Tras las recientes estafas que involucran plataformas falsas de intercambio de criptomonedas y de noticias, acabamos de descubrir una tercera campaña que usa los exchanges DEX falsos y está dirigida a los entusiastas de las criptomonedas que utilizan la aplicación de mensajería Discord. Así es cómo funciona esta nueva estratagema.
Una breve introducción sobre los exchanges de criptomonedas
En primer lugar, ¿qué es el DEX? Existen dos tipos de exchanges o plataformas de intercambio de criptomonedas: centralizados (CEX) y descentralizados (DEX).
Con un exchange CEX, los clientes transfieren dinero a la plataforma de intercambio y los fondos se mueven a un monedero, cuya clave privada se almacena en dicha plataforma. En consecuencia, los operadores de estos sitios de intercambio también son responsables de la seguridad. Los exchanges CEX pertenecen a entidades legales específicas y sus clientes se someten a controles de conozca a su cliente para combatir el blanqueo de dinero. En general, estos sitios son prácticos y de confianza, pero a algunos usuarios les echa para atrás la idea de transferir fondos a la plataforma de intercambio y la posibilidad de que su cuenta se congele durante la comprobación.
A diferencia de los exchanges CEX, los DEX son básicamente intermediarios entre compradores y vendedores. Los traders pueden usar cualquier monedero y no necesitan transferir claves privadas. Las plataformas de intercambio DEX no suelen ser propiedad de ninguna organización en particular y tampoco tienen por qué comprobar a sus clientes, por lo que, como norma general, no están muy interesadas en detener las transacciones ilegales.
El enfoque descentralizado proporciona un mayor anonimato. Además, las plataformas de intercambio DEX a menudo tienen tarifas más bajas, razón por la cual han atraído cada vez a más traders de criptomonedas en los últimos tiempos.
La descentralización también significa más preocupaciones de seguridad para los usuarios y, además del riesgo agregado común que aceptan los usuarios de DEX, los ciberdelincuentes crearon hace poco un sitio de phishing disfrazado de exchange DEX llamado Uniswap.
Cómo engañan a los clientes DEX
Las víctimas potenciales, los usuarios de los populares servidores de criptomonedas de Discord, reciben mensajes de phishing que parecen provenir de Uniswap y ofrecen tokens gratuitos. Los autores hacen pasar su estrategia como un airdrop: un obsequio de monedas, generalmente para promover una nueva criptomoneda, pero a veces también con motivo de la lealtad del usuario o para tareas simples como volver a publicar en las redes sociales. (Estos “obsequios” a veces se denominan dinero de helicóptero).
En su mensaje, los estafadores afirman que varios servicios de criptomonedas acaban de lanzar una campaña de este tipo y el destinatario se encuentra entre los afortunados destinatarios de este obsequio. El premio es bastante jugoso: 2,5 Ethereum y 25000 monedas ZKSwap, lo que equivale actualmente a más de 75000 dólares.
Si uno ignora el airdrop inusualmente generoso, el mensaje parece creíble: el lenguaje es complicado pero no está plagado de errores importantes, el nivel de uso de emoticonos es razonable y la lista de plataformas de intercambio incluye nombres de buena reputación. Incluso incluye términos y condiciones creíbles para recibir el premio.
El vínculo del premio podría despertar sospechas, pero eso es poco probable; muchos ya están acostumbrados a direcciones abreviadas como enlaces t.co o bit.ly.
El enlace conduce a una página muy similar al sitio web de Uniswap, que realizó una promoción de dinero de helicóptero para sus clientes no hace mucho tiempo. Sin embargo, el sitio web fraudulento presenta un nuevo botón con la etiqueta Reclamar recompensas acumuladas.
Al hacer clic en el botón, la víctima accede a una pantalla que solicita la clave privada o la frase mnemotécnica de su criptomoneda (en nuestra historia, los estafadores solicitaron un monedero Metamask). En este caso, una frase mnemotécnica, o frase semilla, es una secuencia de palabras humanas normales que restaura el acceso a un monedero en caso de fallo técnico o cambio de dispositivo.
Cómo no caer en las estafas DEX
Para evitar caer en la trampa de los ciberdelincuentes, sigue estas sencillas reglas:
- Ten cuidado con las ofertas de criptomonedas gratuitas. Los obsequios promocionales de buena fe tienden a estar reservados para los primeros inversores.
- Presta atención a los criterios. Si un mensaje sobre un premio o un sorteo contiene una condición que no has cumplido, aunque la promoción sea real, no serás elegible.
- Consulta a Claimable si tienes alguna duda. Se trata de un servicio gratuito que te permite comprobar si puedes reclamar un premio y solo requiere la clave pública de tu monedero de criptomonedas, sin datos confidenciales.
- Consulta los sitios web oficiales para ver si realmente se está ejecutando una promoción en particular.
- Agrega los sitios web que usas a tus marcadores y visítalos desde allí; no sigas enlaces de mensajes o correos electrónicos.
- Lee las condiciones de uso de los servicios, prestando atención a qué datos pueden solicitarte y cuáles no.