Amenazas dirigidas a criptomonedas. MInería, ataques, robo de carteras y mucho más, charla de Josep Albors en TomatinaCON.

Amenazas dirigidas a criptomonedas. Minería, ataques, robo de cuentas y mucho más.

Técnicas y vectores de ataque viejos para cosas novedosas. En 2009, hace apenas nada, nació el Bitcoin la primera criptomoneda con la que se empezó a operar de manera virtual así que las criptomonedas no llevan tanto tiempo con nosotros pero las amenazas relacionadas con ellas no dejan de producirse a un ritmo creciente sea usando viejos métodos o adaptando nuevos.

Las criptomonedas, criptoactivos o criptodivisas son medios digitales de intercambio que utilizan criptografía fuerte para asegurar las transacciones financieras, controlar la creación de unidades adicionales y permiten verificar la transferencia de activos tal y como aparece definido en la Wikipedia. Y es que detrás de todo esto está la tecnología Blockchain con la cadena de bloques que no deja de ser una especie de ‘libro de contabilidad virtual’.

Si por la seguridad que entraña esta tecnología es extremadamente complejo, por no decir imposible, modificar la cadena de bloques tal y como se vio en el ciberdebate dedicado a ‘¿Qué es Blockchain? Seguridad y usos de una tecnología disruptiva‘, eso no quiere decir que los ciberdelincuentes desaprovechen cualquier ocasión para enriquecerse sea mediante el engaño, mediante ataques programados o infectando dispositivos y ganar dinero con todo esto.

Criptomonedas ¿cómo atacan los ciberdelincuentes y que se puede hacer al respecto?

En las Jornadas de Seguridad Informática TomatinaCON Josep Albors (@JosepAlbors) director de investigación y concienciación de ESET España y encargado del laboratorio de análisis de malware, hizo un recorrido por las principales amenazas relacionadas con las criptomonedas.

Estos peligros van desde el robo de carteras particulares a los ataques a las ICOs alterando la cartera en la que los usuarios hacen sus transferencias pasando por las estafas por correo en base a información engañosa haciendo creer a los usuarios que van a ganar mucho dinero con una pequeña inversión. Además está la inyección de código malicioso en páginas webs o la subida de aplicaciones o extensiones del navegador maliciosas incluso a repositorios oficiales para que los usuarios se las descarguen sin percibir que abren la puerta a la tan conocida y extendida minería de criptomonedas maliciosa o cryptojacking tanto en ordenadores como en servidores, dispositivos móviles o dispositivos IoT vulnerables y/o desactualizados.

Algunas de las recomendaciones que sugiere Josep en la charla disponible tanto en vídeo como en podcast a continuación, para evitar este tipo de amenazas son:

  • Mantener siempre los sistemas operativos y dispositivos actualizados a la última versión para evitar en lo posible que sean vulnerables.
  • Tener instalada alguna medida de seguridad que permita detectar los códigos de minado durante la navegación puesto que la casi totalidad de antivirus están preparados con sus constantes actualizaciones de la base de datos para detectar este tipo de comportamientos extraños.
  • Instalar en los navegadores habituales que usemos extensiones para bloquear cualquier tipo de script. Esto es una buena medida de seguridad pero siempre hay que tener en cuenta los pequeños inconvenientes que estas extensiones que bloquean código JavaScript, ventanas emergentes y demás tienen al hacerlo con todas lo que supone tener que filtrar que páginas son de confianza para que la experiencia de usuario no sea un incordio pero se gane en seguridad. Una de estas extensiones recomendables es la extensión NoScript que ya está disponible no solo en Firefox sino también en Chrome y protege contra XSS, los ataques Clickjacking, Spectre, Meltdown y otros exploits de JavaScript.
  • Chequear en NotMining si el sitio web está infectado con código malicioso. Sobre este proyecto y sobre cryptojacking está disponible esta charla de su desarrollador José Carlos García Gamero «Crytojacking. Detección, prevención e investigaciones«.
  • Existen carteras tanto físicas como online para inversores para proteger las criptomonedas aunque incluso en esto también existen estafas y hay que mirar muy mucho antes de elegir.

Y como última recomendación, aunque parezca que es insistir en un consejo básico que sale a relucir mucho en Palabra de hacker para concienciar a todo el mundo, no hay que confiar nunca en «los duros a cuatro pesetas». Vamos que nadie nos va a regalar nada ni a cambio de una pequeña inversión va a llover un montón de dinero del cielo de manera instantánea. Estas son las típicas estafas de siempre que llegan por correo electrónico o que se ven publicadas en páginas webs de dudosa reputación pero en las que la gente cae atraída ahora por la ‘moda’ de las criptomonedas.

Y esto pasa constantemente, sí pasa. De hecho últimamente aparecen estafas que usan como reclamo a personajes populares para animar a los usuarios a invertir en bitcoin y que van rotando en todo el mundo y actualizando los famosos que utilizan. Al hilo de esto la iniciativa Maldito bulo ha sacado un artículo donde explica esto con más detalle pues cada día aparecen nuevas víctimas. Si se es víctima de este tipo de engaños con criptomonedas o con cualquier otra cosa hay que denunciar siempre y es que mucha gente con eso de que ‘ha ocurrido en Internet’ o porque la cantidad económica que han perdido no es muy elevada o porque aparece el sentimiento de vergüenza que paraliza a muchas víctimas no se denuncia y eso no puede ser. Aquí recuerdo una serie de consejos que dejó Silvia Barrera a su paso por Palabra de hacker sobre ‘Delitos informáticos y consejos a la hora de denunciar» por si fuera necesario.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast


¿Quieres recibir todas las novedades por newsletter?

Nombre Correo electrónico He leído la Política de Privacidad y acepto expresamente los términos y condiciones.


Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL – PRIVACIDAD – COOKIES

Yolanda Corral
Soy licenciada en Periodismo. Periodista y formadora freelance especializada en seguridad digital, alfabetización digital, TICs, redes sociales y contenidos digitales. Cuento con un máster en Community Management y siempre estoy en continuo aprendizaje. Fundadora y organizadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Dime qué necesitas y lo doy todo. ¡Conectemos en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario pero antes debes atender a esta información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar y moderar los comentarios realizados en la web. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal. ¡Gracias!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.