Técnicas y vectores de ataque viejos para cosas novedosas. En 2009, hace apenas nada, nació el Bitcoin la primera criptomoneda con la que se empezó a operar de manera virtual así que las criptomonedas no llevan tanto tiempo con nosotros pero las amenazas relacionadas con ellas no dejan de producirse a un ritmo creciente sea usando viejos métodos o adaptando nuevos.
Las criptomonedas, criptoactivos o criptodivisas son medios digitales de intercambio que utilizan criptografía fuerte para asegurar las transacciones financieras, controlar la creación de unidades adicionales y permiten verificar la transferencia de activos tal y como aparece definido en la Wikipedia. Y es que detrás de todo esto está la tecnología Blockchain con la cadena de bloques que no deja de ser una especie de ‘libro de contabilidad virtual’.
Si por la seguridad que entraña esta tecnología es extremadamente complejo, por no decir imposible, modificar la cadena de bloques tal y como se vio en el ciberdebate dedicado a ‘¿Qué es Blockchain? Seguridad y usos de una tecnología disruptiva‘, eso no quiere decir que los ciberdelincuentes desaprovechen cualquier ocasión para enriquecerse sea mediante el engaño, mediante ataques programados o infectando dispositivos y ganar dinero con todo esto.
Criptomonedas ¿cómo atacan los ciberdelincuentes y que se puede hacer al respecto?
En las Jornadas de Seguridad Informática TomatinaCON Josep Albors (@JosepAlbors) director de investigación y concienciación de ESET España y encargado del laboratorio de análisis de malware, hizo un recorrido por las principales amenazas relacionadas con las criptomonedas.
Estos peligros van desde el robo de carteras particulares a los ataques a las ICOs alterando la cartera en la que los usuarios hacen sus transferencias pasando por las estafas por correo en base a información engañosa haciendo creer a los usuarios que van a ganar mucho dinero con una pequeña inversión.
Además está la inyección de código malicioso en páginas webs o la subida de aplicaciones o extensiones del navegador maliciosas incluso a repositorios oficiales para que los usuarios se las descarguen sin percibir que abren la puerta a la tan conocida y extendida minería de criptomonedas maliciosa o cryptojacking tanto en ordenadores como en servidores, dispositivos móviles o dispositivos IoT vulnerables y/o desactualizados.
Algunas de las recomendaciones que sugiere Josep en la charla disponible tanto en vídeo como en podcast a continuación, para evitar este tipo de amenazas son:
- Mantener siempre los sistemas operativos y dispositivos actualizados a la última versión para evitar en lo posible que sean vulnerables.
- Tener instalada alguna medida de seguridad que permita detectar los códigos de minado durante la navegación puesto que la casi totalidad de antivirus están preparados con sus constantes actualizaciones de la base de datos para detectar este tipo de comportamientos extraños.
- Instalar en los navegadores habituales que usemos extensiones para bloquear cualquier tipo de script. Esto es una buena medida de seguridad pero siempre hay que tener en cuenta los pequeños inconvenientes que estas extensiones que bloquean código JavaScript, ventanas emergentes y demás tienen al hacerlo con todas lo que supone tener que filtrar que páginas son de confianza para que la experiencia de usuario no sea un incordio pero se gane en seguridad. Una de estas extensiones recomendables es la extensión NoScript que ya está disponible no solo en Firefox sino también en Chrome y protege contra XSS, los ataques Clickjacking, Spectre, Meltdown y otros exploits de JavaScript.
- Chequear en NotMining si el sitio web está infectado con código malicioso. Sobre este proyecto y sobre cryptojacking está disponible esta charla de su desarrollador José Carlos García Gamero ‘Crytojacking. Detección, prevención e investigaciones‘.
- Existen carteras tanto físicas como online para inversores para proteger las criptomonedas aunque incluso en esto también existen estafas y hay que mirar muy mucho antes de elegir.
Y como última recomendación, aunque parezca que es insistir en un consejo básico que sale a relucir mucho en Palabra de hacker para concienciar a todo el mundo, no hay que confiar nunca en ‘los duros a cuatro pesetas’. Vamos que nadie nos va a regalar nada ni a cambio de una pequeña inversión va a llover un montón de dinero del cielo de manera instantánea. Estas son las típicas estafas de siempre que llegan por correo electrónico o que se ven publicadas en páginas webs de dudosa reputación pero en las que la gente cae atraída ahora por la ‘moda’ de las criptomonedas.
Y esto pasa constantemente, sí pasa. De hecho últimamente aparecen estafas que usan como reclamo a personajes populares para animar a los usuarios a invertir en bitcoin y que van rotando en todo el mundo y actualizando los famosos que utilizan.
Al hilo de esto la iniciativa Maldito bulo ha sacado un artículo donde explica esto con más detalle pues cada día aparecen nuevas víctimas. Si se es víctima de este tipo de engaños con criptomonedas o con cualquier otra cosa hay que denunciar siempre y es que mucha gente con eso de que ‘ha ocurrido en Internet’ o porque la cantidad económica que han perdido no es muy elevada o porque aparece el sentimiento de vergüenza que paraliza a muchas víctimas no se denuncia y eso no puede ser. Aquí recuerdo una serie de consejos que dejó Silvia Barrera a su paso por Palabra de hacker sobre ‘Delitos informáticos y consejos a la hora de denunciar‘ por si fuera necesario.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!