“Recibí un mensaje advertiéndome de que alguien desde Rumanía estaba tratando de entrar en mi cuenta [de Binance], señalando que si no era yo quien estaba entrando, llamara de inmediato al número que me proporcionaban”. Esto afirma un lector de Maldita.es que cayó en un ataque en el que los ciberdelincuentes se hacían pasar por Binance, una herramienta digital para almacenar y gestionar criptoactivos. “He perdido una cartera de cerca de 12.000 euros”, asegura esta persona. Se trata de un ataque de smishing y vishing: los estafadores suplantan la identidad de la billetera Binance a través de SMS y, posteriormente, por medio de una llamada telefónica para hacerse con tus datos personales o tu dinero.
Cómo suplantan la identidad de Binance a través de SMS y llamada
Un usuario de Maldita.es escribió a nuestro mail [email protected] explicando que había caído en una estafa. “Mediante un mensaje SMS en el mismo chat en el que Binance (oficial) me suele enviar las credenciales de seguridad (...), recibí un mensaje advirtiéndome de que alguien desde Rumanía estaba tratando de entrar en mi cuenta”, señala en el correo electrónico. Se trata de técnicas que usan los estafadores para robar tus datos o dinero.
El SMS que recibió el usuario instaba a llamar a un número de teléfono. En la llamada, mediante instrucciones en inglés, los estafadores le dieron una serie de pasos que seguir para, supuestamente, “poner las criptomonedas a salvo”. Le indicaron que debía mover el dinero de su cuenta de Binance a otro monedero dentro de la misma plataforma.
“Ellos mismos me enviaron un nuevo mensaje con el código para que accediera al monedero que supuestamente me habían creado y en el que debía depositar mis criptomonedas para que quedaran a salvo”, cuenta el usuario. Esta es una de las maneras que comúnmente se usa para verificar la identidad de las personas que quieren realizar transacciones como enviar dinero de una cuenta a otra.
Tras depositar las criptomonedas en la billetera de Binance que le indicaron, empezaron a desaparecer hasta pasar de 12.000 euros a cero.
Los timadores se aprovechan de que rastrear las transacciones con criptomonedas es complicado para mantener su anonimato
¿Es posible encontrar a los timadores? Según nuestro lector, Binance no se hace responsable de su caso “porque es imposible rastrear una transferencia”. Es cierto que es muy difícil rastrear este tipo de transferencias en criptomonedas. Estas funcionan gracias a una tecnología que es descentralizada, por lo que no está controlada por una entidad específica o una empresa. Esto significa que los usuarios que la utilizan pueden permanecer en el anonimato.
José María de Fuentes, profesor titular de ciberseguridad de la Universidad Carlos III de Madrid y maldito que nos presta sus superpoderes, afirma que “la mayoría de las criptomonedas son el caldo de cultivo perfecto para los cibercriminales, precisamente por la dificultad del rastreo de los fondos”.
Según el experto, hay compañías especializadas en hacer estos seguimientos, pero “para ello cuentan con potentes sistemas que no sólo incorporan la información de la blockchain (que es la tecnología subyacente de las criptomonedas), sino también cruzan información con otras fuentes para ganar confianza en los hallazgos”. Añade también que “las cuentas de una criptomoneda en realidad están asociadas a un identificador numérico (o sea, no a personas como tal ni a nada que nos identifique)”.
Por su parte, desde Binance señalan a Maldita.es que, “una vez realizada una transacción, rastrear los fondos puede resultar complicado sin las herramientas y el conocimiento adecuados. Sin embargo, todas las transacciones en blockchain se registran en un libro mayor público (ledger), lo que puede ayudar a los investigadores a rastrear actividades ilícitas”. Y añaden: “Nuestros equipos internos de gestión de riesgos colaboran con las fuerzas de seguridad para apoyar las investigaciones cuando sea necesario”.
También José Rafael Peña, analista de Bitcoin y maldito, comenta que estas transacciones "sí pueden ser rastreadas. Esto por que casi todas las criptomonedas tienen un registro público, que con solo entrar a un explorador de bloques de la criptomoneda y la dirección a dónde lo enviaste puedes ver todos los movimientos de esta".
Binance advierte de este ‘modus operandi’
En su sitio web oficial, Binance advierte sobre ataques de SMS spoofing pues, según ellos, es una técnica muy común con la que los estafadores reemplazan el identificador del remitente por el número o nombre de una empresa. “Estos SMS se agrupan bajo el mismo hilo que los mensajes oficiales, como los códigos 2FA, debido a que los hackers utilizaron la suplantación de identidad por SMS para manipular el Id. [número de identificador] del remitente y disfrazar la fuente real del mensaje”, aseguran, tal y como le ha pasado al lector que nos ha escrito.
“Los estafadores manipulan a los usuarios para que transfieran sus fondos a un TrustWallet que, según ellos, garantizará la seguridad de los activos de los usuarios. Los estafadores crean esta billetera con anticipación y proporcionan a las víctimas su frase inicial, presentándola como una alternativa segura. En realidad, esta billetera está completamente controlada por los estafadores”, explican.
Una vez que los usuarios transfieren sus fondos a ese TrustWallet, “los estafadores obtienen acceso inmediato a los activos a través de la frase inicial proporcionada, lo que les permite robar los fondos al instante”, asegura la compañía. La frase inicial puede ser una serie de palabras o números que utilizan para generar confianza en la transacción.
Cómo evitar ataques de ‘smishing’ y ‘vishing’ que suplantan plataformas de ‘exchange’ de criptomonedas como Binance
Para evitar que los estafadores quebranten fácilmente la seguridad de tu teléfono y se cuelen SMS en tu bandeja de Binance, la empresa de criptomonedas recomienda un código antiphishing, el cual añade una capa extra de seguridad a tu cuenta.
De acuerdo con la empresa, “habilitar este código en los mensajes de SMS te permite cotejar el código del SMS con el que hayas configurado, lo que valida la autenticidad del mensaje y te ayuda a evitar intentos de phishing”. Todas las recomendaciones y la manera de instalar este código antiphishing están disponibles en su sitio web.
También Binance aconseja mantenerse alerta ante comunicaciones o contactos no solicitados en los que se pida información personal o se inste a tomar acciones inmediatas.
“Binance nunca pedirá detalles sensibles de la cuenta ni contraseñas a través de llamadas telefónicas, mensajes o correos electrónicos. Recomendamos activar funciones de seguridad avanzadas, como la autenticación en dos factores (2FA), y verificar la autenticidad de los mensajes a través de los canales oficiales de Binance”, indican a Maldita.es.
Qué podemos hacer si hemos caído en el timo
“Cualquier persona que sospeche haber sido víctima de un fraude debe ponerse en contacto con las autoridades locales para denunciarlo”, afirman desde Binance a Maldita.es.
También Elena Davara Fernández de Marcos, abogada en LegalTech en Davara & Davara y maldita que nos ha prestado sus superpoderes, recomienda denunciar: “Que se haga la denuncia en Binance, pues habrá que ver si han puesto las medidas de seguridad necesarias. También en la Policía, que tienen una sección de delitos informáticos. En caso de que se hayan visto afectados datos personales, podrían acudir a denunciar en la Agencia Española de Protección de Datos (AEPD)”.
En este artículo han colaborado con sus superpoderes los malditos Elena Davara Fernández de Marcos, abogada en LegalTech en Davara & Davara, José María de Fuentes, profesor titular de ciberseguridad de la Universidad Carlos III de Madrid y José Rafael Peña, analista de Bitcoin
Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de WhatsApp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.
