Criptopesca postal: Cómo se roban los criptomonederos fríos y calientes

Cuanto más populares se hacen las criptomonedas en el mundo y más formas aparecen de almacenarlas, más diverso se vuelve el arsenal de los ciberdelincuentes que andan a la caza del dinero digital. Dependiendo de lo bien protegido que esté el criptomonedero y de cuánto dinero puedan robar, los estafadores lanzarán sus ataques utilizando tecnologías más o menos sofisticadas y esforzándose para camuflarse como recursos legítimos. En este artículo, cubriremos dos enfoques opuestos para lanzar ataques por correo electrónico a dos de los formatos más populares de almacenar criptodivisas: los criptomonederos calientes y los fríos.

Criptomonederos calientes y los intentos de acceder a ellos

Un criptomondero caliente (hot wallet) es aquel que tiene acceso constante a Internet. En esencia, se trata de cualquier servicio en línea que proporcione servicios de almacenamiento de criptomonedas, desde bolsas de cambio, hasta aplicaciones especializadas.

Los criptomonederos calientes son una forma muy común de almacenar criptomonedas. Su popularidad se debe a que, en primer lugar, son fáciles de crear: basta con registrar una cuenta en uno de los servicios y, en segundo lugar, es fácil retirar dinero de ellos y convertirlo a otras divisas. Debido a que son muy populares y simples, los criptomonederos calientes son un objetivo primordial para los atacantes. Pero hay un pequeño detalle: por la misma razón, y por el hecho de que siempre están conectados a Internet, los criptomonederos calientes rara vez guardan grandes sumas. En consecuencia, a los atacantes no les atrae hacer inversiones serias para preparar las campañas de phishing. Por lo tanto, los ataques por correo electrónico a este tipo de criptomonederos no se caracterizan por usar técnicas originales y métodos sofisticados. Por el contrario, tienen un aspecto bastante primitivo y están pensados sobre todo para el usuario poco preparado.

Un típico ataque de phishing a usuarios de criptomonederos de este tipo se realiza así: los atacantes envían correos electrónicos en nombre de un conocido cambio de criptomonedas, pidiéndoles que confirmen transacciones o que vuelvan a verificar su criptomonedero.

Correo electrónico de phishing dirigido a usuarios de Coinbase

Tras hacer clic en el enlace, el usuario llega a una página en la que se le pide que introduzca una “frase semilla”. Una frase semilla (seed phrase/recovery phrase) es una secuencia de 12 (menos frecuentemente 24) palabras, y es necesaria para recuperar el acceso a un criptomonedero. De hecho, es la contraseña principal del criptomonedero. La frase semilla puede utilizarse para obtener o recuperar el acceso a la cuenta del usuario y realizar cualquier transacción. Si la pierde, el usuario corre el riesgo de quedarse sin acceso a su criptomonedero para siempre, y si se la da a un estafador, su cuenta estaría comprometida de forma irreversible.

Página de entrada de frases semilla

Si el usuario introduce una frase semilla en la página falsa, los atacantes obtienen acceso irrestricto a su criptomonedero y pueden vaciarlo enviando todos los fondos a sus direcciones.

Estas estratagemas suelen estar pensadas para el usuario común y corriente. Son bastante sencillas, sin técnicas complicadas ni trucos psicológicos. El formulario de entrada de frases semilla suele ser minimalista: la página no contiene ningún elemento adicional aparte del campo de entrada y el logotipo de la bolsa de cambio.

Phishing dirigido a criptomonederos fríos

Un criptomonedero frío (cold wallet o cold storage) no tiene conexión permanente a Internet. Puede ser un dispositivo aparte o incluso una clave privada escrita en un papel. El tipo más popular de criptomonederos fríos son los criptomonederos de hardware. Dado que estos dispositivos están desconectados la mayor parte del tiempo y no se puede acceder a ellos de forma remota, los usuarios almacenan mucho más dinero en ellos que en los criptomonederos calientes. Dicho esto, sería un error suponer que es imposible hackear una billetera de este tipo de forma remota, y que solo es posible robarla u obtener acceso físico a la misma. Al igual que con los criptomonederos calientes, los atacantes utilizan la ingeniería social para acceder a los activos del usuario. Por ejemplo, no hace mucho vimos una lista de correo que apuntaba a los propietarios de monederos fríos de hardware.

El ataque comienza con un mensaje similar a los correos masivos sobre criptodivisas: el usuario recibe un correo electrónico enviado en nombre de la bolsa de criptodivisas Ripple en el que se le invita a participar en un sorteo de tokens XRP, la criptodivisa interna del sitio.

Mensaje de phishing enviado en nombre del intercambio de criptomonedas Ripple

El enlace lleva al usuario a una página del blog con un post en el que se explican las reglas de la “promoción”. El post contiene un enlace directo que lleva a una página para el supuesto registro.

Blog falso de Ripple

Ya en esta fase vemos una diferencia con respecto a los ataques masivos a criptomonederos calientes: en lugar de enviar un enlace a la página de phishing, los atacantes utilizaron un complejo esquema con una inmersión en un blog. También copiaron con esmero el diseño del sitio web de Ripple y registraron un dominio casi idéntico al dominio oficial de la bolsa. El método utilizado para falsificar el nombre de dominio se denomina ataque punycode: a primera vista, el dominio de segundo nivel es exactamente igual que el dominio original, pero si lo examinamos con más atención, vemos que la letra r se ha sustituido por un carácter Unicode que utiliza el carácter cedilla:

https://app[.]xn--ipple-4bb[.]net -> https://app[.]ŗipple[.]net/

Los atacantes también alojaron su recurso en la zona de dominio .net en lugar de .com, que es donde se encuentra el sitio web oficial de Ripple. Sin embargo, ambas zonas de dominio son ampliamente utilizadas por organizaciones legítimas, por lo que un dominio que se parezca a ripple.net puede no resultar sospechoso para la víctima.

Una vez que el usuario hace clic en el enlace del “blog” a la página falsa de Ripple, se le pide que se conecte al socket web wss://s2.ripple.com.

Conexión al socket web

En el siguiente paso le piden al usuario que introduzca la dirección de su cuenta XRP.

Se le pide al usuario que ingrese la dirección de la cuenta XRP

A continuación, el sitio le pide al usuario que elija con qué método desea registrarse para obtener los tokens de bonificación.

Selección del método de autorización

Como podemos ver, las billeteras de hardware encabezan la lista, y son las que los atacantes recomiendan utilizar. Si se selecciona Trezor, se redirige al usuario al sitio web oficial trezor.io, que dispone de una función para conectar el dispositivo a aplicaciones web a través de la API Trezor Connect. Esta API se utiliza para facilitar las transacciones utilizando un criptomonedero físico. Los atacantes, por su parte, quieren que la víctima se conecte a su sitio web y les permita retirar dinero de su cuenta.

Cuando un usuario intenta conectarse a un recurso de terceros, Trezor Connect le pide que acepte la recopilación anónima de datos y que confirme la conexión. La dirección del recurso fraudulento al que se conecta el usuario se muestra en sintaxis punycode: https://app[.]xn--ipple-4bb[.]net. Los atacantes ponen sus esperanzas en la falta de atención del usuario: la dirección de la página está en letra pequeña en un lateral, por lo que es fácil obviarla.

Trezor Connect: confirmación de conexión a un recurso fraudulento

En el caso de Ledger, el esquema es muy similar al de Trezor, pero implica la conexión de un criptomonedero de hardware a través de una interfaz WebHID. Los demás pasos del ataque son los mismos.

¿Qué ocurre después de que el usuario se conecta a su criptomonedero físico? Para responder a esta pregunta, tuvimos que indagar un poco en el código del sitio de phishing. Una aplicación escrita en Node.js es responsable de todo el funcionamiento del sitio. Opera con dos API:

• wss://s2.ripple.com – sitio web oficial de transacciones de Ripple
• API del sitio de phishing (por ejemplo, app[.]xn--ipple-4bb[.]net/api/v1/action)

Estas dos API son utilizadas por los atacantes para trabajar con la cuenta XRP de la víctima. La API del sitio de phishing accede al socket web, verifica la información de la cuenta para después enviar una solicitud de retirada al socket web. Para ello, los atacantes generan criptomonederos intermedios de un solo uso.

La cuenta intermedia solo se utiliza para dos transacciones: recibir fondos de la víctima y retirarlos a la cuenta permanente de los ciberdelincuentes. Así es como los ciberestafadores ocultan la dirección final para que no se la pueda detectar.

Estadísticas

En la primavera de 2023, las soluciones antispam de Kaspersky detectaron y bloquearon 85 362 correos electrónicos fraudulentos dirigidos a usuarios de criptomonedas. En marzo de 2023 se produjo el mayor número de envíos de este tipo: 34 644 mensajes. En abril se bloquearon 19 902 mensajes, y en mayo 30 816.

Número de correos electrónicos de phishing detectados dirigidos a usuarios de criptomonedas, marzo-mayo de 2023 (descargar)

Conclusión:

Los atacantes son muy conscientes de un simple hecho: cuanto más les cueste llegar al botín, más probabilidades hay de que sea mayor. Por ello, cuando atacan lo que muchos creen que son carteras de hardware casi invulnerables, recurren a tácticas mucho más sofisticadas que cuando atacan a usuarios de servicios en línea. Aunque los criptomonederos de hardware son en realidad más fiables que los calientes, los usuarios deben tener cuidado. Antes de dar acceso a su criptomonedero a cualquier recurso, debe someter los datos a un escrutinio minucioso y, en caso de duda, rechazar la conexión.