fraudes que se han conocido en los últimos tiempos hay algunos ejemplos de artistas que han sufrido la copia sin permiso sus obras y se han vendido como NFT. Esto sucedió, por ejemplo, después de la muerte de la artista Qing Han en 2020, cuando un estafador asumió su identidad y varias de sus obras estuvieron disponibles para su compra como NFT. Entre otros delitos se destaca el “sleepminting”, un proceso que puede permitir que un estafador acuñe un NFT en la billetera de un artista y lo transfiera a su propia cuenta sin que el artista se dé cuenta. “Los ciberdelincuentes aprovechan que el mercado de NFT no está regulado y que no cuenta con recursos legales para hacerle frente a tales delitos. Muchas obras de arte digitales robadas se venden de forma fraudulenta como NFT. Si bien hay incipientes estrategias de seguridad, in dudas hay mucho por hacer, ya que las vulnerabilidades en los sistemas se renuevan día a día y, como es habitual en la seguridad, el eslabón más débil está en el comportamiento de los usuarios.”, agrega el investigador de ESET.
Si bien fraudes como el rug pull y la suplantación de identidad o los perfiles falsos son los que más problemas generan en la comunidad NFT, a continuación, ESET repasa cuáles son las modalidades de estafa más comunes alrededor de los NFT y comparte algunas recomendaciones acerca de cómo evitarlas y cómo mantenerse a salvo:
- Engaños a través de mensajes directos en Discord: Discord es muy atractivo para los cibercriminales y existen distintas modalidades de engaño a través de esta plataforma. En diciembre pasado delincuentes comprometieron el canal de Discord de Fractal, un Marketplace de juegos NFT, y engañaron a 373 usuarios robándoles de sus wallets aproximadamente 150 mil dólares en la criptomoneda Solana. De hecho, los engaños buscando robar acceso a cuentas de Discord son bastante frecuentes. Pero la realidad es que hay varias modalidades de estafas en Discord que los propietarios de NFT deberían conocer. Haciéndose pasar por amigos o utilizando cuentas comprometidas envían mensajes directos inventando una historia y/o se hacen pasar por un proyecto, una marca, un artista o un influencer de NFT.
Discord, permite enviar mensajes directos (DM) para mantener conversaciones individuales y privadas con otros usuarios de la comunidad y también permite enviar mensajes directos e iniciar chats de grupo independientemente del servidor en el que se esté. Por eso, los usuarios jamás deben hacer clic en enlaces de fuentes desconocidas, sin importar cuán legítimos se vean, o mensajes directos de “amigos” que piden dinero, o “anuncios” de proyectos NFT. Siempre se debe verificar. Si se recibe un mensaje extraño de alguien que conocido asegurarse de que sea la persona que dice ser comprobando su identificador.
- Perfiles falsos en redes sociales: Tanto en Twitter como en las demás redes sociales los usuarios deben aprender a convivir con perfiles falsos que intentarán hacerlos caer en una trampa. Hay que acostumbrarse a prestar atención ya que muchas veces copian información del perfil oficial. Por lo tanto, si no se está atento no se identificará que quizás la única diferencia puede llegar a ser solo una letra entre un perfil y otro.
En 2021 se detectó una campaña maliciosa que utilizaba bots de Twitter. Los criminales respondían de forma automática publicaciones que incluían ciertas palabras clave y que hacían referencia a un problema con algún criptoactivo. Al rato cibercriminales respondían haciéndose pasar por un representante de soporte y terminaban engañando a la víctima robando la frase de recuperación o seed phrase para obtener acceso a billeteras de criptomonedas. Además, a través de cuentas falsas un delincuente puede enviar un mensaje fingiendo estar dispuesto a charlar o pidiendo ayuda y consejos sobre algo. Si se presta atención a ciertos elementos, como el número de seguidores, tweets copiados y pegados de identificadores reales, demasiados retweets de otras cuentas sin contenido original, se identifica que la cuenta no es genuina.
Sitios falsos que se hacen pasar por oficiales (phishing): Es muy común la creación de sitios falsos que son copias muy parecidas de tiendas de NFT, billeteras digitales, etc. Estos falsos sitios pueden ser distribuidos a través de plataformas sociales como Discord, Twitter o incluso el correo electrónico.
