La compañía de
seguridad informática ESET ha analizado los principales ataques del último año
a las plataformas de dinero electrónico y billeteras virtuales.
“Durante 2017 se identificaron ciberataques
contra proveedores de infraestructura, incluyendo robos de alto perfil de los
activos virtuales de los usuarios. Además de apuntar a proveedores monedas en
línea, intercambios de comercio y minería, y otros servicios relacionados, los
atacantes también están dirigiendo sus ataques a inversores y empleados de
industrias”, señaló Denise Giusto Bilic, especialista en seguridad informática
de ESET Latinoamérica.
El Laboratorio de
Investigación de ESET Latinoamérica analizó algunos de los incidentes más
notables de ciberseguridad que ocurrieron en el mercado de la criptomoneda,
dado que el entusiasmo por el su éxito, dio un rédito de $4 billones a
comienzos del pasado año, creó un escenario perfecto para el crimen cibernético:
Ataques dirigidos: En
febrero se atacó la computadora hogareña de un empleado de la casa de cambio
surcoreana de bitcoin y ether, Bithumb, una de las más importantes del mundo.
Los datos de más de 30.000 clientes se vieron comprometidos, utilizándose para
engaños de desvío de bitcoins por encima del millón de dólares.
Engaños: Unos $7.4
millones ether, moneda similar al bitcoin, fueron robados a inversores,
engañándolos a enviar su dinero electrónico a una dirección falsa. Lo mismo
pasó con potenciales inversores en Enigma, plataforma de Ethereum, donde fueron
engañados para enviar $500,000 en ‘criptomoneda’ con tokens de ‘venta
anticipada’ a la cuenta de los atacantes.
Grietas de seguridad:
Otro conocido ataque tuvo que ver con una falla de codificación de Parity, una
wallet de Ethereum, que facilitó el robo de alrededor de 150,000 tokens de
criptomoneda. El valor en aquel momento era de más de $30 millones.
Ingeniería social: A
fin de año, se saqueó el sistema de pago de un mercado de minería de
criptomoneda basado en Eslovenia, se robaron un equivalente a $64 millones. La
compañía describió la brecha como un “ataque profesional con ingeniería social
sofisticada”.
“Las monedas
virtuales buscan obtener dinero de sectores cada vez más amplios de la
sociedad. Los engaños están hechos para atrapar a imprudentes, sobre todo a
aquellos usuarios que no tengan las medidas de seguridad más adecuadas.
Continúa por verse cómo, en el largo plazo, el número de riesgos inherente a
estas nuevas monedas, los desafíos de seguridad fundamentales que enfrentan y
las regulaciones cada vez más estrictas resultan para el ‘dinero’ virtual y su
grupo de fanáticos. A no ser que las incontables preocupaciones sobre la
seguridad sean atendidas, cada vez será más la gente involucrada con esta
moneda que deberá enfrentar los distintos riesgos a lo largo del camino”,
agregó Giusto Bilic.
En este contexto,
ESET desarrolló los siguientes consejos para proteger las carteras virtuales:
Utilizar un cliente
Bitcoin. Respecto a la privacidad, además de ocultar la dirección IP, se puede
utilizar un cliente Bitcoin que permita cambiar a una nueva dirección con cada
operación. Además, se pueden separar transacciones categóricamente en
billeteras distintas, acorde a su importancia: una práctica recomendada
consiste en mantener una billetera para las transacciones cotidianas con
pequeños montos, para recargarla cuando sea necesario.
Proteger la
identidad. Ser cuidadoso al momento de compartir datos de las transacciones en
espacios públicos para así evitar develar la identidad conjuntamente con la
dirección Bitcoin.
Utilizar un “servicio
de custodia”. Cuando sea necesario realizar una compra/venta y no se esté
seguro de quién está del otro lado, se puede utilizar un “servicio de custodia”
–del inglés escrow service–. En estos casos, quien debe realizar el pago envía
sus bitcoins al servicio de custodia, mientras espera recibir el ítem que
solicitó. El vendedor sabe que su dinero está seguro en el custodio y envía el
ítem convenido. Cuando el comprador recibe la mercancía, notifica la situación
al custodio para que concrete la compra.
Hacer un backup de la
cartera virtual y cifrarla. En lo que respecta a almacenes físicos, como
cualquier política de backup de crítica importancia, es recomendable realizar
actualizaciones frecuentes, utilizar diferentes medios y locaciones, y
mantenerlos cifrados.
Evitar utilizar
carteras en dispositivos móviles. Especialmente cuando se trata de grandes
sumas de dinero, se debe evitar usar dispositivos móviles ya que estos pueden
ser extraviados y/o comprometidos. Más aún, en estos casos lo preferible es
mantener la billetera en equipos sin ningún tipo de conexión a Internet.
Considerar usar
direcciones de firma múltiple. Para el caso de transacciones corporativas o que
requieran un elevado grado de seguridad, es posible utilizar direcciones de
firma múltiple, las cuales implican la utilización de más de una clave,
almacenadas usualmente en equipos distantes en posesión de personal autorizado.
De este modo, un atacante necesitará comprometer todos los equipos en los
cuales se encuentren las claves, para luego poder robar los bitcoins, lo que
dificultará su tarea.
Eliminar una cartera
virtual cuando ya no se utilice. Eliminar una cartera virtual cuando ya no
resulta útil exige un proceso cuidadoso para comprobar que efectivamente esta
ha sido completamente destruida. Es necesario tomarse el trabajo de localizar
cualquier posible copia que pueda haber sido creada, por acción del usuario o
del sistema, y realizar este mismo proceso.
Más información
- ESET Latinoamérica https://www.welivesecurity.com/la-es/2018/01/17/criptomoneda-campo-minado-trampas-ciberseguridad/