Los intentos de estafa son comunes en el mundo de las criptomonedas. Se han detectado tanto en las transacciones P2P como en plataformas de exchange, o a través de gurús que prometen a los usuarios hacerse millonarios con una mínima inversión. Sin embargo, expertos en seguridad han encontrado una nueva amenaza, más elaborada, que apunta a algunas de las wallets de criptomonedas más populares de la actualidad. Para ello se valen de sitios web falsos y de una herramienta que les permite un rápido alcance global: los anuncios de Google.

Y este método ha probado ser muy efectivo, ya que solo durante el último fin de semana se ha detectado el robo de alrededor de 500 mil dólares en criptomonedas. El reporte corresponde a Check Point Research (CPR), que se basó en los datos publicados en Reddit por un gran número de usuarios afectados. Utilizando referencias cruzadas, los investigadores pudieron estimar la cifra desviada desde las carteras digitales de las personas engañadas.

¿En qué consiste la estafa?

Los malhechores compran anuncios de Google para palabras claves relacionadas con las wallets de criptomonedas más populares de la actividad; entre ellas, MetaMask (Ethereum) y Phantom (Solana). Vale destacar, de todos modos, que este método no se limita a las carteras, sino que también se ha detectado con plataformas de swapping como PancakeSwap, entre otras.

Utilizando Google Ads, los estafadores posicionan en los primeros lugares de la búsqueda de Google los enlaces que llevan hacia sitios web falsos que se hacen pasar por los originales de las mencionadas wallets de criptomonedas. En el caso de Phantom, por ejemplo, lo han hecho con URLs similares a las oficiales pero con modificaciones apenas visibles como "phanton.app" o "phantonn.app" en lugar de "phantom.app".

Al ingresar a las páginas web ficticias se encuentran con diseños prácticamente calcados a los originales. Esto permite que los usuarios procedan sin que se generen sospechas de la veracidad de la plataforma.

Imagen: Check Point Research

Las wallets de criptomonedas son el blanco de una nueva amenaza

Una vez dentro del sitio web malicioso, pueden ocurrir dos cosas. La primera, que los estafadores intenten robar la frase de contraseña (passphrase) de las wallets de criptomonedas ya existentes. Así, los ladrones pueden utilizar dicho recurso de recuperación para ingresar a la cartera del usuario y robar el dinero que se encuentre allí almacenado.

La segunda "trampa" aparece al intentar crear una wallet de criptomonedas. La plataforma maliciosa les brindará una nueva passphase pero los conectará con una cartera perteneciente a los hackers. Así, al transferir criptomonedas quedarán directamente en poder de los estafadores, quienes podrán desviarlo hacia otra parte.

En un vídeo compartido por CPR se puede ver, incluso, cómo las páginas web falsas redirigen a los sitios oficiales para completar el proceso y no generar sospechas.

¿Cómo evitar esta amenaza y proteger tus wallets de criptomonedas?

Existen varios aspectos a tener en cuenta para evitar ser víctima de este tipo de estafas. En primer lugar, la recomendación es controlar siempre las URL para asegurarse de que se ingresa a los sitios web oficiales de las wallets de criptomonedas, o de cualquier otra plataforma en la que se gestionan este tipo de activos. El mismo control se debe hacer sobre las extensiones que se instalan en el navegador web.

También es importante recalcar que no se debe compartir la frase de contraseña o la frase semilla de un monedero digital. Las wallets jamás te la solicitarán para operar y solo se usarán como método de recuperación.

Por último, desde CPR recomiendan evitar los enlaces que provengan de anuncios de Google. Estos aparecen siempre en los primeros lugares de la página de resultados del buscador, de modo que es fácil equivocarse y dar click sobre ellos. Tómate unos segundos extra para asegurarte de ingresar en el link correcto.

Photo by Old Money on Unsplash

No es la primera vez que se usan los anuncios de Google con fines maliciosos

Que Google Ads se utilice para promocionar sitios web maliciosos no es algo necesariamente nuevo. Poco tiempo atrás les contamos que los anuncios de Google también se implementaban para distribuir el malware ZLoader por medio de enlaces maliciosos.

En el caso de los monederos digitales, los timadores están llevando este método a otro nivel. "Lo más alarmante es que varios grupos de estafadores están pujando por palabras clave en Google Ads, lo que probablemente sea una señal del éxito de estas nuevas campañas de phishing que están orientadas a robar wallets de criptomonedas. Desafortunadamente, espero que esto se convierta en una tendencia de rápido crecimiento en el ciberdelito", indicó Oded Vanunu, de Check Point Research.