La imaginación humana no tiene límites. Mientras la mayoría de las personas la utiliza para crear un mundo mejor, siempre hay personas que, individualmente u organizadas en grupos, son capaces de darle una vuelta de tuerca a su capacidad de innovación para hacer el mal. El caso de las redes sociales es harto conocido como caldo de cultivo para que los ciberdelincuentes campen a sus anchas. Sin embargo, la novedad se llama criptophising social, y en los últimos meses ha experimentado un importante repunte. Se trata del uso de las redes para robar dinero engañando a sus víctimas, con el uso de criptomonedas y suplantando la identidad de otras personas o empresas.
Es el caso de la estafa que perpetraron unos hackers hace unos días en la que crearon dos cuentas en YouTube casi idénticas a las de SpaceX, la compañía espacial de Elon Musk, con las que robaron unos 150.000 euros en bitcoins.
Una vez más, los ciberdelincuentes no tuvieron que recurrir a la compleja programación de un malware para minar las criptomonedas o para hacerse con las claves de acceso a las cuentas corporativas de la compañías. En lugar de eso, los hackers reutilizaron varias cuentas de YouTube que habían creado ellos con anterioridad y que habían “alimentado” de contenidos para lograr tener cientos de miles de seguidores.
Cuando ya habían logrado la “masa crítica” de suscriptores a los canales, les cambiaron el nombre y copiaron con exactitud la identidad corporativa de los canales oficiales de Spacex, para luego emitir en directo algunas presentaciones del propio Elon Musk que ya estaban publicadas en las cuentas de la compañía.
Para llevar a cabo el timo, los hackers pedían una pequeña donación en bitcoins bajo la promesa de duplicar la cantidad aportada. Al utilizar como paraguas de la fechoría a una de empresa con tanto renombre como Spacex, las víctimas no dudaron en hacer microingresos en la cuenta que se indicaba en los falsos canales de YouTube. En concreto, los ciberdelincuentes generaron algo más de 15 bitcoins en poco más de 100 donaciones.
Por lo general, “debemos desconfiar de cualquier persona o empresa que nos pida dinero por Internet, sobre todo si lo hace por medio de cauces poco habituales como las redes sociales”, advierte Hervé Lambert, Global Consumer Operations Manager de Panda Security, quien añade que “antes de efectuar cualquier pago digital, siempre hay que cerciorarse de que quien nos está pidiendo es quien dice ser. Ante la duda, lo mejor es llamar por teléfono a la empresa o consultar a la Policía”.
Pero YouTube no es el único entorno en el que los hackers campan a sus anchas para robar criptomonedas. En los últimos dos años este tipo de estafas también se han multiplicado en Twitter. El criptophishing social es especialmente visible en esta red social, donde los ciberdelincuentes suplantan la identidad de personalidades muy populares en el mundo del blockchain.
Por medio de fotos retocadas de personalidades tecnológicas y empresas con photoshop, los delincuentes entablan conversaciones con la comunidad para hacer supuestas pruebas y experimentos con los que van pidiendo a sus víctimas que hagan microingresos a cambio de buenos beneficios.
Además, a lo largo de 2020 y coincidiendo con la gran confusión que se ha generado en todo el planeta con la crisis del Covid-19, han aumentado estos ataques por medio de deepfakes.
En total, según New York Post, los ciberdelincuentes han robado más de 20 millones de euros en criptomonedas en lo que va de 2020. Se trata de varios millones más de lo que se sustrajo durante 2017, 2018 y 2019 juntos.
Como decíamos al principio de este post, la imaginación humana es ilimitada. Hay miles de combinaciones de estafas informáticas y tradicionales que llevar a cabo con las redes sociales, como los robos de dinero, la sextorsión, esquemas Ponzi, malware y un sin fin de posibilidades para atacar o extorsionar a una persona.
“El criptophishing social no es más que una nueva combinación, de las que veremos innumerables mutaciones y adaptaciones. Por ello, tenemos que quitarnos de la cabeza la idea de ‘proteger nuestros dispositivos digitales’ e interiorizar que lo realmente importante es defender nuestra identidad digital. Sólo así, podremos adelantarnos a las posibles estafas que nos acechan en la web”, apostilla Hervé Lambert.