Cómo protegerse de los ataques de criptomonedas y la ingeniería social

La ingeniería social representa un peligro para el sector de las criptomonedas, ya que permite a los atacantes manipular a los usuarios para robarles los fondos. Descubre cómo puedes protegerte de ataques y estafas de criptomonedas.

Introducción

Las criptomonedas ofrecen libertad financiera, pero también atraen a ciberdelincuentes que buscan nuevas formas de aprovecharse de los usuarios. A diferencia de la banca tradicional, las transacciones de criptomonedas son irreversibles, por lo que la seguridad es absolutamente prioritaria. Una de las amenazas más peligrosas del criptoespacio es la ingeniería social, una técnica empleada por los piratas informáticos para manipular a las personas en lugar de acceder ilegalmente a los sistemas.

Desde estafas de phishing hasta ataques de suplantación, la ingeniería social ha sido responsable de algunos de los mayores robos de criptomonedas, incluyendo el ataque de Bybit a principios de 2025, en el que se sustrajeron 1500 MUSD.

Entender cómo funcionan estas estafas y aprender cómo protegerte de ellas es crucial para adentrarte en el mundo de las criptomonedas.

En este artículo explicamos paso a paso cómo la ingeniería social lleva a ataques de criptomonedas, exponemos ejemplos del mundo real y proporcionamos consejos prácticos para proteger los fondos.

¿Qué es la ingeniería social?

La ingeniería social es una técnica de manipulación utilizada para explotar la psicología humana y obtener acceso a información confidencial, sistemas o ubicaciones físicas. En lugar de explotar vulnerabilidades técnicas, los ingenieros sociales ponen la mira en debilidades humanas como la confianza, la amabilidad, el miedo y la curiosidad.

Tácticas habituales de ingeniería social:

• Phishing: enviar correos electrónicos o mensajes falsos diseñados para robar credenciales.
• Pretexto: presentar una situación ficticia para sonsacar información.
• Cebo: ofrecer algo tentador, como tokens o software gratis, para atraer a las víctimas.
• Tailgating: acceder a zonas restringidas de la mano de personal autorizado.
• Quid pro quo: ofrecer un servicio a cambio de información.
• Suplantación: hacerse pasar por una persona de confianza (como el personal de asistencia o un jefe de equipo) para obtener información.

Estos ataques son particularmente peligrosos porque eluden las medidas de seguridad técnicas explotando la psicología humana.

Una buena defensa incluiría formación y sensibilización en seguridad, procedimientos de verificación y la creación de una cultura en la que se fomente cuestionar solicitudes inusuales.

¿Cómo lleva la ingeniería social a ataques de criptomonedas?

La ingeniería social desempeña un papel crítico en los ataques de criptomonedas, ya que explota vulnerabilidades humanas en lugar de fallos técnicos en los sistemas de cadena de bloques.

La suplantación es habitual; los atacantes se hacen pasar por personal de exchanges o jefes de equipo de plataformas como Discord, X y Telegram, para convencer a los usuarios de revelar datos sensibles o hacer clic en enlaces maliciosos.

Crean sitios web de phishing creíbles que imitan exchanges legítimos para robar claves privadas y frases semillas, o emplean técnicas de intercambio de SIM para eludir la MFA y tomar el control de los números de teléfono de las víctimas. Muchos estafadores promocionan oportunidades de inversión fraudulentas, incluyendo ofertas iniciales de monedas (ICOs) falsas o preventas exclusivas que simplemente desaparecen con los fondos de los inversores.

Los atacantes técnicamente más sofisticados engañan a los usuarios para que conecten sus carteras a aplicaciones descentralizadas (DApps) maliciosas o aprueben interacciones peligrosas de contratos inteligentes que vacían sus cuentas. Algunos van más lejos y abordan a desarrolladores y gestores de tesorería, poniendo en riesgo organizaciones autónomas descentralizadas (DAOs) o carteras calientes de exchanges.

En el mundo de las criptomonedas, no hay reembolsos. Una vez que los activos se transfieren, no hay vuelta atrás. Eso es lo que hace que la ingeniería social sea tan efectiva y tan peligrosa.

Un caso de ataque de criptomonedas especialmente notorio: el ataque de ingeniería social del Grupo Lázaro

En febrero de 2025, Bybit, un destacado exchange de criptomonedas sufrió un importante incidente de seguridad que resultó en el robo de aproximadamente 1500 MUSD en Ethereum.

Las investigaciones revelaron que el grupo de piratas informáticos patrocinado por el Estado norcoreano, conocido como Grupo Lázaro, Lazarus Group o TraderTraitor, había orquestado el ataque. La violación se ejecutó a través de un ataque sofisticado de la cadena de suministro que incorporó tácticas de ingeniería social como las siguientes:

1. Acercamiento al desarrollador: El ataque comenzó cuando alguien abordó mediante ingeniería social a un desarrollador de Safe{Wallet} haciéndose pasar por un colaborador de código abierto de confianza. Convencieron al desarrollador para ejecutar un proyecto Python con Docker malicioso en su Mac.
   
2. Secuestro de sesión de AWS: Una vez habían accedido a la estación de trabajo del desarrollador, los atacantes extrajeron credenciales de seguridad temporales de Amazon Web Services (AWS), la plataforma de infraestructura en la nube utilizada por Safe{Wallet}. Estas credenciales les permitieron eludir la autenticación multifactor (MFA) y acceder de manera sigilosa a sistemas críticos durante casi 20 días.
   
3. Manipulación de procesos de transacción: Los atacantes inyectaron JavaScript malicioso en la IU de Safe{Wallet} (la herramienta que utilizaba Bybit para aprobar las transacciones de cartera fría), que provocó que los usuarios firmaran sin saberlo envíos de fondos a los atacantes.

Aprovechándose de la confianza humana y con la mira puesta en la cadena de suministro de software, los atacantes eludieron eficazmente las medidas de seguridad tradicionales y perpetraron el mayor robo de criptomonedas hasta la fecha.

Cómo detectar (y detener) estafas de ingeniería social de criptomonedas

1. Verifica la identidad

Comprueba siempre dos veces la identidad de la otra parte, especialmente si solicita información sensible. Usa puntos de contacto oficiales, no los enlaces o correos electrónicos que te proporcionen.

• Activa la MFA usando una aplicación de autenticación, no SMS.
• Considera usar claves para reforzar la protección siempre que sea posible.

Aquí te explicamos cómo activar la 2FA en las cuentas de Crypto.com.

2. Protege tu información personal

Los estafadores escudriñan las redes sociales en busca de pistas para diseñar ataques convincentes. Nunca reveles frases semilla, contraseñas ni claves privadas, ni siquiera a alguien que diga hablar en nombre de atención al cliente.

Usa contraseñas únicas y seguras en cada cuenta, y considera utilizar un administrador de contraseñas.

3. Desconfía de mensajes inesperados

Ten mucha precaución con enlaces o archivos adjuntos a mensajes directos o correos electrónicos, especialmente si llegan de manera espontánea. Si tienes dudas, accede manualmente a URLs fiables. Estate atento a señales sutiles de phishing como pequeños errores ortográficos en los nombres de dominio o direcciones de correo electrónico.

4. Aplica un alto grado de seguridad

Mantén todo actualizado, desde aplicaciones de cartera hasta extensiones del navegador. Los parches de actualizaciones pueden resolver vulnerabilidades conocidas. Para maximizar la protección, usa una cartera de hardware y piénsalo dos veces antes de aprobar interacciones de contratos inteligentes.

5. Mantente informado

Infórmate sobre las últimas técnicas de estafa, ya que las tácticas de ingeniería social evolucionan constantemente. Si algo te parece sospechoso o demasiado bueno para ser verdad, probablemente no lo sea.

Conclusión

La ingeniería social sigue siendo una de las formas más efectivas de eludir las medidas de seguridad y robar criptomonedas. Como se vio en el ataque de Bybit, incluso grandes instituciones con seguridad avanzada pueden ser víctimas cuando se explota la confianza humana.

Con mantenerte vigilante, verificar identidades, proteger la información personal y aplicar un alto grado de seguridad puedes reducir considerablemente el riesgo de ataques. La educación es la mejor defensa: sigue aprendiendo sobre las estafas emergentes y cuestiona siempre solicitudes inesperadas, por muy convincentes que parezcan.

En el mundo de las criptomonedas, la seguridad no es negociable, así que adopta todas las precauciones para proteger tus activos. Mantente informado, escéptico y seguro.

Diligencia debida e investigación propia

Todos los ejemplos que aparecen en este artículo son meramente informativos. No utilices esta información ni ningún otro material como asesoramiento legal, fiscal, de inversión, financiero, de ciberseguridad o de otro tipo. Nada de lo aquí contenido constituye una solicitud, recomendación, aprobación o proposición por parte de Crypto.com para invertir, comprar o vender monedas, tokens u otros criptoactivos. Los rendimientos de la compra y venta de criptoactivos pueden estar sujetos a impuestos en tu jurisdicción, incluido el impuesto sobre plusvalías. Cualquier descripción de los productos o funciones de Crypto.com es meramente ilustrativa y no constituye una aprobación, invitación o solicitud.

Las rentabilidades pasadas no garantizan ni predicen rentabilidades futuras. El valor de los criptoactivos puede aumentar o disminuir, y podrías perder la totalidad o una parte sustancial del precio de compra. Cuando evalúes un criptoactivo, es esencial que investigues y actúes con la diligencia debida para seguir el mejor criterio posible, ya que el responsable último de cualquier compra eres tú.