Nueva ola de estafas cripto en Rusia: los drenadores se disfrazan de programas de inversión
Al menos tres grupos de hackers lanzaron un ataque masivo contra tenedores de criptomonedas rusos utilizando programas maliciosos de drenaje. Los atacantes disfrazan hábilmente sus esquemas como programas de afiliados y ofertas atractivas para inversores.
A finales de mayo y principios de junio de 2025, analistas de la unidad especializada F6 Digital Risk Protection detectaron el lanzamiento de al menos 15 sitios web señuelo equipados con criptodrenadores ocultos. Estos programas están diseñados para vaciar instantáneamente las billeteras de criptomonedas de usuarios desprevenidos.
La mecánica del ataque es la siguiente. La víctima es atraída a un recurso falso con la promesa de abrir una cuenta de inversión con un bono de bienvenida de 50 USDT. Para activar esta "generosa" oferta, se le pide al usuario que conecte su billetera escaneando un código QR a través de la aplicación oficial. En realidad, al aprobar la integración y firmar la solicitud de transacción, la persona otorga a los atacantes acceso completo para retirar todos sus activos digitales: criptomonedas, tokens y NFT. Una vez que se completa la autorización en el sitio falso, el software malicioso verifica el saldo con varias solicitudes y retira instantáneamente todos los fondos disponibles.
Principales engaños de los estafadores
Los especialistas identifican tres tipos principales de señuelos utilizados por los atacantes:
- Cuentas de inversión: Promesa de un bono por registrarse.
- Actividad en Telegram: Oferta de compra ventajosa de "estrellas" (moneda interna del mensajero).
- Programas de bonificación: Distribución de tokens gratuitos por conectar la billetera.
Es importante señalar que los drenadores no son una herramienta fundamentalmente nueva. Hace varios años, se usaban activamente en el segmento de habla inglesa, después de lo cual su actividad disminuyó. Ahora estamos presenciando un resurgimiento de esta amenaza, pero esta vez dirigida exclusivamente al público de habla rusa. Los atacantes se adaptan rápidamente: los dominios bloqueados son reemplazados por nuevas direcciones.
Cómo proteger tus activos
Los expertos de F6 recomiendan encarecidamente evitar por completo hacer clic en enlaces sospechosos de anuncios publicitarios. Antes de conectar una billetera, es necesario verificar cuidadosamente el nombre de dominio del recurso. Los atacantes a menudo registran dominios que suenan similares a marcas conocidas, por lo que vale la pena verificar la fecha de creación del sitio a través de servicios Whois.
Además, dado que la actividad de corretaje en Rusia solo se realiza con una licencia del Banco de Rusia, siempre se puede verificar la validez de dicha licencia y los recursos oficiales en línea del corredor en el sitio web del Banco Central. Cualquier promoción debe verificarse exclusivamente en plataformas oficiales. Un sitio sospechoso se puede enviar a la plataforma "Antiphishing": los especialistas de F6 verificarán la información y la transmitirán a los reguladores para su bloqueo.
Comentario del analista: Este ataque es un claro ejemplo de cómo los esquemas de phishing clásicos cobran un nuevo "impulso" en la industria de las criptomonedas. Recomiendo a los usuarios que adopten una regla de hierro: nunca conecten su billetera a un sitio cuyo anuncio hayan visto en un anuncio o mensaje aleatorio. Cualquier promesa de "dinero gratis" es casi siempre una bandera roja. Utilicen billeteras de hardware y billeteras "calientes" separadas con un saldo mínimo para interactuar con nuevas dApps y servicios.