José ha perdido todo lo que tenía en su cartera digital. Cambió una criptomoneda que resultó ser una trampa: una vez en su cartera, este token -sinónimo de criptomoneda, una unidad digital de intercambio- fue transfiriendo fuera los fondos que tenía en otras monedas virtuales. Un robo de criptomonedas, en otras palabras, en el que alcanzaron a llevarse unos 100 euros al cambio. “Yo no me di cuenta porque no veía las transacciones. Me metía en el historial de Metamask y no aparecía. Pero sin embargo a través de una página que se llama BSC Scan tú puedes analizar todos los movimientos de tu wallet. Gracias a eso me di cuenta de que me estaban extrayendo los fondos”, dice.
La estafa que ha sufrido José no es de las más conocidas aunque hay otras víctimas, como puede verse en otros foros en los que muchos usuarios como él piden ayuda. Lo malo es que en estos modelos de la “web descentralizada” nadie contesta.
“Yo intenté contactar con Metamask y no me respondían los mensajes, han pasado de mí, no me han dado ninguna solución”, dice Jose. En el único sitio en el que ha encontrado alguna explicación de lo ocurrido y consejos para la próxima vez es un grupo de Telegram, CrawlCrew, mantenido por Ivan García, un analista en inversión en criptomonedas.
Estafas clásicas, robo de criptomonedas y engaños digitales
García abrió un canal en Twitch para hacer divulgación sobre temas de criptomonedas y su robo. Sus principales ingresos vienen de su empresa de márketing online, y dice llevar en el mundo de las criptomonedas desde 2014. Aunque no se considera un profesional del trading, investiga algunos proyectos antes de invertir. En los últimos años lo ha hecho en finanzas descentralizadas (DeFi) a medio y largo plazo, también en NFT.
García distingue entre las estafas “clásicas” en las que “te dicen dame dinero que te invierto en criptomonedas, pero de la misma manera podrían haberte dicho te invierto en almejas”; y por otro lado los scams, hackeos o fugas de seguridad, que son cada vez más frecuentes por la popularización de las finanzas digitales.
Esto último parece ser lo que ha sucedido con Jose, que compró las criptomonedas que luego le vaciaron la cartera en PancakeSwap, un exchange descentralizado.
Mercados de acciones operados por un ‘smart contract’
Un exchange es una casa de cambio online en la que se compran y venden tokens o criptomonedas, y funciona como un mercado de acciones. Los hay centralizados, como Coinbase o Binance, que son propiedad de la compañía que los opera y mantienen el control total sobre todas las transacciones; y descentralizados, que están operados por un smart contract, por código informático.
Estas plataformas, que eliminan intermediarios, han crecido a la par que las DeFi (descentralized finance), los servicios financieros que funcionan en blockchain públicas.
García explica que tienes mucho más riesgo de que te hackeen o te engañen cuando sales de los exchanges tradicionales (como Binance, Coinbase, Kucoin), porque esas plataformas tienen más medidas de seguridad. “Tienen un equipo detrás. Cuando sales al mundo libre, con una cartera tipo Metamask, donde tú tienes la posesión de tus token, tienes total responsabilidad con tu dinero”.
PancakeSwap y los altos rendimientos
PancakeSwap es el exchange en el que José compró las criptomonedas que luego le vaciaron la cartera. El exchange descentralizado (o DEX, por descentralized exchange, como también se les llama) más famoso es Uniswap, que se ejecuta en la red Ethereum.
PancakeSwap también es un mercado descentralizado, pero opera en Binance Smart Chain (BSC), otra blockchain, creada por Binance. Ha logrado ofrecer mejores rendimientos en las transacciones y niveles insignificantes de tarifas de transacción, por lo que ha crecido mucho últimamente.
Estos mercados buscan ofrecer liquidez, por lo que premian con porcentajes generosos de criptomonedas a quienes dejen activos parados por un tiempo. Un token llamado CAKE por ejemplo, en PancakeSwap está en un 80% anual, es decir que si dejas 1000 CAKES estaqueados, al cabo de un año tendrás 1800 CAKES. Se aumenta en un 80% el valor en tokens, y luego depende a lo que esté el valor en dólares. A esto se le llama hacer stake o “estaquear”, como dicen los inversores. PancakeSwap es una de las plataformas más clásicas para hacer staking, porque la red BSC es de las más populares para usuarios normales.
Robo de criptomonedas: Metamask y la descentralización
Cuando intentamos buscar responsables de lo sucedido con los tokens robados a Jose, en las conversaciones con los dos criptoinversores se repite una frase: “Esto es así, para lo bueno y para lo malo”.
Con ‘esto’ se refieren a las características de estos modelos descentralizados de la web3, como PancakeSwap, que quitan intermediarios, pero a cambio la responsabilidad cae en el usuario. “Podemos hacer la comparativa cuando tienes dinero en el banco, si roban, el banco te va a devolver el dinero; pero cuando lo tienes en Metamask, es como si lo tuvieses en tu cartera, si viene alguien a robar o se lo das a alguien, es tu responsabilidad. Y nadie va a responder por ese dinero. Ese robo quedará impune”, dice García.
Metamask es el programa que sirve para que desde tu navegador 2.0 puedas comunicarte con la web 3.0, es decir, con los nodos de la blockchain donde se anotan las transacciones de criptomonedas. Oirás decir que es una cartera descentralizada, pero descentralizado quiere decir que se utiliza para interactuar con aplicaciones descentralizadas, no que sea abierto, mantenido por una comunidad de software libre, o que no tenga una autoridad central. De hecho, el control de Metamask está en manos de Consensys, una compañía privada que lo ha desarrollado y puesto a disposición gratuita de los usuarios.
En Consensys están al tanto de estos tipos de estafa. Consultados por Newtral, dicen que MetaMask es un software no custodiado que se ejecuta localmente en los dispositivos, similar a un navegador web, y que al igual que un monedero físico en el bolsillo trasero de un individuo, no tiene ningún acceso a los fondos de los usuarios. “Es responsabilidad del propietario del monedero no compartir nunca su frase secreta de recuperación con nadie”, indican.
Phishing para llegar a la frase semilla
¿Cómo lo hacen? Hay varias formas y tipos de engaños. Uno es a través del phishing, y le sucedió a García, a pesar de sus años de experiencia. “A mí, usuario avanzado de internet, me han hackeado la cartera también”. Descubrieron el email de su trabajo en una empresa, le enviaron un email con un archivo tipo .doc adjunto, lo abrió. Era un virus troyano.
Este malware “tenía keyloggers (programas que registran todo lo que tecleas), con grabación de pantalla, y con eso consiguieron acceder a mi Metamask, que estaba en el navegador. Como tienen tu contraseña pueden llegar a la frase semilla, es un problema grave de Metamask”, dice.
INCIBE aconseja ante un robo de corptomonedas recopilar los registros de las transferencias como prueba y hacer la denuncia
¿Debería reforzar su seguridad Metamask? Los casos de software malicioso que se hace pasar por MetaMask en Google Chrome han sido un problema recurrente para Google. Sin embargo, como Metamask no almacena datos de los usuarios en un servidor central no ha sufrido un hack dirigido hacia sí misma, y por eso se considera segura.
Desde la compañía reconocen a Newtral.es que tienen múltiples colaboraciones con empresas de seguridad y antiphishing que están trabajando para perseguir a los estafadores, y hay investigaciones en curso sobre varios grupos de delincuentes identificados. Recomiendan “encarecidamente” el uso de un monedero físico ya que la app ofrece esa opción.
“Lo de Metamask no es una falla de seguridad realmente”, dice García, apuntando a que el usuario es el que debe tomar las precauciones necesarias.
En el servicio ‘Tu Ayuda en Ciberseguridad’ del Instituto Nacional de Ciberseguridad (INCIBE) han recibido alguna consulta relacionada con Metamask, en la que había un virus instalado en el dispositivo y se produjeron transferencias de las criptomonedas de la billetera de la víctima a otra billetera, previo acceso a su cuenta.
Son más frecuentes las consultas en las que los estafadores entablan una relación de broker con el usuario (intentan que la relación sea casi de amistad con la víctima), indicándole que si invierte una cantidad económica reducida obtendrá importantes beneficios.
Habitualmente utilizan plataformas trucadas en las que el usuario ve aumentar sus beneficios de manera desmedida. Una vez que la víctima ve estos beneficios, (que pueden ser de 150.000 o 200.000 euros) y quiere retirarlos, le piden diferentes cantidades económicas que pueden ser de varios miles de euros con la excusa de bloqueos internacionales en cuentas bancarias o aduanas.
Cuando un airdrop es un caramelo envenenado
Otra manera de acceder a los permisos de la criptomoneda es que se los des tú sin saberlo, a través de Metamask, Trust Wallet u otros puntos de acceso a la web3.
Los airdrops son una forma de incentivo bastante extendida en los que se regalan tokens a los primeros usuarios para impulsar el interés por determinada criptomoneda. Pero también pueden ser un caramelo envenenado cuando se usan para distribuir tokens maliciosos.
“A veces aparecen en tu cartera tokens que no conoces, y muchas veces los usuarios van a PancakeSwap para cambiarlo por otra criptomoneda, BNB o CAKE, y es entonces cuando llega el problema”, explica García. Para hacer una transacción con tu cartera, hay que dar permisos a esos tokens y quizás des más de los realmente necesarios. Es entonces cuando los tokens maliciosos podrán hacer transacciones desde tu cartera. Algunos incluso van drenándola poco a poco para que el usuario no se dé cuenta.
Parece que algo así le sucedió a Jose, aunque no fue un airdrop. Hasta donde pudo indagar, cree que el token en cuestión fue uno llamado WSG (Wall Street Games) que él había comprado a través de PancakeSwap. Una vez que le hubo concedido permisos para hacer stake “fue cuando comenzaron las cosas raras hasta que drenaron toda la cuenta de Metamask”, dice Jose.
Aunque en algunos foros pueden verse testimonios de usuarios que han sufrido robos similares con monedas recibidas como regalo (airdrop), en el INCIBE no tienen información en este sentido, y señalan que tras la información que les hemos dado desde Newtral lo investigarán.
Ante un robo de criptomonedas como los expuestos aquí, INCIBE aconseja recopilar los registros de las transferencias como prueba y realizar una denuncia presencial ante las fuerzas de seguridad. También recomienda denunciarlos en la propia plataforma. Cuando sea posible, y haya quien responda, claro.
Metamask/Consensys también recomienda a los usuarios notificar inmediatamente a la policía, y monitorear los fondos en Etherscan o un explorador de bloques similar. Explican que cuando los fondos se transfieren a un mercado centralizado, este puede intervenir, congelar los fondos, y poner en marcha una investigación. La mayoría de los exchanges requieren una comunicación por parte de las fuerzas del orden para iniciar este proceso, por lo que es importante meter a la policía en el loop tan pronto como sea posible.
“La culpa sino más bien es de cómo está hecho el sistema con blockchain al final. Hay que tener en cuenta que esto no es como el sistema financiero normal, que tienes un banco intermediario que te cubre de muchas cosas. No. Aquí estás tú frente al mundo, y eres responsable de lo que haces. Es parte de lo bueno y lo malo”, zanja García.
Qué hacer para evitar scams o robos de criptomonedas
Lo primero: desconfiar, nadie regala nada. Cuidado con los airdrops.
Comprobar los permisos que se piden para los tokens antes de firmar con tu wallet.
Tener una wallet fría (monedero físico) asociado al Metamask, para añadir una capa de seguridad.
Si sospechamos que nuestro Metamask está comprometido, crear uno nuevo antes de asociarlo a la wallet fría.
Intentar utilizar un navegador sólo para transacciones y servicios con criptomonedas. Para más seguridad, dedicar un ordenador sólo para ello.
Poner alertas en BSC Scan o en Ether Scan: así si llega a haber transacciones que no esperas, puedes actuar rápidamente.
Cuidado con los tokens desconocidos: si te llegan, no tocarlos. Si no interactuamos con ellos no pasa nada, el problema viene al darles permisos para intercambiarlos o hacer stake.
Dedicar una wallet separada a ser caja fuerte, y utilizar otra para menores cantidades que interactúe con las plataformas en el día a día.
Seguir buenas prácticas de seguridad para evitar phishings y otros ataques informáticos.
Fuentes
- Instituto Nacional de Ciberseguridad (INCIBE)
- Metamask/Consensys
- Jose, inversor en criptomonedas y víctima de robo de criptomonedas
- Ivan García, analista, inversor y divulgador de finanzas descentralizadas
Me an estafado tengo 50000€ en wallet y cada vez que entento retirarlos va para una cartera que se llama etherscan .... Alguien sabe quién me pueda ayudar???
Me ha servido mucho la información, tengo miedo porque es la primera vez que un token que precisamente no adquirí y por eso desconfié, ingresa en mi wallet, no lo he intercambiado ni nada pero si revisé su smart contract y aparece riesgoso, me gustaría retirarlo de mi wallet o no sé si de plano eliminar esa wallet ya que no tiene muchos fondos y cómo evitar que vuelva a suceder algo así?
Hola necesito ayuda tengo una duda igual entre a un grupo que nos llevó de ganar poco di ero hasta llegar hacer tareas de criptomonedas todo iba bien hasta que por último noe contestan termine una tarea y no me han dado nada mi duda es que tengo el dinero en mi cartera de tru wallet y nose si pueda recuperar ese dinero ya que noe responde la chava que me estaba ayudando
me robaron 718mil shibainu de metamask hace 13 dias pero yo no entro desde hace mas de 4 meses a metamask, no acepte nada, lo tengo sin loguear en el crome, una verguenza esa billetera, es mas lo queria pasar a binance la ultima vez que entre y me salia mas caro el gas que el valor de los shiba inu, no entiendo como pudieron sacarlos
A mi me estafaron 500€ En MetaMask me mandaba un Qr tras otro para pagar el gas de opensea y era todo mentira . No vuelvo mas por allí .
Que hago si me estafaron me pidieron hacer muchos depositos
Hola fui estafada atravez de tegram un individuo se hizo pasar por mediador para que yo invierta en criptomonedas me convenció de invertir y he perdido 260 euros la verdad no sabía mucho del tema me hizo comprar cryptomonedas y me las hizo enviar en su cuenta yo no caí aunque dije que raro segun en en menos de 1, hora había ganado 18,300 dólares que para cobrarlos tenía que hacer un envío de 135 euros que ya no los hice xq se supone que ya había invertido raul monje del pino así se hace llamar en las redes sociales
Muy buen artículo, pero me sorprende que fácil es darle la vuelta a la tortilla. La famosa Web 3.0 o Web 3, se basa en la descentralización, la promesa de aumento de democratización de la web, y de una mayor seguridad, sin embargo, para el usuario neófito que hasta ahora sólo tenía que guardar su credencial de acceso seguro y confiar en la empresa que haya detrás (Amazon , …), ahora se enfrenta al reto de ser el quien haga de Trust center … esto conlleva mucho riesgo detrás.
Al igual que pso con las redes P2P, donde cada vez era más frecuente descargarte contenidos que no eran lo que parecían, me temo que esto pueda pasar aquí también. De hecho ya está pasando y esto irá en detrimento del Hype de la cripto, la web 3 y la credibilidad … está en fase incipiente, pero indudablemente se tendrán que desarrollar modelos híbridos que aporten seguridad y agilidad a estos sistemas.
Me han robado 100.000 euros en blockchain.com.es. Alguien ha hecho un retiro y no he sido yo. Hay alguna posibilidad de recuperarlo ?