Guía. Seguridad
Cómo detectar una estafa relacionada con las criptomonedas y protegerse
La mayor parte de las criptomonedas se pierden por haber olvidado las contraseñas, pero muchas otras simplemente son robadas. A continuación te presentamos las estafas más habituales y los hábitos que permiten evitarlas.
Como empresa especializada en la recuperación de activos, nos encontramos con personas en el peor día de su vida en el mundo de las criptomonedas, y una parte lamentable de esos casos no se debe a contraseñas olvidadas, sino a robos que se podrían haber evitado. Esta guía repasa las estafas que realmente funcionan y las sencillas medidas que permiten evitarlas.
Phishing y sitios web falsos
The classic attack is a fake site that looks like the real one. Scammers register domains with swapped or accented characters — a Cyrillic letter that looks like a Latin one, or an extra character you won’t notice in a hurry — so binance.com reads as “binance.com” at a glance. Rules that defeat it: never click links in emails, DMs or ads to reach a crypto site; type the address yourself or use a saved bookmark; and check the full URL and the SSL certificate before entering anything, any that looks strange just leave the page immediately.
Servicios de recuperación falsos
Esto me toca de cerca, porque hay estafadores que se hacen pasar por empresas como la nuestra. Las señales de alerta son siempre las mismas: se ponen en contacto contigo primero (por Telegram, X, Facebook, Quora o Instagram), te garantizan la recuperación, te exigen el pago por adelantado o te piden que introduzcas tu frase de semillas o tu clave privada en una página web o un formulario. Un servicio de recuperación auténtico nunca hace nada de esto. Nunca enviamos mensajes a nadie por iniciativa propia, nunca cobramos por adelantado, nunca pedimos tu frase de recuperación completa y nunca vendemos «software de recuperación». Si alguien que utiliza nuestro nombre lo hace, se trata de un suplantador, y su objetivo es vaciar la cartera que estás intentando salvar.
La suplantación de tarjetas SIM y el mito de la autenticación de dos factores
La autenticación de dos factores por SMS parece segura, pero no lo es. Los atacantes clonan tu tarjeta SIM o la obtienen mediante ingeniería social —a veces engañando a tu operador para que te envíe una de sustitución— y, a continuación, interceptan los códigos que se envían por SMS a «tu» número. Durante las temporadas altas de conferencias, esta técnica se ha utilizado para atacar directamente a titulares conocidos. Protégete: configura un PIN o una contraseña de transferencia de número con tu operador de telefonía móvil y utiliza una aplicación de autenticación o una llave de seguridad física en lugar de los SMS siempre que el servicio lo permita.
Reutilización de contraseñas y filtraciones de credenciales
Cuando se produce una filtración en cualquier sitio web que utilices —y eso ocurre—, lo primero que intentan los atacantes es utilizar esas mismas credenciales en todos los demás sitios. Si tus datos de acceso a Exchange coinciden con los de tu correo electrónico o con los de una red social, una sola filtración pone en peligro todas ellas. Nunca reutilices el mismo nombre de usuario y contraseña en servicios críticos; asigna a tu cuenta de Exchange, al correo electrónico vinculado a ella y a tus cuentas en redes sociales una contraseña única y segura para cada una, a ser posible generada por un gestor de contraseñas.
Ataques al DNS y a la red
Ni siquiera una dirección introducida correctamente es siempre segura. En un conocido incidente ocurrido en 2018, unos atacantes utilizaron un secuestro de BGP/DNS para redirigir el tráfico de una popular página web de monederos a sus propios servidores; los usuarios que ignoraron una advertencia sobre el certificado e iniciaron sesión enviaron sus claves directamente a los ladrones, con lo que perdieron una suma considerable. La medida de protección es aburrida, pero decisiva: nunca ignores una advertencia sobre un certificado SSL/TLS en una página web de criptomonedas. Si tu navegador te indica que el certificado no es válido o procede de una autoridad desconocida, detente: esa advertencia significa que el sistema está haciendo su trabajo.
Antes de enviarlo, comprueba que todo esté bien
Hay toda una categoría de pérdidas que se debe al malware que altera las direcciones y a la simple precipitación. Comprueba siempre la dirección de destino completa, no solo los primeros y últimos caracteres, ya que los programas que secuestran el portapapeles la sustituyen por otra muy parecida. Envía primero una pequeña cantidad de prueba cuando utilices una nueva dirección o red. Y confirma que estás en la cadena correcta antes de enviar, ya que una misma dirección puede existir en muchas redes.
Precaución especial al viajar y en los eventos
Las conferencias sobre criptomonedas y los espacios públicos son terreno de caza. Se ha vigilado físicamente a titulares conocidos y se les ha sometido a ingeniería social en eventos, y es muy fácil espiar las redes Wi-Fi públicas. Considera cualquier dispositivo que utilices para criptomonedas como un objetivo cuando estés fuera: evita iniciar sesión en plataformas de intercambio o carteras en redes públicas, no hables de tus activos con desconocidos que parezcan inusualmente interesados y desconfía de los nuevos contactos «serviciales» que rápidamente desvían la conversación hacia tus carteras. La persona más simpática del bar es, a veces, la más peligrosa.
Tu lista rápida de comprobación de seguridad
Resúmelo en los hábitos que realmente mantienes: accede a las páginas de criptomonedas solo escribiendo la dirección o usando un marcador, nunca un enlace; utiliza una aplicación de autenticación o una llave de hardware, nunca SMS, y configura un PIN de transferencia de operador; utiliza una contraseña única y segura para tu plataforma de intercambio, su correo electrónico y tus redes sociales; nunca ignores una advertencia de certificado; comprueba la dirección de destino completa y envía primero una cantidad de prueba; y nunca, bajo ninguna circunstancia, introduzcas tu frase de semillas en una página web ni se la facilites a alguien que se haya puesto en contacto contigo primero. Si sigues estos consejos, habrás cerrado la puerta a la inmensa mayoría de los robos de criptomonedas.
Preguntas frecuentes
¿Son seguras las carteras de hardware frente a estas estafas?
Es mucho más seguro, ya que las claves nunca salen del dispositivo; sin embargo, aún así puedes ser víctima de un ataque de phishing que te lleve a autorizar una transacción maliciosa o a revelar tu semilla. Compra solo en fuentes oficiales y nunca introduzcas tu semilla en ningún sitio.
¿Cómo puedo saber si un servicio de recuperación es una estafa?
Señales de alerta: te contactan ellos primero, garantizan la recuperación, exigen el pago por adelantado o te piden tu frase de semillas o tu clave privada. Los servicios legítimos nunca hacen nada de esto: trabajan a comisión y nunca necesitan tu frase de semillas completa.
¿Es segura la autenticación de dos factores (2FA) por SMS para las criptomonedas?
En realidad, no. El cambio de tarjeta SIM permite a los atacantes interceptar los códigos SMS. Utiliza una aplicación de autenticación o una llave de seguridad física, y configura un PIN de transferencia de número con tu operador de telefonía móvil.
Alguien en Telegram dice que es de KeychainX, ¿es verdad?
No. Nunca nos ponemos en contacto con nadie por iniciativa propia a través de Telegram, X, Facebook ni ninguna otra plataforma, y nunca solicitamos datos de acceso ni pagos por adelantado. Cualquiera que lo haga se está haciendo pasar por nosotros.
¿Cuál es el mejor hábito para evitar las estafas?
Nunca hagas clic en enlaces para acceder a una página web de criptomonedas —escribe la dirección directamente o utiliza un marcador— y nunca introduzcas tu frase de semillas en ninguna página web ni en ningún formulario.
Ignoré una advertencia sobre un certificado y he perdido dinero. ¿Me pueden ayudar?
Si las claves han sido objeto de un ataque de phishing, los fondos suelen desaparecer una vez transferidos. Los servicios de recuperación ayudan a recuperar el acceso a tu propio monedero, pero no en caso de robo cuando los fondos ya están fuera de tu control.
¿No estás seguro de si te están estafando?
Si has perdido el acceso a tu propio monedero (y no se lo ha quedado un estafador), eso es lo que recuperamos: solo cobramos si lo conseguimos, sin pago por adelantado. Ponte en contacto con nosotros y te lo explicaremos con total sinceridad.
