Nueva ola de cripto-phishing: cómo los drenadores vacían las billeteras de los rusos
Analistas de la unidad especializada F6 Digital Risk Protection han registrado una tendencia alarmante: al menos tres grupos de hackers han lanzado una campaña dirigida al robo de criptomonedas a usuarios rusos. Los atacantes utilizan los llamados "drenadores" (drainers), programas maliciosos diseñados para vaciar instantáneamente las carteras de criptomonedas. Sus esquemas delictivos los disfrazan hábilmente como programas de afiliados legítimos para inversores.
Mecánica de los ataques: del bono a la pérdida total de activos
A finales de mayo y principios de junio de este año, se lanzaron al menos 15 sitios web señuelo que contenían criptodrenadores ocultos. El mecanismo de engaño está perfeccionado hasta el automatismo. La víctima es atraída con la promesa de abrir una cuenta de inversión y recibir un bono de bienvenida de $50 en USDT. Para activar la "generosa" oferta, se le pide al usuario que conecte su cartera escaneando un código QR a través de la aplicación oficial.
A primera vista, la víctima aprueba por sí misma la integración y firma la solicitud de transacción. Sin embargo, en realidad, esta operación otorga a los atacantes acceso completo para retirar todos los fondos: criptomonedas, tokens e incluso NFT. Una vez que la autorización en el sitio falso está completa, el drenador verifica el saldo con varias solicitudes y retira instantáneamente todo lo disponible.
Principales tipos de señuelos
Los especialistas identifican tres engaños clave utilizados por los grupos:
- Cuentas de inversión: promesa de un bono por registrarse.
- Actividad en Telegram: oferta de compra ventajosa de "estrellas" u otros activos internos.
- Programas de bonos: distribución de tokens gratuitos por conectar la cartera.
Es importante entender que no se trata de un caso aislado. La analista senior del departamento de Digital Risk Protection de F6, María Sinitsyna, señala que los drenadores ya se habían utilizado antes. Hace varios años, se difundieron activamente entre usuarios de habla inglesa, tras lo cual su actividad disminuyó. Ahora observamos una nueva ola, dirigida específicamente al público de habla rusa. Aunque los especialistas de F6 ya han enviado una solicitud para bloquear los recursos maliciosos identificados, los atacantes crean rápidamente nuevos dominios para reemplazar los cerrados.
Cómo proteger tus activos digitales
En las condiciones actuales, los inversores deben mostrar la máxima vigilancia. Los expertos recomiendan encarecidamente:
- Abstenerse por completo de hacer clic en enlaces sospechosos de anuncios publicitarios.
- Verificar cuidadosamente el nombre de dominio del sitio web en el que te encuentras. Los estafadores suelen registrar dominios que suenan similares a marcas conocidas.
- Comprobar la fecha de creación del sitio web a través de servicios Whois especializados: los dominios recién creados deben generar sospechas.
- Tener en cuenta que la actividad de corretaje en la Federación Rusa solo se realiza con licencia del Banco de Rusia. Verifica la licencia y los recursos oficiales del corredor en el sitio web del Banco Central.
- Cotejar cualquier promoción exclusivamente en las plataformas oficiales.
- Se puede enviar un sitio web sospechoso a la plataforma "Antiphishing": los especialistas de F6 verificarán la información y la remitirán a los reguladores para su bloqueo.
Mi comentario: Esta ola de ataques es un claro ejemplo de cómo el phishing evoluciona para adaptarse a jurisdicciones específicas. El uso de "bonos de bienvenida" e ingeniería social adaptada al usuario ruso hace que los esquemas sean especialmente peligrosos. Los propietarios de criptomonedas deben recordar una regla simple: si te ofrecen dinero por conectar tu cartera, es casi seguro que es una trampa. La seguridad comienza con la negativa consciente a cualquier integración no verificada.