A pesar de la volatilidad que caracteriza a las criptodivisas, la minería sigue siendo un negocio lucrativo para los ciberdelincuentes. Investigaciones recientes revelan que solo CoinHive, utilizado para minar criptomonedas, genera al mes 250.000 dólares americanos en Monero, la mayor parte de los cuales (80%) va a parar a 10 individuos.

A raíz de esta tendencia, no resulta raro que el cryptojacking, el uso no autorizado de los recursos informáticos de otra persona para minar criptomonedas, haya reemplazado al ransomware como principal amenaza. No obstante, las botnets de minado y los criptojackers no son los únicos vectores de ataque utilizados por los ciberdelincuentes para monetizar la CPU de sus víctimas.

El auge de los Secuestradores de Portapapeles

Los secuestradores de portapapeles son un claro ejemplo de cómo los atacantes han aprendido a sacar partido del sistema utilizado para transferir monedas criptográficas entre usuarios.

Sirviéndose de que los usuarios utilizan la función de copiar y pegar las direcciones de criptodivisas (esta operación se hace a través del portapapeles de Windows) para no tener que recordarlas, cuando los secuestradores detectan una dirección (Bitcoin, Ethereum, o Monero, entre otras) en la aplicación utilizada para el envío, la reemplazan por otra diferente y bajo su control. Tras ello, las criptomonedas transferidas terminan en sus bolsillos virtuales.

La realidad es que la transferencia de criptomonedas a través de Internet es el equivalente a tratar con un banco en el mundo real. Sin embargo, en el primer caso el proceso tiene lugar en un sistema abierto, y el éxito de estos ataques demuestra que los usuarios no son conscientes de ello. En este caso concreto, bastaría un doble control de la dirección de destino para evitar que la ofensiva tuviera éxito.

Campañas de phishing dirigidas

Según un informe, en el segundo trimestre de 2018, los ciberdelincuentes robaron más de 2,3 millones de dólares a través de estafas de phishing criptográfico durante las Ofertas Iniciales de Monedas (ICO), principalmente a través de la plataforma Ethereum.

Significativo es que, a lo largo del año, han tenido lugar 725 ICOs, según CoinSchedule, con una recaudación total de 18.000 millones de dólares americanos. No obstante, si el usuario no es víctima de un ICO fraudulento (y el 80% de los de 2017 lo fueron, según este estudio), sigue estando expuesto a pérdidas financieras.

Las campañas de phishing criptográfico también pueden dirigirse a otros servicios como los monederos online. En abril MyEtherWallet, un servicio de billetera de código abierto de Ethereum, fue secuestrado utilizando las DNS de Amazon. Los usuarios que accedieron al servicio durante el suceso fueron redirigidos a una réplica maliciosa del sitio web donde su clave privada fue robada. Los atacantes lograron desviar 160.000 dólares en Ethereum.

Es importante destacar que la falta de protección adecuada de un servicio en la nube fue clave en esta campaña, sugiriendo que la seguridad de los servicios criptográficos en su conjunto no se considera todavía una prioridad. También muestra cómo se puede adaptar una técnica tradicional (phishing) para transferir automáticamente fondos desde un servicio criptográfico que no tiene las mismas barreras, en términos de seguridad, que un servicio bancario tradicional.

Recomendaciones generales

Las empresas y los usuarios pueden reducir su riesgo de exposición al phishing y a los ladrones de criptografía, siguiendo cinco recomendaciones clave. Estos consejos incluyen desde la gestión adecuada del uso de la web, a través una plataforma de protección contra amenazas de múltiples capas, hasta la imposición de un proceso eficaz de gestión de parches y de mantenimiento actualizado del antivirus.

De igual modo, es aconsejable realizar una doble verificación de la billetera de destino al transferir criptodivisas, marcando los enlaces y usando sólo las versiones marcadas, y utilizar recursos de terceros como Etherscamdb, para verificar la reputación del servicio de criptografía en línea. Por último, una doble comprobación de los hipervínculos también es una buena costumbre para evitar el phishing.