Colega, ¿dónde están mis criptomonedas?

• @MarioGuerraSoto (Disruptive Consulting)

Tabla de contenidos
• Adversarios
• Principales técnicas de ataque para el robo de criptomonedas
• Ejemplos más relevantes
Adversarios
Miembros de una campaña de ataque

• Desarrolladores de código
• Operadores de la campaña
• Equipos operadores de la infraestructura IT
• Equipos de desarrollo de acceso
Principales técnicas de ataque
para el robo de criptomonedas
Ransomware

• Pago de rescate en criptomonedas.

• Los operadores de la campaña prometen a cambio entregar la clave
privada de cifrado y/o no publicar la información robada en Pastebin.
• De forma global, suponen millones de $ en criptomonedas.
Wallets falsas
• Las wallets falsas permiten a los operadores de la campaña robar
criptomonedas.
• Categorizadas como app scam.
• Cebo: wallet que aparenta ser legítima a usuarios poco
experimentados (Ej. Logos de criptomonedas conocidas, nombres de
wallets asimilables a servicios legítimos de criptomonedas).
• Una vez que la víctima descarga, ejecuta y se autentica en una
aplicación falsa, los operadores de la campaña podrán fácilmente
apoderarse de sus criptomonedas, remitiéndolas a cuentas bajo su
control.
Wallets falsas
• Medidas defensivas contra estas apps maliciosas:
• Utilizar apps recomendadas en sitios como bitcoin.org.

• Obtener el enlace de descarga de la app del sitio web del desarrollador.

• Comprobar los comentarios en contra de la app en el market desde el que se descarga esa
app.

• Ser cauteloso de las apps de nueva creación.

• Consultar a conocidos cercanos que tengan más conocimiento sobre wallets sobre esa app.

• Utilizar únicamente wallets que no estén bajo el control de terceros, de modo que el usuario
tenga el control total de las claves privadas y nadie más tenga acceso a ellas.

• Empleo de wallets hardware o anotar en papel las palabras de seguridad.

Campañas ICO falsas
• Las nuevas criptomonedas comienzan con una ICO (Initial Coin
Offering).
• Este sistema favorece la creación de campañas que publiciten falsas
criptomonedas.
• Técnica empleada: Ingeniería social (Ej. Promesa de altos beneficios,
grandilocuente puesta en escena).
• La principal defensa es la propia concienciación de los usuarios, que
deben analizar previamente toda la información disponible relativa a
la nueva ICO.
Hackeo de pools de minado de criptomonedas
• Se trata de una de las primeras técnicas empleadas para robar
criptomonedas.
• Utiliza los sistemas de la víctima para que minen criptomonedas que
reviertan en los operadores de la campaña.
• Los atacantes explotarán gran parte de la potencia computacional de
los sistemas de la víctima, con el consiguiente perjuicio adicional en el
recibo eléctrico.
Empleo de crypto stealers
• Empleo de desarrolladores propios o de commodity malware.
• Las especies de malware diseñadas específicamente para el robo de
información de criptomonedas se denominan crypto stealers.
• Cuando los desarrolladores del commodity malware consiguen
maximizar la efectividad de su producto simplificando a la vez el
manejo de su herramienta, habilitarán a cualquier operador
escasamente sofisticado la ejecución de campañas destinadas al robo
de criptomonedas.
Copia de claves privadas de usuarios
• Los usuarios de wallets de criptomonedas disponen de su propia clave
criptográfica para acceder y operar sus fondos digitales.
• Los cibercriminales centrarán su objetivo preferentemente en sitios
web de criptomonedas, puesto que el éxito del ataque les permitirá el
robo de miles de credenciales de usuario.
• En numerosas ocasiones, este tipo de ataques requiere de la
colaboración de insiders.
Campañas de phishing
• Es uno de los vectores de ataque más utilizados por los
cibercriminales.
• Los operadores de la campaña remitirán miles de correos
electrónicos fraudulentos a usuarios de plataformas de
criptomonedas, esperando que un porcentaje de ellos revele sus
datos personales y/o financieros.
• Las campañas mejor diseñadas emplearán direcciones de correo
electrónico que parezcan reales y conocidas ante usuarios que no han
sido debidamente concienciados en este tipo de técnicas.
Robo de correos electrónicos con credenciales
• En algunos escenarios, todo lo que necesitan los atacantes es obtener
las credenciales de acceso al buzón de correo de la víctima vinculado
con la plataforma de criptomonedas.
• Acceso al correo entrante y saliente de la víctima, lo que les permitirá
obtener información relativa a sus criptomonedas
• En este escenario, no es necesario que la víctima revele sus datos
personales, puesto que toda la información se encontrará al acceso
del atacante.
SIM card swap
• Convencer al operador de la red móvil (Ej. Ingeniería social,
credenciales falsas, colaboración de un insider) para que genere una
nueva tarjeta SIM vinculada al número de teléfono y cuenta actuales
de la víctima.
• Esto permitirá al cibercriminal tanto recibir todos los mensajes SMS
dirigidos a la víctima como suplantar llamadas telefónicas.
• Interceptación de los mensajes SMS o de las llamadas telefónicas
empleadas como 2FA para el acceso a servicios bancarios online o de
criptomonedas.
Sitios web falsos
• Funcionan de un modo similar a las campañas de phishing.
• Diferencia: no se emplean correos electrónicos fraudulentos.
• Se emplean sitios web que mimeticen el sitio web original que
pretenden suplantar.
• Cuando la víctima accede al sitio web, se le pedirá que introduzca sus
datos personales y se le invitará a autenticarse desde esa plataforma
en su wallet de criptomonedas.
• Si bien la mayoría de las plataformas de criptomonedas exigen
disponer de 2FA, la simple revelación de datos personales en el sitio
web malicioso ya supone un problema de seguridad.
Casinos de criptomonedas falsos
• Los casinos que emplean criptomonedas son muy populares entre los
jugadores online porque garantizan total anonimidad a sus usuarios.
• Los cibercriminales también son conscientes de esta creciente
popularidad.
• Establecen falsos casinos web cuyo único propósito es atraer al
mayor número de clientes posible durante un breve periodo de
tiempo para que depositen sus criptomonedas.
• Al alcanzar determinada cantidad, finalizarán sus operaciones y
huirán con las criptomonedas.
Esquemas Ponzi
• Fraude consistente en utilizar como gancho para atraer víctimas la promesa
de unos beneficios muy por encima de la media a cambio de una inversión
inicial.
• Normalmente, el estafador se aprovechará de la falta de conocimiento de
los inversores o empleará sus dotes de ingeniería social para evitar aportar
información sobre la operación real de la empresa.
• En realidad, el estafador retribuirá beneficios a los inversores con mayor
antigüedad utilizando los fondos aportados por los inversores más recientes.
Cuando perciba que el engaño ha sido detectado, huirá con el dinero
disponible.
• Los estafadores han incorporado las criptomonedas como gancho de nuevos
esquemas Ponzi: smart contract Ponzi.
Criptomonedas falsas
• Desarrollar una nueva criptomoneda requiere un gran conocimiento
de la materia y un elevado esfuerzo de un equipo humano.
• Antes de invertir en una nueva criptomoneda, el potencial inversor
debe investigar la credibilidad de los miembros que conforman el
equipo de desarrollo.
• Similitud con los esquemas Ponzi, puesto que no existe un valor real
detrás de las criptomonedas falsas, únicamente hábiles ingenieros
sociales que consiguen atraer a potenciales víctimas.
Robo a tiendas online
• Las tiendas online se adaptan a las tendencias del mercado para
facilitar el pago de los bienes y servicios ofrecidos a sus clientes.
• Actualmente, algunas tiendas online aceptan criptomonedas como
forma oficial de pago.
• Si es objeto de un ciberataque, los cibercriminales podrían llegar a
modificar las cuentas donde los propietarios del negocio online y
recibir en ella los pagos en criptomonedas realizados por los clientes.
Robos debidos a los desarrolladores
• Algunos proyectos fracasan no porque estuviera planeado estafar a
los inversores, sino porque los desarrolladores no prestaron la debida
atención a potenciales brechas de seguridad.
• Si el proyecto carece de medidas SecOps adecuadas (Ej. Protección
antivirus poco efectiva), no se realiza un desarrollo de código seguro
o este código no es debidamente auditado, los atacantes podrían
detectar y explotar los fallos existentes y robar las criptomonedas.
Estafas de intercambio P2P
• Los intercambios P2P proporcionan otro vector de ataque para el
robo de criptomonedas. Los cibercriminales emplearán cuentas de
PayPal comprometidas o tarjetas de crédito robadas mientras que se
realiza un intercambio P2P.
Fraude de cajeros de criptomonedas
• Escaso número de cajeros automáticos BTC.
• Tácticas similares a las utilizadas en el robo de cajeros automáticos
convencionales.
Ejemplos más relevantes
Criptomonedas falsas
• OneCoin.
• BitConnect.
• PlusToken.
• Bitcoin Savings and Trust