Por desgracia, muchas veces los árboles no nos dejan ver bien el bosque. Es el caso del último malware detectado para robar credenciales en dispositivos de Apple. Aunque es cierto que los hackers atacaban a estos dispositivos, la realidad es que buscaban robar criptomonedas. Cada año se roban más criptoactivos. Sin ir más lejos, en lo que va de 2024 ya se han sustraído más de 1.200 millones de euros en criptomonedas. En este post te contamos los tres principales robos de criptoactivos en lo que va de año.
Los dispositivos de Apple siempre han tenido la fama de ser los más seguros. Se trata de una verdad tan extendida, que los usuarios de la manzanita tienden a creer que sus dispositivos son inmunes al malware. Sin embargo, ni existen ni, seguramente, jamás existirán los dispositivos 100% ciberseguros. De hecho, en Panda Security acabamos de detectar un Malware as a Service que amenaza directamente al sistema operativo de Apple para robar monederos de criptomonedas.
El ataque es sencillo. Por medio de “malvertising”, es decir de anuncios legítimos en redes sociales y publicidad digital, los grupos de hackers sirven banners a sus víctimas en los que se les avisa de la necesidad de una actualización. El malware se descarga a través de documentos que parecen ser legítimos para iOs y MacOs, hasta el punto que utiliza imágenes de disco (DMG).
Pero, no nos dejemos engañar. No dejemos que los árboles no nos dejen ver el bosque. El verdadero fin de este malware no es robar a los usuarios de Apple por tener un iPhone o un Mac. Lo que realmente quieren es acceder a su perfil financiero de criptomonedas. Aunque la conocida marca fundada por Steve Jobs suele acaparar la atención de los usuarios en las noticias relacionadas con los virus. El verdadero problema subyace en el ansia de los grupos de ciberdelincuentes por robar credenciales con el fin de hacerse con criptoactivos guardados en monederos como MetaMask o Coinbase.
Y es que este año 2024 se está produciendo un aumento significativo de robos de criptomonedas. Tanto es así que, durante la primera mitad del año, se han robado más de 1.200 millones de euros en criptomonedas, el doble que en los seis primeros meses del año pasado.
El robo de más de 300 millones de euros en Bitcoins
El ataque más importante en lo que va de año se ha producido en el exchange japonés DMM Bitcoin. Sufrió el robo de 4.500 BTC, algo más de 300 millones de euros
Este incidente, que afectó profundamente al mercado japonés, demostró las vulnerabilidades de los exchanges centralizados frente a los crecientes ataques de cibercriminales. Aunque hubo cierta opacidad en la comunicación de los detalles del ataque, todo apunta a que los cibercriminales usaron la táctica del envenenamiento de direcciones (en inglés, address poisoning). Se trata de una táctica en la que los atacantes envían pequeñas cantidades de criptomonedas a sus víctimas para confundirlas en las transacciones futuras.
Detalles del ataque de envenenamiento de direcciones
En concreto, los cibercriminales “invierten” pequeñas cantidades de criptomonedas para que aparezcan en el historial de transacciones de la víctima. La estrategia consiste en que la cuenta desde la que hacen los ingresos es muy parecida a alguna a la que la víctima suele hacer transacciones. De este modo, al intentar realizar una nueva transacción, la víctima elige la dirección errónea desde su historial de transacciones recientes. Esto puede llevar a que los fondos sean enviados a la cartera del atacante en lugar de a la dirección prevista.
Es importante tener en cuenta de que no se trata de un hackeo directo al sistema. Esta técnica aprovecha el descuido de los usuarios y la similitud visual entre direcciones, para robar grandes cantidades de criptomonedas.
“A pesar de las crecientes inversiones en seguridad, los malos siempre encuentran una nueva forma de crear y explotar brechas en los sistemas. A veces lo hacen mediante malware y, otras muchas, por medio de engaños a las personas. Casos como este, ponen de manifiesto la necesidad de implementar medidas de seguridad avanzadas en todo el entorno digital de una persona. No hay que pensar en dispositivos aislados, sino en nuestra identidad digital, Y, por supuesto, si se tienen grandes cantidades de criptoactivos, es importante contar con carteras multisignatura, cifrado robusto y auditorías regulares de seguridad”, advierte Hervé Lambert Global Consumer Operations Manager de Panda Security, a WatchGuard brand.
Robo de tokens en plataformas de Finanzas Descentralizadas
El segundo ataque masivo en lo que respecta al dinero robado ha sido que sufrió PlayDapp en febrero de 2024. Este incidente fue de especial gravedad en el mundo de las plataformas DeFi (Finanzas Descentralizadas). Con la pérdida de tokens PLA valorados en algo más de 250 millones de euros.
En este caso, los criminales aprovecharon el ecosistema financiero construido sobre blockchain entre usuarios que negocian con activos y servicios financieros directamente entre ellos, sin intermediarios como los exchanges DMM Bitcoin.
La gravedad de este ataque se debe a que los protocolos DeFi son especialmente susceptibles a errores en los contratos inteligentes (conocidos en inglés como smart contracts) y fallos de seguridad en su código.
De hecho, este tipo de plataformas se están convirtiendo en uno de los objetivos preferidos por los grupos organizados de hackers. Tanto es así que los primeros tres meses de 2024, estos ataques representaron aproximadamente el 60% de los incidentes de criptocrimen,
“Los robos a través de vulnerabilidades en contratos inteligentes no solo generan enormes pérdidas financieras, sino que también erosionan la confianza de los usuarios en el ecosistema DeFi”.
Approval phishing aprovechando el desconocimiento del mundo DeFI
Y como en el mundo de la ciberseguridad siempre llueve sobre mojado, el phishing ha seguido siendo una de las principales “fuentes de ingresos” para los malos. En concreto, lo ha sido una variación de este ciberataque denominado approval phishing. Se trata de una técnica de fraude en la que los ciberdelincuentes engañan a los usuarios para que otorguen permisos a sus carteras de criptomonedas sin que se den cuenta.
A diferencia del envenenamiento de direcciones, el approval phishing se basa en la manera en la que los atacantes engañan a sus víctimas para que autoricen transacciones dentro de sus carteras crypto o envíen fondos a direcciones fraudulentas. Generalmente, esto se hace a través de interfaces que parecen legítimas.
En lo que va de año 2024, ya se han reportado pérdidas por más de 150 millones de euros como resultado de estos ataques. que son particularmente insidiosos, porque no requiere que el atacante robe las credenciales o claves privadas del usuario. Simplemente se aprovechan de la falta de comprensión técnica sobre las implicaciones de la “aprobación” de transacciones.
Muchos usuarios de criptomonedas, especialmente aquellos nuevos en los entornos DeFi, no son conscientes de los riesgos que se asocian con la concesión de permisos en sus carteras.
Al igual que ocurre con cualquier otro activo financiero, es importantísimo conocer bien los riegos asociados a la inversión. Al igual que hay que formarse sobre cómo operar con criptomonedas. Es de vital importancia entender cuáles son las principales ciberamenazas a las que nos enfrentamos. En este sentido, es primordial contar con partners solventes que aseguren los activos y, sobre todo, a las personas que los manejamos”. Concluye Hervé Lambert Global Consumer Operations Manager de Panda Security, a WatchGuard brand.