¿Se puede hackear un wallet para criptomonedas?

Las criptomonedas se han convertido en un método de pago común entre consumidores de todo el mundo, expandiéndose rápidamente a medida que las personas confían cada vez más en ellos para realizar pagos, transferir dinero e incluso para resguardarlo.

Las inquietudes alrededor de la volatilidad y la seguridad siguen siendo dos aspectos importantes que las personas prefieren no ignorar al considerar las criptomonedas. La introducción de monedas estables (vinculadas al dinero fiduciario estable, como el dólar, el euro o la libra), ha mitigado los riesgos de volatilidad. En cuanto a las medidas de seguridad, hay muchas cosas a considerar. Una de ellos es la seguridad de los monederos digitales (wallet). Tómese un minuto para preguntarse: ¿proporciona su monedero protección para mis fondos? ¿Están aseguradas mis cuentas? ¿Estoy almacenando mis claves privadas de forma segura? ¿He compartido información privada con alguien? ¿Quién tiene acceso a mis cuentas?

Estas son preguntas que recibo a diario y que no podemos ignorar si deseamos culturizar y/o evangelizar alrededor del tema. Así que me he tomado un tiempo para leer y estudiar ¿cómo los ciberdelincuentes podrían acceder a su billetera electrónica?, ¿qué métodos podrían usar?, enfocándome en una forma muy útil de mejorar nuestra seguridad y desarrollar confianza. A continuación, algunos de esos métodos de intrusión y algunas ideas para mitigarlos:

Obtener tus credenciales: Las billeteras físicas se pueden perder o las pueden robar. Lo mismo ocurre con los monederos digitales. Consideremos que los wallets consisten en dos llaves: una llave pública similar a un número de cuenta bancaria que se comparte para recibir fondos y una llave privada, que es una especie de código de seguridad utilizado para retirar fondos, como el PIN o algún factor de autenticación adicional. De tal suerte que, si le roban su clave privada, equivale a perder su tarjeta de crédito o débito con el código PIN escrito en la parte posterior. No es necesario explicar qué sucederá con su cuenta a continuación.

Deduciendo, no es realmente una buena idea mantener sus claves privadas almacenadas en línea, por ejemplo; en un archivo en su computadora o una App sin seguridad en su teléfono, porque si un intruso accede alguno de sus dispositivos, pueden encontrar fácilmente el archivo y zaz!. Por esa razón, los expertos en seguridad siempre sugieren mantener en lugar seguro, una copia impresa o escrita a mano de sus claves privadas, partiendo de que lo análogo es más seguro. Hay servicios de llaveros criptográficos, pero obviamente; solo debe confiar sus claves a proveedores respetados, para lo cual debe asegurarse una escogencia concienzuda.

Envío de correos electrónicos de phishing: Hoy en día, recibimos muchos correos electrónicos al día. Pero bueno, sucede que los ignotos lo saben y tienen herramientas suficientes para aprovecharlo en su contra. El phishing consiste en un correo electrónico que supuestamente proviene de un servicio con el que probablemente esté familiarizado y que le solicite datos para completar ciertas operaciones. Si está utilizando un servicio de wallet y registro un correo electrónico, los ignotos pueden enviarte un correo electrónico suplantando a un representante de la empresa y pidiéndole que comparta algunos datos personales, incluso sus claves privadas. Si bien podemos darnos cuenta de que un representante oficial nunca solicitará dicha información, otros pueden caer en la trampa y proporcionar la información. Recuerde que las claves privadas son como los códigos PIN. El truco es ponerse en contacto con representantes oficiales del servicio, e informar el incidente lo antes posible.

Instalación de keyloggers: Los piratas informáticos constantemente intentan diferentes formas de conseguir tus datos sensibles. Los keyloggers son malwares que registran cada tecla que presionas para armar semillas, contraseñas y PIN introducidos en tu dispositivo infectado. ¿cómo entran en su dispositivo en primer lugar? Bueno, básicamente hay tres formas de infectarse con un keylogger: abrir correos electrónicos con malware, software infectado desde un sitio web o torrent específico o bien sea insertando un USB infectado en su dispositivo.

Descarga de monederos falsos: Los ciberdelincuentes harán todo lo posible para robar criptomonedas y los monederos falsos son un gran ejemplo de cuán lejos están dispuestos a llegar. Las aplicaciones móviles falsas se disfrazan de billetera oficial usando nombres similares e incluyendo banners convincentes, no solo para engañar a los usuarios, sino también para recibir luz verde de Google Apps y evitar ser prohibidos. Un consejo útil para evitar caer en esta trampa es descargar la aplicación directamente desde el sitio web oficial del servicio del monedero.

Hacerse pasar por una empresa o persona: Hacerse pasar por compañías, intercambios de criptomonedas o personas es una de las formas más comunes en que los ciberdelincuentes confían para obtener acceso a sus fondos. ¿Por qué? Digamos que es más fácil engañar a alguien que entrar en un sistema, después de todo la ingeniería social nunca falla porque a todos nos gusta presumir de alguna manera. A los ciberdelincuentes les interesa tu información para robar tus fondos y los más sofisticados crearán sitios web para que pueda iniciar sesión y visualizar su “inversión”. Luego, le solicitaran que comparta datos para acceder a ciertos beneficios y zaz!.

Ataque con troyanos: De manera similar a los keyloggers, los troyanos pueden ingresar a su computadora y monitorear su comportamiento, robando cualquier cosa que se parezca a un patrón de tarjeta de crédito, una clave, una llave, una contraseña o una semilla de criptomoneda. Los troyanos no son exactamente una cosa nueva, y lo más probable es que ya sepa cómo evitar que infecten sus dispositivos. Comprobaciones periódicas de antivirus, descarga de archivos de fuentes seguras, etc. Si un troyano obtiene acceso a tu dispositivo e identifica tus claves, el ciberdelincuente detrás de este puede vaciar fácilmente su monedero en cuestión de minutos sin que te des cuenta.

Instalar extensiones en el navegador: Como nos gusta simplificarnos la vida con extensiones que nos hagan el trabajo… incluso nos encanta guardar claves en el navegador para evitar la fatiga de ingresarlas cada vez. Desde las pantallas de impresión hasta las verificaciones gramaticales, las extensiones del navegador nos facilitan la vida de muchas maneras. Pero su naturaleza oculta también constituye una amenaza potencial para nuestra seguridad. Ha habido numerosos informes de extensiones de navegador que, además de ofrecer el servicio esperado, también supervisan y copian datos. Por lo tanto, la próxima vez que otorgue acceso a una extensión, verifique la empresa o el desarrollador que la respalda y verifique las revisiones en línea. ¡Sea desconfiado!

Autenticación de dos (2FA) o múltiples factores (MFA): La autenticación de dos o más factores, es una capa adicional de seguridad que utilizan proveedores de monederos confiables para garantizar que los usuarios reales estén detrás de ciertas transacciones u operaciones. Si bien esto sigue siendo una forma extremadamente efectiva de protegernos de transacciones no solicitadas y actividades fraudulentas, ha habido casos en que los ciberdelincuentes encontraron formas de evitarlas. Por esa razón, es vital vigilar siempre las notificaciones que recibe.

Anuncios falsos: A las empresas de criptomonedas no les resulta fácil anunciarse en Google, Facebook o Twitter. Sin embargo, algunas compañías fraudulentas pueden encontrar una forma de lanzar campañas de corta duración dirigidas a personas dispuestas a comprar o vender criptomonedas. Una bandera roja común son las tarifas o tarifas ridículamente competitivas que ofrecen estos servicios. Como regla general, siempre vaya con compañías con licencia en lugar de probar proveedores desconocidos.

Desordenando tu portapapeles: Para aceptar pagos directos de criptomonedas generalmente compartimos la dirección de nuestro monedero o tomamos la dirección del monedero de algún sitio web para que pueda copiarla y pegarla en su billetera para transferir dinero. Pero, ¿qué pasa si hay un malware que arruina esa operación simple y en lugar de pegar la dirección del minorista, introduce una diferente? Ese tipo de malware no es nuestro invento. Por ejemplo; según informes un programa bajo el nombre de CryptoShuffler ha robado miles de dólares haciendo exactamente eso. Para prevenirlo, la forma más simple es verificar la dirección que está pegando, aunque en realidad no es una tarea atractiva.

En síntesis; si se puede hackear un wallet para criptomonedas, pero para hacerlo, la participación activa del propietario es mayormente parte de la violación.