Bloomberg — Estafadores de internet están haciendo uso de cuentas de Twitter Inc. (TWTR) secuestradas para promover plataformas de criptomonedas falsas que, una vez instaladas, les permiten comprometer datos confidenciales de las víctimas, según nuevos hallazgos proporcionados exclusivamente a Bloomberg News.
Desde marzo, estafadores se han hecho pasar por periodistas, aplicaciones criptográficas y una variedad de proyectos de tokens no fungibles (NFTs por sus siglas en inglés) en Twitter para robar criptomonedas, nombres y contraseñas de usuarios, según una investigación de Satnam Narang, ingeniero de investigación del personal de ciberseguridad de la firma Tenable Inc. Muchas de las cuentas seleccionadas están verificadas, una señal para los investigadores de que los estafadores están pirateando páginas específicas, pagando por el acceso ilícito o ambas cosas.
Como parte de la supuesta estafa, los ladrones se han hecho pasar por miembros del Bored Ape Yacht Club, una colección popular de NFTs, así como la colección Azuki, el proyecto MoonBirds y la comunidad Okay Bears NFT, que cuenta con más de 150.000 seguidores en Twitter, descubrió Narang.
En un caso, los estafadores se hicieron pasar por un reportero de asuntos legales de Age, un servicio de noticias con sede en Australia, y pidieron a los usuarios que visitaran un enlace sospechoso para reclamar una pequeña cantidad de la criptomoneda ether (XET), según la investigación. Al parecer, los intrusos también se apoderaron temporalmente de la página de Twitter de un periodista independiente que cubre la industria de juegos electrónicos y creó perfiles que parecen similares a los reales, según los hallazgos.
Las cuentas de Twitter impostoras generalmente han alentado a los seguidores a visitar enlaces específicos o descargar nuevas aplicaciones, dijo Narang. Esas aplicaciones a menudo persuaden a los usuarios para que proporcionen acceso a sus billeteras móviles de criptomonedas, de las cuales los atacantes pueden extraer fondos con rapidez. Cada una de las páginas de los estafadores, ya sea una aplicación o un enlace de phishing, está cuidadosamente diseñada para parecerse a sitios web legítimos y confiables, según los hallazgos.
La táctica es una versión más actual de una técnica de fraude tradicional que consiste en enviar spam en masa a los usuarios de las redes sociales o hacerse pasar por personas famosas, como el CEO de Tesla Inc. (TSLA), Elon Musk, una táctica obsoleta que es relativamente fácil de detectar, dijo Narang en una entrevista. El uso de cuentas de Twitter verificadas agrega una capa de legitimidad, y la oportunidad de aprovechar una oportunidad d hacer dinero en criptomonedas agrega cierta urgencia al esquema, dijo Narang.
“Parecen indistinguibles de las aplicaciones reales, y la gente simplemente no mira de cerca los enlaces”, dijo.
Cuando un reportero de Bloomberg News analizó una aplicación que pretendía ser para Azuki, un proyecto de NFT con temática de anime con más de 300.000 seguidores, el sistema la marcó como malware.
En mayo, los estafadores utilizaron una página de Twitter fraudulenta @OlthersideMeta, que engañó a los usuarios haciéndoles creer que era @OthersideMeta, un sitio legítimo que combina videojuegos con el metaverso, según la investigación.
Las pérdidas sufridas por las estafas son difíciles de cuantificar. En 2021, los estadounidenses reportaron más de US$1.600 millones en fraudes relacionados con criptomonedas, lo que representa un aumento significativo de los US$246 millones del año anterior, según un reporte del centro de denuncias de delitos en internet del FBI. Sin embargo, es probable que la cifra real sea mucho más alta, ya que muchos posibles inversionistas acuden en masa a esquemas de estilo especulativo y no informan sobre los casos fraudulentos, dijo Narang.
“Los estafadores son muy hábiles para centrarse en lo que le interesa a la gente”, agregó. “Esta es una pequeña muestra de lo que está sucediendo en este espacio”.