Cuáles son las amenazas más comunes entorno a los NFT, un criptoactivo cada vez más popular entre los usuarios tecnológicos.
Los tokens no fungibles, más conocidos como NFT por sus siglas en inglés o nifties, comienzan aproximadamente en 2012 con la creación de Colored Coins, últimamente han comenzado a captar más la atención de los usuarios debido a la explosión que ha tenido esta tecnología en diversos segmentos como el arte, la creación de coleccionables relacionados con deportes o el segmento de videojuegos. En 2020, el mercado de NFT creció casi un 300% en comparación con 2019 y actualmente las operaciones que involucran NFT superan los 300 millones de dólares en volumen de transacciones. Como era de esperarse, esta combinación de factores despertó el interés de cibercriminales, tal como ocurrió con las criptomonedas.
Para comprar, vender o almacenar un NFT se necesita una billetera digital. Mantener seguras estas billeteras y el uso de sus sistemas asociados es una de las cuestiones que genera más preocupación entorno a la protección de estos criptoactivos. “Por ejemplo, en caso de que alguien intentara robar una obra de arte física, debería vulnerar la seguridad física del museo que aloje dicha obra, mientras que para robar un bien digital se requiere vulnerar la seguridad del sistema que lo aloje y aquellos que están involucrados a su alrededor. En este contexto, amenazas como el malware, el uso de técnicas de Ingeniería Social como el phishing y otras modalidades de engaño comienzan a ser más frecuentes debido al mayor interés de atacantes que buscan apropiarse o manipular estos criptoactivos.”, comenta Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Entorno a las estafas y fraudes que se han conocido en los últimos tiempos hay algunos ejemplos de artistas que han sufrido la copia sin permiso sus obras y se han vendido como NFT. Esto sucedió, por ejemplo, después de la muerte de la artista Qing Han en 2020, cuando un estafador asumió su identidad y varias de sus obras estuvieron disponibles para su compra como NFT. Entre otros delitos se destaca el “sleepminting”, un proceso que puede permitir que un estafador acuñe un NFT en la billetera de un artista y lo transfiera a su propia cuenta sin que el artista se dé cuenta. “Los ciberdelincuentes aprovechan que el mercado de NFT no está regulado y que no cuenta con recursos legales para hacerle frente a tales delitos. Muchas obras de arte digitales robadas se venden de forma fraudulenta como NFT. Si bien hay incipientes estrategias de seguridad, in dudas hay mucho por hacer, ya que las vulnerabilidades en los sistemas se renuevan día a día y, como es habitual en la seguridad, el eslabón más débil está en el comportamiento de los usuarios.”, agrega el investigador de ESET.
Si bien fraudes como el rug pull y la suplantación de identidad o los perfiles falsos son los que más problemas generan en la comunidad NFT, a continuación, ESET repasa cuáles son las modalidades de estafa más comunes alrededor de los NFT y comparte algunas recomendaciones acerca de cómo evitarlas y cómo mantenerse a salvo:
- Engaños a través de mensajes directos en Discord: Discord es muy atractivo para los cibercriminales y existen distintas modalidades de engaño a través de esta plataforma. En diciembre pasado delincuentes comprometieron el canal de Discord de Fractal, un Marketplace de juegos NFT, y engañaron a 373 usuarios robándoles de sus wallets aproximadamente 150 mil dólares en la criptomoneda Solana. Discord, permite enviar mensajes directos (DM) para mantener conversaciones individuales y privadas con otros usuarios de la comunidad y también permite enviar mensajes directos e iniciar chats de grupo independientemente del servidor en el que se esté. Por eso, los usuarios jamás deben hacer clic en enlaces de fuentes desconocidas, sin importar cuán legítimos se vean, o mensajes directos de “amigos” que piden dinero, o “anuncios” de proyectos NFT. Siempre se debe verificar. Si se recibe un mensaje extraño de alguien que conocido asegurarse de que sea la persona que dice ser comprobando su identificador.
- Perfiles falsos en redes sociales: Tanto en Twitter como en las demás redes sociales los usuarios deben aprender a convivir con perfiles falsos que intentarán hacerlos caer en una trampa. Hay que acostumbrarse a prestar atención ya que muchas veces copian información del perfil oficial. Por lo tanto, si no se está atento no se identificará que quizás la única diferencia puede llegar a ser solo una letra entre un perfil y otro.
- Sitios falsos que se hacen pasar por oficiales (phishing): Es muy común la creación de sitios falsos que son copias muy parecidas de tiendas de NFT, billeteras digitales, etc. Estos falsos sitios pueden ser distribuidos a través de plataformas sociales como Discord, Twitter o incluso el correo electrónico.“Los sitios falsos que suplantan la identidad de marcas legítimas han existido desde siempre y seguirán existiendo. Estas páginas pueden distribuirse desde cualquier plataforma social, ya sea Discord, Twitter, foros, correo electrónico, etc. Los sitios apócrifos pueden llegar a ser sorprendentemente similares a los oficiales, aunque con algunos cambios menores en la URL o en el diseño.”, señala Gutiérrez Amaya de ESET.
ESET recomienda siempre observar minuciosamente los enlaces que se reciben por cualquier medio antes de hacer clic o en caso de que solicite información personal, como una seed phrase o una contraseña. Recordar la regla de nunca ingresar la seed phrase fuera de la propia billetera y siempre prestar atención al dominio en el que se está navegando. Por otra parte, y de cara a la posible falsificación de NFT, si se está buscando comprar criptoarte, aconsejan investigar los antecedentes, especialmente si la obra de arte cuesta menos de lo que debería. Es importante investigar si la dirección del contrato de la NFT es la real, observar quién vende el NFT, qué más ha vendido, y si el NFT también está disponible en otros mercados, ya que si se trata de una edición única no debería haber más de uno a la venta.
- Imitadores de artistas o creadores: Comprar NFT a artistas que sean verificados o que demuestren por su antigüedad o actividad que no han estado involucrados en nada sospechoso. Tyler Hobbs, el artista detrás de la colección de arte generativo (Art Blocks) llamada Fidenza, denunció a la plataforma SolBlocks estar comercializando imitaciones de sus trabajos creadas utilizando su código sin su permiso. La lista de artistas que fueron víctimas de cuentas y sitios que vendieron NFT de su trabajo sin el consentimiento del artista son varios. De hecho, varios artistas comenzaron a revisar en plataformas como OpenSea o Rarible si su trabajo estaba siendo acuñado sin su consentimiento.
- Estafa Pump & Dump: Se trata de un modelo de estafa en la cual una persona o grupo de personas compra una gran cantidad de NFT (aunque puede ser token o criptomoneda) para generar un aumento en la demanda y de esta manera aumentar su valor. Quienes caen en el engaño son usuarios ingenuos que creen que el precio aumentará y que sienten que han encontrado una gran oportunidad. Muchas veces impulsados por influencers que los promocionan a través de sus redes sociales. Sin embargo, una vez que el valor de los NFT u otro activo sube, los estafadores se deshacen de todos sus activos y obtienen una ganancia significativa sobre estos, dejando a las víctimas con NFT sin valor y pérdidas masivas. Para detectar este tipo de se recomienda revisar el historial de transacciones, ya que si se trata de un proyecto genuino el abanico de compradores debe ser. Plataformas como OpenSea o cualquier otra plataforma de NFT permiten observar el número total de transacciones y quienes compraron la colección de NFT.
- Estafa rug pull: Las mismas se dan en general en el mundo cripto y desde luego los NFT no se quedan afuera. Entre los casos más recientes aparece ‘Evolved Apes’, un proyecto en el cual el creador simplemente desapareció con $ 2.7 millones, y también el caso del token Squid (en honor a la serie Squid Game, que en español es El juego del calamar), cuyo valor cayó estrepitosamente luego de pasar de valer 1 centavo a 2.800 dólares en una semana. A partir de ahí, el valor cayó y la cuenta oficial de Twitter desapareció, al igual que su página web y su cuenta en Medium. Se estima que los desarrolladores del token se quedaron con 3.3 millones de dólares. Este fraude se da cuando los responsables de un proyecto lo abandonan y se quedan con el dinero de los inversores. Cuando el valor del token y la cantidad de inversores llega a cierto punto, los estafadores vacían los pools de liquidez de un Exchange descentralizado (DEX, por sus siglas en inglés) haciendo que el valor del criptoactivo se desplome y dejando a los propietarios de estos activos sin poder venderlos. Estas estafas suelen venir camufladas mediante excusas como que existe un fallo en el software y se necesita tiempo corregirlo.
- Estafa de la subasta: Una de las estafas más populares son las ofertas falsas, conocida en inglés como Bidding Scams. En estos casos alguien subasta un NFT a un precio base para que los usuarios oferten por él, pero el estafador, sin que el vendedor lo sepa, cambia la criptomoneda con la cual realizan la compra por una que tiene un valor inferior. En otros casos se ha visto que alguien pone a la venta un NFT a un precio, luego lo saca de la lista y vuelve a ponerlo en la lista, pero moviendo el decimal un lugar a la derecha. La recomendación de ESET para evitar caer en esta estafa es verificar la criptomoneda utilizada y no aceptar un monto inferior ni comprar por un monto superior al que supuestamente figuraba el NFT.
- Perfiles falsos y suplantación de identidad de artistas o coleccionistas: Se trata de un engaño en el cual estafadores crean perfiles falsos o suplantan la identidad de un coleccionista, un artista o creador de NFT. Las formas de abordar a las víctimas son variadas. Por ejemplo, los delincuentes pueden intentar contactar por mensaje directo a estos creadores para comprarles un NFT haciéndose pasar por alguien que en realidad no son, y antes solicitan al vendedor que realice una acción, como registrarse en un sitio o similar, o compartir una imagen retocada de su billetera de criptomonedas mostrando una suma importante. También pueden ser a través de cuentas de Twitter en las que publican que disponen de 1 ETH para invertir en NFT e invitan a creadores a que compartan sus obras. Lamentablemente muchas veces son estafas.
- Perfiles falsos buscan atraer a creadores de NFT: Para aquellos que están comenzando y buscan interesados en comprar sus NFT puede ser tentador, y los delincuentes lo saben. Por eso, si como vendedor se está frente a esta situación es importante ser cautelosos.
- Sorteos, regalos y ofertas falsas: Muchas ofertas falsas y regalos inesperados en entorno a los NFT y otros criptoactivos suelen anunciarse a través de cuentas de Discord, Twitter y otras plataformas sociales. En algunos casos son cuentas que fueron comprometidas y su nombre fue modificado. Desde estas cuentas falsas que se ven muy reales (en algunos casos con muchos seguidores y publicaciones), los delincuentes se hacen pasar por una marca o persona reconocida y anuncian, por ejemplo, que están regalando criptomonedas. Pero para obtener el supuesto regalo los usuarios deberán proporcionar algún tipo de contraseña o frase secreta.
Camilo Gutiérrez Amaya de ESET, recomienda: “Si bien cubrimos cuáles son las estafas más comunes de NFT y en algunos casos cómo se combinan entre sí, lo cierto es que los ciberdelincuentes son innovadores y siempre encuentran nuevas estrategias para efectuar sus ataques. Por lo tanto, lo más importante es estar atentos y desconfiar de cualquier cosa que sea demasiado buena para ser verdad. El escepticismo puede evitar un gran dolor de cabeza”.
A continuación, ESET repasa algunos ítems importantes para operar con NFT de forma más segura.
- Nunca compartir la seed phrase o contraseña a menos que se esté absolutamente seguro y se haya verificado tres veces en donde se ha hecho clic.
- Siempre revisar el historial de mensajes directos y verificar su origen.
- No hacer clic en ningún enlace que prometa obsequios, ofertas o cualquier cosa que demande tomar una decisión rápida. Si se está tentado a hacer clic, primero verificar a fondo quién envía los enlaces, y especialmente en Discord.
- Intentar mantener los activos más valiosos en una “cold wallet”. Una billetera que no se use habitualmente y que tenga varias medidas de seguridad para poder acceder a ella.
- Procura utilizar una billetera de hardware. Este tipo de billeteras son de alta seguridad y permite almacenar nuestros fondos fuera de línea.
- Adquirir un administrador de contraseñas para todas tus billeteras y cuentas. Este tipo de herramientas ayudan a generar y guardar contraseñas complejas.