Te invitamos a conocer cuáles son las amenazas más comunes entorno a los NFT, un criptoactivo cada vez más popular entre los usuarios tecnológicos.
Contexto sobre los NFT y los fraudes
Si bien podemos decir que el mundo de los tokens no fungibles, más conocidos como NFT por sus siglas en inglés o nifties, comienza aproximadamente en 2012 con la creación de Colored Coins, últimamente han comenzado a captar más la atención de los usuarios debido a la explosión que ha tenido esta tecnología en diversos segmentos como el arte, la creación de coleccionables relacionados con deportes o el segmento de videojuegos.
De hecho, varios videojuegos basados en blockchain están moviendo la economía alrededor del mundo, por lo que podemos asegurar que se trata de un mercado en ascenso en el cual crece también la cantidad de billeteras (wallets) activas, compradores, vendedores y los volúmenes de ventas. Es importante destacar que, en 2020, el mercado de NFT creció casi un 300% en comparación con 2019 y que actualmente las operaciones que involucran NFT superan los 300 millones de dólares en volumen de transacciones. Como era de esperarse, esta combinación de factores despertó el interés de cibercriminales, tal como ocurrió con las criptomonedas.
Ahora bien, lo cierto es que tanto para comprar, vender o almacenar un NFT se necesita una billetera digital. Mantener seguras estas billeteras y el uso de sus sistemas asociados es una de las cuestiones que genera más preocupación entorno a la protección de estos criptoactivos. Por ejemplo, en caso de que alguien intentara robar una obra de arte física, debería vulnerar la seguridad física del museo que aloje dicha obra, mientras que para robar un bien digital se requiere vulnerar la seguridad del sistema que lo aloje y aquellos que están involucrados a su alrededor. En este contexto, amenazas como el malware, el uso de técnicas de Ingeniería Social como el phishing y otras modalidades de engaño comienzan a ser más frecuentes debido al mayor interés de atacantes que buscan apropiarse o manipular estos criptoactivos.
Entorno a las estafas y fraudes que se han conocido en los últimos tiempos podemos señalar algunos ejemplos de artistas que han sufrido la copia sin permiso sus obras y se han vendido como NFT. Esto sucedió, por ejemplo, después de la muerte de la artista Qing Han en 2020, cuando un estafador asumió su identidad y varias de sus obras estuvieron disponibles para su compra como NFT. De manera similar, el año pasado un estafador logró comprometer el sitio oficial de Bansky y lanzó una subasta a través de una página que ya fue eliminada, mediante la cual logró vender un NFT supuestamente hecho por el artista a $336.000.
Entre otros delitos podemos destacar el “sleepminting” el cual es conocido como un proceso que también puede permitir que un estafador acuñe un NFT en la billetera de un artista y lo transfiera a su propia cuenta sin que el artista se dé cuenta. En el último tiempo han aparecido varios delitos entorno a estos criptoactivos. Los ciberdelincuentes aprovechan que el mercado de NFT no está regulado y que no cuenta con recursos legales para hacerle frente a tales delitos. Muchas obras de arte digitales robadas se venden de forma fraudulenta como NFT. Si bien hay incipientes estrategias de seguridad, como la que propuso Adobe a través de Photoshop con una funcionalidad para garantizar la atribución adecuada del arte NFT creando una base de datos del sistema de archivos interplanetario, sin dudas hay mucho por hacer, ya que las vulnerabilidades en los sistemas se renuevan día a día y, como es habitual en la seguridad, el eslabón más débil está en el comportamiento de los usuarios.
Si bien algunas de las estafas que acabamos de mencionar junto a otros fraudes como el rug pull y la suplantación de identidad o los perfiles falsos son los que más problemas generan en la comunidad NFT, a continuación, repasamos cuáles son las modalidades de estafa más comunes alrededor de los NFT y compartimos algunas recomendaciones acerca de cómo evitarlas y cómo mantenerse a salvo.
Más allá de las modalidades que mencionaremos a continuación, es importante tener presente que los actores maliciosos siempre están buscando nuevos métodos para cometer fraude, lo que nos obliga a mantenernos informados y alertas en todo momento.
Engaños a través de mensajes directos en Discord
Discord es muy atractivo para los cibercriminales y existen distintas modalidades de engaño a través de esta plataforma. En diciembre pasado delincuentes comprometieron el canal de Discord de Fractal, un Marketplace de juegos NFT, y engañaron a 373 usuarios robándoles de sus wallets aproximadamente 150 mil dólares en la criptomoneda Solana. De hecho, los engaños buscando robar acceso a cuentas de Discord son bastante frecuentes. Pero la realidad es que hay varias modalidades de estafas en Discord que los propietarios de NFT deberían conocer. Haciéndose pasar por amigos o utilizando cuentas comprometidas envían mensajes directos inventando una historia y/o se hacen pasar por un proyecto, una marca, un artista o un influencer de NFT.
Vale la pena recordar que Discord es una plataforma que está compuesta por servidores que reúnen a usuarios interesados en temas específicos. La plataforma permite enviar mensajes directos (DM) que permiten mantener conversaciones individuales y privadas con otros usuarios de la comunidad Discord y también permite enviar mensajes directos e iniciar chats de grupo independientemente del servidor en el que estés. Por esta misma razón, cuanto más expandas tu red de Discord, más invitaciones falsas recibirás. Por eso, los usuarios jamás deben hacer clic en enlaces de fuentes desconocidas, sin importar cuán legítimos se vean, o mensajes directos de “amigos” que piden dinero, o “anuncios” de proyectos NFT. Siempre debemos verificar. Si recibes un mensaje extraño de alguien que conoces asegúrate de que sea la persona que dice ser comprobando primero su identificador.
Perfiles falsos en redes sociales
Tanto en Twitter como en las demás redes sociales los usuarios deben aprender a convivir con perfiles falsos que intentarán hacernos caer en una trampa. Debemos acostumbrarnos a prestar atención ya que muchas veces copian información del perfil oficial. Por lo tanto, si no estás atento no identificarás que quizás la única diferencia puede llegar a ser solo una letra entre un perfil y otro.
En 2021 se detectó una campaña maliciosa que utilizaba bots de Twitter. Los criminales respondían de forma automática publicaciones que incluían ciertas palabras clave y que hacían referencia a un problema con algún criptoactivo. Al rato cibercriminales respondían haciéndose pasar por un representante de soporte y terminaban engañando a la víctima robando la frase de recuperación o seed phrase para obtener acceso a billeteras de criptomonedas.
Por otra parte, a través de cuentas falsas delincuentes puede intentar enviarte un mensaje fingiendo estar dispuesto a charlar o pidiendo ayuda y consejos sobre algo. Por lo general, si prestamos atención a ciertos elementos, como el número de seguidores, tweets copiados y pegados de identificadores reales, demasiados retweets de otras cuentas sin contenido original, nos daremos cuenta no son genuinas.
Sitios falsos que se hacen pasar por oficiales (phishing)
Es muy común la creación de sitios falsos que son copias muy parecidas de tiendas de NFT, billeteras digitales, etc. Estos falsos sitios pueden ser distribuidos a través de plataformas sociales como Discord, Twitter o incluso el correo electrónico.
Los sitios falsos suplantando la identidad de marcas legítimas han existido desde siempre y seguirán existiendo. Estas páginas pueden distribuirse desde cualquier plataforma social, ya sea Discord, Twitter, foros, correo electrónico, etc. Los sitios apócrifos pueden llegar a ser sorprendentemente similares a los oficiales, aunque con algunos cambios menores en la URL o en el diseño.
Por esta razón, siempre debemos observar minuciosamente los enlaces que recibimos por cualquier medio antes de hacer clic o en caso de que solicite información personal, como una seed phrase o una contraseña. Debemos recordar la regla de oro que dice que nunca debemos ingresar nuestra seed phrase fuera de nuestra billetera y siempre debemos prestar atención al dominio en el que estamos navegando.
Por otra parte, y de cara a la posible falsificación de NFT, si estamos buscando comprar criptoarte caro y muy demandado, vale la pena investigar un poco los antecedentes, especialmente si la obra de arte cuesta menos de lo que debería. Es importante investigar siempre si la dirección del contrato de la NFT es la real, observar quién vende el NFT, qué más ha vendido, y si el NFT también está disponible en otros mercados, ya que si se trata de una edición única no debería haber más de uno a la venta.
Imitadores de artistas o creadores
Si piensas comprar NFT recuerda hacerlo a artistas que sean verificados o que demuestren por su antigüedad o actividad que no han estado involucrados en nada sospechoso. Además del caso que mencionamos de Bansky, en el cual un estafador logró vender desde el sitio oficial del artista, también hubo otros casos de suplantación de identidad. Por ejemplo, cuando Tyler Hobbs, el artista detrás de la colección de arte generativo (Art Blocks) llamada Fidenza, denunció a la plataforma SolBlocks estar comercializando imitaciones de sus trabajos creadas utilizando su código sin su permiso. Otro caso fue el que afectó al artista Derek Laufman, cuando en Rarible, la plataforma para comprar y vender NFT, alguien creó una cuenta a su nombre que estaba incluso verificada y comenzó a vender su trabajo como NFT. La lista de artistas que fueron víctimas de cuentas y sitios que vendieron NFT de su trabajo sin el consentimiento del artista con varios. De hecho, varios artistas comenzaron a revisar en plataformas como OpenSea o Rarible si su trabajo estaba siendo acuñado sin su consentimiento.
Estafa Pump & Dump
Pump & Dump es un término en inglés que se podría traducir como “inflar y desechar”, que describe un modelo de estafa en la cual una persona o grupo de personas compra una gran cantidad de NFT (aunque puede ser token o criptomoneda) para generar un aumento en la demanda y de esta manera aumentar su valor.
Generalmente, quienes caen en el engaño son usuarios ingenuos que creen que el precio aumentará y que sienten que han encontrado una gran oportunidad. Muchas veces impulsados por influencers que los promocionan a través de sus redes sociales. Sin embargo, una vez que el valor de los NFT u otro activo sube, los estafadores se deshacen de todos sus activos y obtienen una ganancia significativa sobre estos, dejando a las víctimas con NFT sin valor y pérdidas masivas.
Para detectar una estafa de Pump & Dump se recomienda revisar el historial de transacciones, ya que si se trata de un proyecto genuino el abanico de compradores debe ser amplio y no solo unos pocos compradores que están vendiendo y revendiendo. Plataformas como OpenSea o cualquier otra plataforma de NFT permiten observar el número total de transacciones y quienes compraron la colección de NFT.
Estafa rug pull
Este tipo de estafas se dan en general en el mundo cripto y desde luego los NFT no se quedan afuera. Han sido varios los casos de estafas de rug pull en el último tiempo, y esto en parte se debe a que puede ser difícil detectarlos hasta que es demasiado tarde. Entre los casos más recientes aparece ‘Evolved Apes’, un proyecto en el cual el creador simplemente desapareció con $ 2.7 millones, y también el caso del token Squid (en honor a la serie Squid Game, que en español es El juego del calamar), cuyo valor cayó estrepitosamente luego de pasar de valer 1 centavo a 2.800 dólares en una semana. A partir de ahí, el valor cayó y la cuenta oficial de Twitter desapareció, al igual que su página web y su cuenta en Medium. Se estima que los desarrolladores del token se quedaron con 3.3 millones de dólares.
Este fraude se da cuando los responsables de un proyecto lo abandonan y se quedan con el dinero de los inversores. Cuando el valor del token y la cantidad de inversores llega a cierto punto, los estafadores vacían los pools de liquidez de un Exchange descentralizado (DEX, por sus siglas en inglés) haciendo que el valor del criptoactivo se desplome y dejando a los propietarios de estos activos sin poder venderlos.
Estas estafas suelen venir camufladas mediante excusas como que existe un fallo en el software y se necesita tiempo corregirlo. Son más frecuentes en el ecosistema DeFi y en los DEX (Intercambios Descentralizados).
Estafa de la subasta
Una de las estafas más populares son las ofertas falsas, conocida en inglés como Bidding Scams. En estos casos alguien subasta un NFT a un precio base para que los usuarios oferten por él, pero el estafador, sin que el vendedor lo sepa, cambia la criptomoneda con la cual realizan la compra por una que tiene un valor inferior.
Existen algunas variaciones del mismo fraude. En otros casos se ha visto que alguien pone a la venta un NFT a un precio, luego lo saca de la lista y vuelve a ponerlo en la lista, pero moviendo el decimal un lugar a la derecha. Como explica este usuario de Twitter, el año pasado detectó que la plataforma OpenSea no estaba registrando ese cambio durante 30 minutos, por lo que alguien podía terminar pagando por accidente más de lo que pensaba. La recomendación para evitar caer en esta estafa es verificar la criptomoneda utilizada y no aceptar un monto inferior ni comprar por un monto superior al que supuestamente figuraba el NFT.
Perfiles falsos y suplantación de identidad de artistas o coleccionistas
Se trata de un engaño en el cual estafadores crean perfiles falsos o suplantan la identidad de un coleccionista, un artista o creador de NFT. Las formas de abordar a las víctimas son variadas. Por ejemplo, los delincuentes pueden intentar contactar por mensaje directo a estos creadores para comprarles un NFT haciéndose pasar por alguien que en realidad no son, y antes solicitan al vendedor que realice una acción, como registrarse en un sitio o similar, o compartir una imagen retocada de su billetera de criptomonedas mostrando una suma importante. También pueden ser a través de cuentas de Twitter en las que publican que disponen de 1 ETH para invertir en NFT e invitan a creadores a que compartan sus obras. Lamentablemente muchas veces son estafas.
Para aquellos que están comenzando y buscan interesados en comprar sus NFT puede ser tentador, y los delincuentes lo saben. Por eso, si te enfrentas a esta situación como vendedor ten cuidado.
Sorteos, regalos y ofertas falsas
Muchas ofertas falsas y regalos inesperados en entorno a los NFT y otros criptoactivos suelen anunciarse a través de cuentas de Discord, Twitter y otras plataformas sociales. En algunos casos son cuentas que fueron comprometidas y su nombre fue modificado. Así, desde estas cuentas falsas pero que se ven muy reales (en algunos casos con muchos seguidores y publicaciones), delincuentes se hacen pasar por una marca o persona reconocida y anuncian, por ejemplo, que están regalando criptomonedas. Pero para obtener el supuesto regalo los usuarios deberán proporcionar algún tipo de contraseña o frase secreta.
Falsos “mints”
Se trata de un engaño en el cual los desarrolladores envían NFT a influencers haciendo parecer que son ellos quienes están acuñando los NFT. Esto lo hacen sabiendo que muchos compradores monitorean billeteras para ver tendencias y qué se está comprando para tratar de anticiparse al interés masivo. Existen herramientas para monitorear direcciones de billeteras de ETH y pueden ser configuradas para recibir notificaciones a través de Telegram o Discord. El problema también es que quienes monitorean las billeteras confían sin haber investigado previamente. Según reveló OpenSea, el principal Marketplace de NFT, más del 80% de los NFT minteados utilizando su herramienta para mintear de forma gratuita eran falsos, plagiados o spam.
En este post, el equipo de The Prometeus Project comparte algunos tips para reconocer los falsos mints.
¿Cómo protegerse?
Si bien cubrimos cuáles son las estafas más comunes de NFT y en algunos casos cómo se combinan entre sí, lo cierto es que los ciberdelincuentes son innovadores y siempre encuentran nuevas estrategias para efectuar sus ataques. Por lo tanto, lo más importante es estar atentos y desconfiar de cualquier cosa que sea demasiado buena para ser verdad. El escepticismo puede evitar un gran dolor de cabeza.
Como vimos a lo largo del artículo, todas estas estafas involucran a varios vectores, como los usuarios, las redes sociales donde se promocionan los NFT, las herramientas que se utilizan para realizar transacciones, etc. Cada uno de estos vectores tiene sus propias debilidades y sus respectivas combinaciones que dan lugar a ataques más sofisticados que van cambiando todo el tiempo.
Por eso, más allá de saber que siempre debemos estar informados y nunca olvidar las técnicas clásicas de estafa, como las que proporciona la ingeniería social, a continuación, repasaremos algunos ítems importantes para operar con NFT de forma más segura.
- Nunca compartas tu seed phrase o contraseña a menos que estés absolutamente seguro y hayas verificado tres veces en donde has hecho clic.
- Siempre revisa el historial de mensajes directos y verifica su origen.
- No hagas clic en ningún enlace que prometa obsequios, ofertas o cualquier cosa te demande tomar una decisión rápida. Si estás tentado a hacer clic, primero verifica a fondo quién envía los enlaces, y especialmente en Discord.
- Intenta mantener tus activos más valiosos en una “cold wallet”. Una billetera que no uses habitualmente y que tenga varias medidas de seguridad para poder acceder a ella.
- Procura utilizar una billetera de hardware. Este tipo de billeteras son de alta seguridad y nos permite almacenar nuestros fondos fuera de línea.
- Adquiere un administrador de contraseñas para todas tus billeteras y cuentas. Este tipo de herramientas ayudan a generar y guardar contraseñas complejas.
Referencias: WeLiveSecurity
Autor: Mario Micucci