Fraudes de criptomonedas, hackeo de redes sociales, malware e IA

El hackeo de redes sociales, los crypto drainers y el uso malicioso de IAs generativas están permitiendo a los delincuentes cometer fraudes de criptomonedas más sofisticados

2024 ha comenzado con turbulencias, si no, que se lo digan a Bitcoin, la principal criptomoneda del mundo. El pasado 9 de enero, en apenas 15 minutos, la cotización de la célebre criptomoneda ascendió de forma vertiginosa hasta los 48.000 dólares para caer finalmente hasta los 45.000 dólares. ¿Por qué? Unos actores maliciosos consiguieron hackear la cuenta en X de la Comisión de Valores y Bolsa de Estados Unidos (SEC) y publicaron un mensaje atribuido a su presidente, Gary Gensler, en el que se anunciaba que la SEC aprobaba un fondo cotizado al contado (ETF) de Bitcoin. El propio Gensler se vio obligado a usar su cuenta personal para desmentir una noticia largamente esperada por el sector financiero global.

Tan solo dos días después, el organismo regulador anunció, esta vez de forma real, que daba luz verde a la puesta en marcha de fondos cotizados vinculados a Bitcoin. Lo que supone facilitar la inversión en esta criptomoneda sin necesidad de adquirirla, como sucede con el oro o el petróleo. Curiosamente, a diferencia de lo que sucedió con el anuncio falso, la cotización de Bitcoin apenas se vio afectada y se mantuvo estable en torno a los 46.000 dólares.

No es la primera vez que un mensaje desde una cuenta hackeada altera el mercado. En 2013, un tuit publicado desde la cuenta de la agencia de noticias Associated Press informaba de dos explosiones en la Casa Blanca que habían herido al presidente del país. De inmediato, cundió el pánico en Wall Street y su cotización se desplomó de repente.

1. SIM Swapping: Así se hackeó la cuenta de la SEC

El lunes 22 de enero, casi dos semanas después del hackeo de la cuenta del regulador de Wall Street, la SEC hizo público que el ataque se fraguó usando una técnica harto conocida por las entidades bancarias: el SIM swapping.

Esta técnica fraudulenta presenta una operativa muy sencilla:

• El delincuente suplanta la identidad del cliente de una operadora telefónica para intentar conseguir un duplicado de su tarjeta SIM, alegando la pérdida o el deterioro de la SIM actual.
• La solicitud se lleva a cabo mediante una llamada telefónica que no levanta las sospechas del profesional que la gestiona porque, previamente, el actor malicioso había recopilado la información personal de su víctima que le podrían solicitar en el transcurso de la llamada: número de teléfono, nombre completo, documento de identificación…
• Una vez que se obtenga la tarjeta SIM, se podrá recibir en cualquier teléfono mensajes SMS. Lo que resulta trascendental porque estos mensajes funcionan como factor de autenticación en el acceso a múltiples aplicaciones, incluidas, las redes sociales como X o las aplicaciones bancarias.

De tal manera que, una vez que los actores maliciosos consiguieron duplicar la SIM del número de teléfono asociado a la cuenta de X del regulador financiero, pudieron acceder a ella solicitando el reseteo de la contraseña.

La operación de hackeo de la cuenta de la SEC aún fue más sencilla gracias a que desde junio de 2023, el regulador había solicitado a X que desactivara la autenticación multifactor.

Si esta medida de seguridad hubiese estado activada y, además, se hubiese establecido el uso de una app de autenticación como segundo factor para validar el acceso, los actores maliciosos no podrían haber hackeado la cuenta y publicado el mensaje falso sobre la aprobación del ETF de Bitcoin.

2. Alterar los mercados para pescar a río revuelto

¿Por qué es tan importante el hackeo de la cuenta de la SEC? Este incidente evidencia una peligrosa tendencia que se ha ido consolidando en los últimos meses: el hackeo de cuentas oficiales de instituciones y compañías para engañar a miles de personas. ¿Con qué fin? Cometer fraudes de criptomonedas o, como en el caso del hackeo del perfil de la SEC, propagar fake news, manipular la evolución del mercado y sacar provecho de ello vendiendo las criptos en momentos álgidos construidos artificialmente.

Desde que en octubre se comenzó a rumorear que la SEC iba a autorizar el fondo cotizado al contado de Bitcoin, su valor se ha multiplicado. Un Bitcoin vale hoy el doble que hace 6 meses. Los actores maliciosos detrás del ataque a la cuenta de la SEC tenían muy claro cuál era su objetivo.

Sucesos como este son especialmente peligrosos si tenemos en cuenta que en los últimos años han proliferado las plataformas de trading algorítmico que automatizan inversiones y responden de manera inmediata a anuncios del calibre del falso mensaje de la SEC, más aún hoy en día gracias al desarrollo de sistemas de IA.

Hackear las cuentas de organismos como la Reserva Federal, el Banco Central Europeo o un ministerio de Economía puede desencadenar movimientos en el ámbito de las criptomonedas, pero también en lo relativo a las bolsas o a las primas de riesgo de los países.

A partir de este caso, vamos a desentrañar cómo los delincuentes llevan a cabo fraudes de criptomonedas hackeando redes sociales y suplantándola identidad de compañías y administraciones. Además, vamos a detenernos en una amenaza en auge: el uso de IAs generativas para realizar anuncios falsos y cometer fraudes de criptomonedas.

3. X, en el ojo del huracán

El hackeo de cuentas en redes sociales no es una amenaza nueva. Desde hace años, actores maliciosos realizan esta actividad para extorsionar a micro-influencers, emplear las cuentas para realizar campañas de phishing o, incluso, suplantar la identidad de cargos directivos.

En lo relativo a los fraudes de criptomonedas, en los últimos meses se han hecho públicos hackeos a cuentas de X de compañías multinacionales como punto de partida de ataques que combinan ingeniería social y malware.

¿Por qué los fraudes de criptomonedas se llevan a cabo principalmente en X?

• La antigua Twitter es la red social informativa por antonomasia y sus características y audiencia se adaptan mejor a los objetivos de los fraudes de criptomonedas.
• El sistema de verificación de las cuentas. Actualmente, cualquier usuario puede comprar la insignia azul, que antes diferenciaba a los usuarios verificados (empresas, administraciones, personajes públicos). Mientras que se han creado las insignias grises para las instituciones y las doradas para las compañías.

Además, algunos actores afectados, como el CEO de la plataforma de transacciones de criptomonedas Ripple, han denunciado la inacción de X frente a los fraudes de criptomonedas, así como al hecho de que los despidos acometidos por Elon Musk cuando desembarcó en la compañía hayan deteriorado su programa de seguridad.

Quizás por ello, la cuenta de Seguridad de X publicó a las pocas horas de producirse el incidente de la SEC que, tras realizar una investigación preliminar, habían concluido que los sistemas de X no fueron violados por los atacantes, sino que el acceso se produjo gracias al uso de un número de teléfono asociado a la cuenta y a que esta tenía deshabilitada la doble autenticación.

 

4. Hackear cuentas para cometer fraudes de criptomonedas

¿Cuál es la operativa que siguen los actores maliciosos que hackean cuentas para cometer fraudes de criptomonedas?

4.1. Acceso y control

El primer paso consiste en obtener acceso a la cuenta de una compañía con insignia dorada (reservada a empresas verificadas) o una institución con una insignia gris (el identificador de las cuentas gubernamentales). ¿Por qué? Estas insignias generan confianza en los usuarios.

¿Cómo se logra? Generalmente, empleando técnicas de ingeniería social para engañar a miembros de las organizaciones. Por ejemplo, en uno de los casos más recientes de fraudes de criptomonedas, acontecido el 5 de enero, los delincuentes emplearon una cuenta en desuso y comprometida de un periodista para engañar a un trabajador de CertiK, una empresa de seguridad de blockchain. El cebo fue una falsa entrevista y un link para agendarla que abrió las puertas a un malware. Mientras que, como ya vimos, en el caso de la SEC, los actores maliciosos recurrieron al SIM swapping.

4.2. Transformación y suplantación

Transformar la cuenta para simular que pertenece a otra empresa. Aunque en el ataque contra la SEC se empleó la credibilidad de la cuenta para dotar de veracidad a la noticia falsa, lo habitual es que los actores maliciosos transformen completamente las cuentas que hackean: nombre, apariencia…

En el caso del ataque contra CertiK, se simuló la identidad de Revoke, una empresa que gestiona criptocarteras. El incidente que sufrió Hyundai, los delincuentes suplantaron la identidad de Overworld, un juego web3, mientras que en el ataque contra la cuenta de Netgear optaron porque pareciera una cuenta de BRC, una plataforma de compraventa de criptomonedas.

4.3. Phishing y redirección

Otro de los fraudes de criptomonedas que se han producido en lo poco que llevamos de año afectó a Mandiant, una firma de ciberseguridad subsidiaria de Google. Los atacantes transformaron la cuenta y suplantaron la identidad de Phantom, otra empresa de gestión de criptocarteras. Una vez acometida esta acción, procedieron a publicar un mensaje anunciando una falsa distribución de tokens de $PHNTM. Para optar a alguno de esos tokens había que hacer clic en un enlace.

Al hacer clic, si el usuario no tenía instalada la cartera de Phantom, se le redirigía a un sitio legítimo para que la instalara. Una vez que la cartera se hubiese instalado, automáticamente se les drenaban a los usuarios sus carteras de criptomonedas.

4.4. Crypto drainer: Malware para robarle la (cripto)cartera al inversor

Aquí es donde entra en juego un tipo de malware que se ha hecho tristemente popular en los últimos tiempos: los crypto drainers. Como su propio nombre indica, este tipo de malware permite a los delincuentes robar las criptomonedas de sus víctimas. El crypto drainer engaña al usuario para que apruebe una transacción y vacía sus carteras de criptos.

La aparición de esta clase de malware ha revolucionado los fraudes de criptomonedas y supone un riesgo añadido para los inversores que se arriesgan a perder todas sus criptos tras caer en una trampa de phishing. Las pérdidas económicas pueden ser millonarias. La situación puede volverse más preocupante si:

• El mercado de las criptos se revitaliza, en el caso de que el regulador estadounidense dé luz verde al fondo cotizado de Bitcoin y, por lo tanto, crece el número de inversores.
• Los ataques se multiplican, como parece indicar este accidentado inicio de año.

5. Anuncios falsos, IAs generativas y fraudes de criptomonedas

Además de hackear las cuentas de empresas y administraciones, otra de las vías para cometer fraudes de criptomonedas más en boga es la publicación de anuncios en X, pero también en Google o Youtube, para captar la atención de los inversores ofreciéndoles tokens gratis o atractivas ofertas.

Al inicio de este artículo, hicimos referencia a Ripple, una plataforma de transacción de criptomonedas similar a la famosa blockchain. Esta compañía fue víctima de uno de los fraudes de criptomonedas más llamativos e interesantes de los últimos tiempos. ¿Por qué? Los actores maliciosos emplearon IAs generativas para elaborar anuncios de video en los que se suplantaba la identidad de su CEO, Brad Garlinghouse.

Así, los inversores en criptomonedas podían encontrarse con anuncios en los que, aparentemente, Garlinghouse les explicaba como podían obtener tokens gratis de XRP, la criptomoneda de la compañía. Para ello, tenían que enviar XRP a un monedero concreto y, a cambio, recibirían el XRP gratis. Se trataba de un deepfake de video bastante convincente. Era necesario fijarse para detectar que el movimiento de los labios no coincidía con las declaraciones de Garlinghouse. Gracias a ello, los delincuentes pudieron estafar a miles de usuarios y dañar la reputación de Ripple y su CEO.

6. Combatir los fraudes de criptomonedas, el hackeo de cuentas y la suplantación de identidades

¿Qué pueden hacer las compañías y las administraciones públicas para prevenir los fraudes de criptomonedas y combatir el hackeo de redes sociales y la usurpación de identidades corporativas? Contar con el conocimiento y expertise de profesionales especializados en prestar servicios de ciberinteligencia. Estos expertos están capacitados para frenar la proliferación del hackeo de cuentas en redes sociales, así como para:

• Proteger cuentas corporativas.
• Recuperar cuentas en caso de que sean secuestradas.
• Investigar las metodologías empleadas por los atacantes.
• Combatir las técnicas de ingeniería social más sofisticadas.
• Diseñar contramedidas efectivas frente a las TTPs de los grupos delictivos más punteros.
• Prevenir fraudes y proteger a las marcas.
• Descubrir escenarios de ataque y riesgos gracias a una metodología de Threat Intelligence.

Además, los servicios de Threat Hunting pueden resultar de enorme ayuda a la hora de combatir las técnicas, tácticas y procedimientos de los actores maliciosos y anticiparse a ellos. Los profesionales de Threat Hunting emplean una mentalidad ofensiva para descubrir amenazas emergentes y hacer frente a malware novedoso como los crypto drainers.

En definitiva, los hackeos de redes sociales para cometer fraudes de criptomonedas o intentar manipular el mercado evidencian que nos encontramos ante una de las amenazas clave de 2024.

Si a ello le sumamos la proliferación de anuncios falsos en buscadores y redes sociales y el uso malicioso de tecnologías punteras como las IAs generativas, resulta evidente que las compañías tienen que tomarse en serio los riesgos asociados a los fraudes de criptomonedas. Puesto que estos ataques no solo generan pérdidas millonarias entre los inversores, sino que también menoscaban la reputación de las empresas y las instituciones cuyas cuentas son hackeadas o cuya identidad es suplantada.

Si no, que se lo digan a la SEC, a la que la cuesta de enero se le está haciendo dura.