Nueva ola de vaciadores de criptomonedas: cómo los hackers limpian las billeteras de los rusos bajo la apariencia de inversiones
En las últimas semanas, he registrado una fuerte activación de al menos tres grupos de hackers dirigidos a tenedores de criptomonedas de habla rusa. Los atacantes han lanzado una campaña masiva utilizando programas maliciosos de drenaje que se hacen pasar por programas de afiliados legítimos y plataformas de inversión.
Analistas de la unidad especializada F6 Digital Risk Protection han identificado al menos 15 sitios señuelo lanzados a finales de mayo y principios de junio. La mecánica del ataque está perfeccionada hasta el automatismo: se atrae al usuario con la promesa de abrir una cuenta de inversión y recibir un bono de bienvenida de 50 USDT. Para activar la "generosa" oferta, se pide a la víctima que conecte su billetera escaneando un código QR a través de la aplicación oficial.
Cómo funciona el esquema
A primera vista, todo parece inofensivo. El usuario firma voluntariamente una solicitud de transacción, pero en realidad esta operación otorga a los estafadores acceso completo para retirar todos los activos digitales: criptomonedas, tokens e incluso NFT. Una vez que la autorización en el sitio falso está completa, el software malicioso verifica el saldo en cuestión de segundos con varias solicitudes y vacía la billetera al instante.
He identificado tres tipos principales de señuelos que se están utilizando activamente ahora:
- Cuentas de inversión — promesa de un bono por registrarse.
- Actividades en Telegram — oferta de compra ventajosa de "estrellas" o servicios premium.
- Programas de bonificación — distribución de tokens gratuitos por conectar la billetera.
Es importante entender que los drenadores no son una amenaza nueva. Hace varios años, esta herramienta se usaba activamente contra la audiencia de habla inglesa, después de lo cual su actividad disminuyó temporalmente. Ahora estamos viendo un resurgimiento de la táctica, pero esta vez dirigida a usuarios de habla rusa. Como señalan los expertos, los estafadores crean rápidamente nuevos dominios para reemplazar los bloqueados, por lo que combatirlos se asemeja a un juego del "gato y el ratón".
Cómo proteger tus activos
Mi recomendación es simple pero críticamente importante: evita por completo hacer clic en enlaces sospechosos de anuncios publicitarios. Siempre verifica cuidadosamente el nombre de dominio del recurso en el que te encuentras. Los atacantes suelen registrar dominios que suenan similares a marcas conocidas: verifica la fecha de creación del sitio a través de servicios Whois.
Además, recuerdo: la actividad de corretaje en la Federación Rusa solo se realiza con licencia del Banco de Rusia. La validez de la licencia y los recursos oficiales en internet del corredor se pueden verificar en el sitio web del Banco Central. Cualquier promoción debe verificarse exclusivamente en plataformas oficiales. Un sitio sospechoso se puede enviar a la plataforma "Antiphishing": los especialistas verificarán la información y la transmitirán a los reguladores para su bloqueo.
Mi opinión profesional: los drenadores son una de las amenazas más peligrosas para los inversores minoristas hoy en día. Explotan la codicia y la credulidad humanas, y técnicamente, los mecanismos legítimos de la cadena de bloques. La única forma confiable de protección son las billeteras frías y el principio de "no confíes, verifica". Nunca conectes una billetera caliente a sitios no verificados, incluso si prometen montañas de oro.