¿Qué es el phishing?
¿Qué es el phishing?
El phishing es un método para engañar a las personas y que revelen información personal y valiosa, generalmente con fines económicos.
Aunque el phishing no es "hackeo" en el sentido más tradicional —donde un actor malintencionado utiliza exploits o fallos en programas informáticos para acceder a los datos de un individuo— puede tener el mismo resultado. El phishing es una estafa de ingeniería social porque implica manipular a las personas mediante enfoques psicológicos. Sin embargo, también se agrupa con otras técnicas de hackeo porque a menudo implica una interfaz tecnológica.
El phishing recibió su nombre en los primeros días de Internet. La mayoría atribuye su uso original a los hackers que robaban información de inicio de sesión a los usuarios de AOL a mediados de los años 90. Lanzaban líneas al mar de "peces" en espera y esperaban una mordida. El "ph" es una referencia a la palabra "phreaking", un término histórico utilizado para la ingeniería inversa y la experimentación con señales telefónicas analógicas.
Hoy en día, los tipos más comunes de phishing utilizan sistemas de correo electrónico y mensajería (incluyendo SMS y aplicaciones como WhatsApp). Sin embargo, estas estafas de ingeniería social también pueden implicar el secuestro de páginas web, códigos QR y una variedad de otros medios.
Ataques de phishing en criptomonedas
Proteger tus criptomonedas significa entender qué tipo de ataques son posibles. Aunque los hackers utilizan muchos tipos de ataques de phishing para atacar las carteras de criptomonedas de los usuarios, algunos son más comunes en el espacio cripto, incluyendo:
Spear phishing
Los hackers se dirigen a individuos y los contactan utilizando información de fondo que ya tienen. Por ejemplo, si se sabe que un usuario ha interactuado con un determinado sitio web, el hacker puede hacerse pasar por ese sitio web y enviar un correo electrónico con un enlace malicioso o pedir directamente los datos privados del usuario (como las credenciales de inicio de sesión). Los estafadores también pueden contactar a los usuarios a través de mensajes SMS o aplicaciones como WhatsApp y Telegram.
Extensiones de navegador
Los estafadores pueden codificar versiones falsas de software de carteras basadas en navegador (más comúnmente MetaMask). Estas aplicaciones pueden parecer exactamente iguales a las originales, pero cuando los usuarios ingresan su información —como frases semilla— sin saberlo entregan sus fondos a otra parte.
Ice phishing
Los hackers engañan a los usuarios para que firmen solicitudes de transacciones que otorgan a una parte malintencionada la aprobación para gastar sus activos. En el mundo de las finanzas tradicionales, esto es similar a mantener oculto el número de tu cuenta bancaria, pero sin saberlo, convertir tu cuenta individual en una conjunta, donde alguien más puede hacer retiros.
Phishing de airdrop
Al igual que el ice phishing, el phishing de airdrop se basa en engañar a los usuarios para que firmen transacciones e interactúen con un contrato inteligente malicioso. Sin embargo, esta estafa se basa en la promesa a los usuarios de que firmar la transacción les permitirá cobrar una recompensa de tokens en forma de airdrop.
Typosquatting
Los estafadores pueden usar nombres de sitios web o protocolos que son similares, pero no exactamente iguales a los reales. Al cambiar una "I" por un "1" o hacer otros pequeños cambios, pueden engañar a los usuarios haciéndoles creer que están interactuando con una fuente legítima. Esto hace que los usuarios sean más propensos a compartir sus datos privados.
Suplantación de DNS
Mientras que el typosquatting de un sitio web requiere un nombre de dominio ligeramente diferente, la suplantación de DNS es un poco más sofisticada. Los hackers secuestran el back-end de un sitio web, de modo que cuando los usuarios van a un sitio específico, son redirigidos sin saberlo al sitio del estafador. Allí, pueden sentirse cómodos enviando su información de inicio de sesión u otros datos sensibles, pero son robados por los hackers en segundo plano. Uno de los ataques de suplantación de DNS de criptomonedas más notables se utilizó contra PancakeSwap y Cream Finance en 2021.
Prevención de estafas cripto: consejos de seguridad para criptomonedas
El phishing no es el único tipo de amenaza a la seguridad de las criptomonedas, pero es uno de los más comunes. En general, una buena regla es "interactuar solo con individuos y protocolos en los que confías". Sin embargo, esto puede ser complejo, especialmente a medida que los estafadores se vuelven más sofisticados. De todos modos, a continuación se presentan algunos datos y consejos útiles.
- Siempre verifica el remitente de un correo electrónico, texto o mensaje en una aplicación. Observa si están escribiendo desde una dirección/número conocido, que no haya errores tipográficos en el nombre o cuerpo del mensaje, y que esperarías que el individuo, protocolo o empresa se pusiera en contacto contigo. No abras ningún enlace o archivo adjunto de un remitente sospechoso.
- Nunca debes enviar tus claves privadas de criptomonedas a un servicio por correo electrónico, texto, mensaje de aplicación o incluso en un sitio web. También protege tu nombre de usuario/contraseña en plataformas relevantes como los exchanges centralizados.
- Ten cuidado con las aplicaciones que descargas y usas. Esto incluye extensiones de navegador (especialmente carteras de criptomonedas) y aplicaciones descentralizadas (dapps) basadas en web. Asegúrate de estar utilizando las versiones oficiales y más actualizadas.
- Cuando interactúes con contratos inteligentes, asegúrate de confiar en el desarrollador y de estar utilizando el protocolo que crees estar usando.
- Investiga los airdrops antes de participar.
- Si te preocupa la veracidad de una comunicación o protocolo, busca otros usuarios que se estén haciendo la misma pregunta. Confía en tus instintos y haz tu debida diligencia.