NFT, el nuevo paraíso del cibercrimen

Éléna Poincet, CEO y Fundadora de TEHTRIS

Las búsquedas del término NFT han sobrepasado a las del término criptomonedas, según los últimos datos de Google en diciembre de 2021.  ¡El diseño digital está en racha!

De acuerdo con un informe de DappRadar, el pasado octubre, los NFTs, supuestamente, generaron 148 millones de dólares más comparado con el mes de septiembre. ¿Cómo no ser codicioso cuando ves que se generan tantos dólares? Era obvio que los ciberatacantes iban a interesarse por el tema y que los abusos relacionados con este nuevo concepto no tardarían en darse a conocer. De hecho, los NFTs son “El” nuevo campo de juego para los ataques contra varias criptomonedas y hemos detectado grupos, como Lazarus Group, que son aficionados a ellos.

NFT: ¿De qué estamos hablando?

Empezaré por lo básico. ¿Qué es un NFT? ¿Y qué significa exactamente? NFT significa Non Fungible Token. Precioso, pero… realmente no arroja ninguna luz sobre la situación. 

Creado en 2014, un NFT es un activo físico o digital único, cuyo valor le es propio, es decir, no puede ser intercambiado por ningún otro activo o bien del mismo valor. “Non-fungible” significa, por tanto, que es “único y que no puede ser sustituido por nada más”. Por ejemplo, un bitcoin es fungible: tú puedes cambiarlo por otro bitcoin y tienes exactamente lo mismo.

Sin embargo, una carta coleccionable única no es fungible. Si la cambias por otra carta, obtienes algo completamente diferente. Y como tiene su propio valor, éste sólo puede fluctuar en función de diversos fenómenos.

¿Cómo funciona un NFT?

La mayoría de los NFTs son parte del blockchain Ethereum. Ethereum es una criptomoneda, como el bitcoin o el dogecoin, pero su blockchain también ofrece estos NFTs, que almacenan información adicional.

Dicha información adicional es una unidad de valor que representa un objeto, un título de propiedad, un certificado virtual vinculado a una obra y registrado en una cadena de bloques.

Sin embargo, lo que hace a un NFT auténtico es el certificado digital hecho de “metadatos” que probará que de hecho es el trabajo original del autor, lo que el autor ha vendido, que el comprador es tal o cual persona y que lo compró por tal o cual precio, en tal día, etc.

Se obtiene así un identificador único. Este identificador corresponde a una serie de números únicos especialmente asociados con un NFT.

Por último, el hecho de que esté adjunto a un blockchain garantiza la seguridad de las transacciones y de las operaciones que se realizan en los mercados en criptomoneda.  

Así, un billete de cinco euros es fungible, porque puede cambiarse fácilmente por otro billete de cinco euros del mismo valor, lo que no ocurre con un NFT.

Concretamente un NFT puede ser una canción, un dominio web, una obra de arte, una película, una foto, un GIFs o incluso un tweet… Por ejemplo, el primer tweet de Jack Dorsey, fundador y CEO de Twitter es un NFT y está valorado en 2,5 millones de dólares. 

Y puede pertenecer a cualquier sector: arte, videojuegos, eventos, seguros, música, finanzas… Resumiendo, un NFT es único, raro, trazable, indivisible y programable.

¿NFT y Cibercrimen?

La llegada de este nuevo concepto trae consigo nuevos tipos de delitos. Webs falsas, suplantación de identidad, phishing y engaño son técnicas utilizadas por los hackers. ¿Por qué los NFT son tan atractivos? Porque son una forma rápida y sencilla de ganar dinero y, sobre todo, porque este tipo de ataque deja pocos rastros. 

Usurpación de cuentas

Nifty Gateway (una plataforma online de subastas de obras de arte digitales para arte simbólico no fungible) fue la primera que reportó el robo de NFTs. En el transcurso de un fin de semana, los piratas informáticos, supuestamente, robaron obras de arte por valor de miles de dólares. Para ello, hackearon las cuentas de los usuarios, robaron contraseñas, cuentas bancarias y certificados de autenticidad y los revendieron.

Otra forma más directa es la venta de NFT falsos. El delincuente vende entonces obras que no le pertenecen. En octubre de 2021 apareció un falso Banksy. El delincuente insertó un enlace en la web oficial de Banksy para vender un NFT falso y así beneficiarse de la fama de la web del artista. La estafa funcionó, ya que un comprador perdió 380.000 dólares. La historia tiene un final feliz ya que, a la víctima, llamada Pranksy, le reembolsaron su dinero. El artista también fue víctima del robo de dominios. Así, se registraron dominios como: banksynft[.]com y banksynfts[.]com

Por otro lado, el creador de cómics Derek Laufman y el animador Milos Rajkovic, alias Sholim, pueden añadirse a la larga lista de víctimas de estos delincuentes sin escrúpulos, que se hacen pasar por artistas.

Fake Sites

Otra táctica bastante común consiste en crear webs falsas que parecen exactamente iguales a las legítimas. Los usuarios se conectan y dan sus credenciales o su número de tarjeta de crédito.

La web Fractal fue víctima de un ataque en diciembre. Los criminales usaron un señuelo, hackeando el servidor de Discord. Se basaron en un anuncio de venta en línea de NFT. Las víctimas lo veían como una ganga, hacían clic en la oferta y eran redirigidas a una cuenta falsa de Fractal. Así fue como 373 personas cayeron en esta estafa con una pérdida de 150.000 dólares. Aunque el número de víctimas no es enorme, demuestra que la amenaza es real.

Los estafadores también pueden crear falsas tiendas y vender NFTs que no existen. Este tipo de ataque basado en la typosquatting se está convirtiendo en legión, ya que los ciberdelincuentes utilizan nombres de dominio que suplantan a plataformas populares (los artistas no son las únicas víctimas, como se ha visto anteriormente) para hacer más creíbles sus ataques.

Campañas de Phising

Una campana de phishing -RedLine infostealer- se descubrió en junio de 2021. Los cibercriminales se hicieron pasar por empresas y se pusieron en contacto con numerosos artistas para ofrecerles asociaciones. Una vez que la relación se establecía, un link malicioso se inyectaba en sus ordenadores y escapaba a la vigilancia del antivirus. El artista FVCKRENDER fue una de estas víctimas y le robaron 137 000 euros.

Exploids

Con todo el ruido y expectación alrededor de los tokens no fungibles (NFTs), otro lado más oscuro ha emergido en los meses recientes: la subasta de exploits de ciberseguridad.

Por ejemplo, se ha llegado a vender un ataque de denegación de servicio Zero Day, con todos los derechos de propiedad transferidos al adjudicatario. Aunque puede parecer inofensivo, la idea de vender un ciber exploit plantea obviamente cuestiones de ética e identidad cuando llega a las manos equivocadas.

Esto hace que los NFT sean un medio ideal para que los hackers compren y vendan exploits y otras herramientas de hacking.  

Uno de los ejemplos más destacados de un ataque de exploits fue el que afectó en agosto de 2021 a la plataforma Poly Network, una empresa de transferencia de criptomonedas que está detrás de una plataforma financiera descentralizada (DeFi). Un experimentado hacker consiguió explotar una vulnerabilidad en los sistemas de la plataforma y robarle casi 600 millones de dólares. La historia tiene un final excepcionalmente feliz, ya que el hacker devolvió casi todos los fondos.

Otros ataques 

Otras estafas que podrían mencionarse son la falsificación de NFTs; el intercambio de simulacros; cuentas de social media que pretender ser afiliadas; bots…La lista es probable que aumente con el crecimiento del fenómeno y el ingenio de los atacantes.

Al ser reciente esta nueva forma de estafa, la protección posible a día de hoy es aún muy escasa, así que debemos estar atentos y tener en cuenta algunas recomendaciones.

Asegúrate de tener la seguridad adecuada como la autentificación multifactorial; tokenizar tus

tus tweets y comprobar los enlaces donde compras NFTs. También debes tener cuidado si no hay contrato, si tu contacto está ausente de redes sociales o si la cantidad propuesta para un posible acuerdo parece incoherente.

Gracias a estas comprobaciones, el fotógrafo surcoreano Jong Chan Han pudo evitar lo peor y asegurar inmediatamente sus cuentas.

Por supuesto, a esta larga lista debemos añadir la educación y la concienciación. Y, por último, habrá que establecer un sólido marco normativo adaptado a los NFT, que aún está en pañales.

El futuro de los NFT

El fenómeno de la Web 3 será NFTo no será. El mercado mundial de los NFTs alcanzó los 40.000 millones de dólares el año pasado. E incluso los fabricantes se están involucrando, como Samsung que anunció que los NFT se integrarían en sus nuevos televisores conectados.

El mercado de los NFT es un nuevo Eldorado para los ciberdelincuentes que quieren blanquear activos, por lo que es muy probable que aumenten los ataques y, con ellos, la extorsión.

Los ciberdelincuentes son inventivos, creativos, sus enfoques se diversifican, se vuelven más complejos y sofisticados… Twitter, Facebook, Telegram, Discord, … son los canales perfectos para el cibercrimen

Es necesario subirse a este tren y, especialmente, anticiparse a estas nuevas amenazas. Es imperativo medir lo que está en juego y los riesgos.

No esperemos más, ¡actuemos!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio