Informes

Los tokens no fungibles, más conocidos como NFT por sus siglas en inglés o nifties, comienzan aproximadamente en 2012 con la creación de Colored Coins, últimamente han comenzado a captar más la atención de los usuarios debido a la explosión que ha tenido esta tecnología en diversos segmentos como el arte, la creación de coleccionables relacionados con deportes o el segmento de videojuegos. En 2020, el mercado de NFT creció casi un 300% en comparación con 2019 y actualmente las operaciones que involucran NFT superan los 300 millones de dólares en volumen de transacciones. Como era de esperarse, esta combinación de factores despertó el interés de cibercriminales, tal como ocurrió con las criptomonedas.

Para comprar, vender o almacenar un NFT se necesita una billetera digital. Mantener seguras estas billeteras y el uso de sus sistemas asociados es una de las cuestiones que genera más preocupación entorno a la protección de estos criptoactivos. Por ejemplo, en caso de que alguien intentara robar una obra de arte física, debería vulnerar la seguridad física del museo que aloje dicha obra, mientras que para robar un bien digital se requiere vulnerar la seguridad del sistema que lo aloje y aquellos que están involucrados a su alrededor. En este contexto, amenazas como el malware, el uso de técnicas de Ingeniería Social como el phishing y otras modalidades de engaño comienzan a ser más frecuentes debido al mayor interés de atacantes que buscan apropiarse o manipular estos criptoactivos.

Entorno a las estafas y fraudes que se han conocido en los últimos tiempos hay algunos ejemplos de artistas que han sufrido la copia sin permiso de sus obras y se han vendido como NFT. Esto sucedió, por ejemplo, después de la muerte de la artista Qing Han en 2020, cuando un estafador asumió su identidad y varias de sus obras estuvieron disponibles para su compra como NFT. Entre otros delitos se destaca el “sleepminting”, un proceso que puede permitir que un estafador acuñe un NFT en la billetera de un artista y lo transfiera a su propia cuenta sin que el artista se dé cuenta. Los ciberdelincuentes aprovechan que el mercado de NFT no está regulado y que no cuenta con recursos legales para hacerle frente a tales delitos. Muchas obras de arte digitales robadas se venden de forma fraudulenta como NFT. Si bien hay incipientes estrategias de seguridad, sin dudas hay mucho por hacer, ya que las vulnerabilidades en los sistemas se renuevan día a día y, como es habitual en la seguridad, el eslabón más débil está en el comportamiento de los usuarios.

Estas son algunas recomendaciones acerca de cómo evitar estas estafas y cómo mantenerse a salvo:

Engaños a través de mensajes directos en Discord: Discord es muy atractivo para los cibercriminales y existen distintas modalidades de engaño a través de esta plataforma. En diciembre pasado delincuentes comprometieron el canal de Discord de Fractal, un Marketplace de juegos NFT, y engañaron a 373 usuarios robándoles de sus wallets aproximadamente 150 mil dólares en la criptomoneda Solana. De hecho, los engaños buscando robar acceso a cuentas de Discord son bastante frecuentes. Pero la realidad es que hay varias modalidades de estafas en Discord que los propietarios de NFT deberían conocer. Haciéndose pasar por amigos o utilizando cuentas comprometidas envían mensajes directos inventando una historia y/o se hacen pasar por un proyecto, una marca, un artista o un influencer de NFT.

Discord, permite enviar mensajes directos (DM) para mantener conversaciones individuales y privadas con otros usuarios de la comunidad y también permite enviar mensajes directos e iniciar chats de grupo independientemente del servidor en el que se esté. Por eso, los usuarios jamás deben hacer clic en enlaces de fuentes desconocidas, sin importar cuán legítimos se vean, o mensajes directos de “amigos” que piden dinero, o “anuncios” de proyectos NFT. Siempre se debe verificar. Si se recibe un mensaje extraño de alguien que conocido asegurarse de que sea la persona que dice ser comprobando su identificador.

Perfiles falsos en redes sociales: Tanto en Twitter como en las demás redes sociales los usuarios deben aprender a convivir con perfiles falsos que intentarán hacerlos caer en una trampa. Hay que acostumbrarse a prestar atención ya que muchas veces copian información del perfil oficial. Por lo tanto, si no se está atento no se identificará que quizás la única diferencia puede llegar a ser solo una letra entre un perfil y otro.

En 2021 se detectó una campaña maliciosa que utilizaba bots de Twitter. Los criminales respondían de forma automática publicaciones que incluían ciertas palabras clave y que hacían referencia a un problema con algún criptoactivo. Al rato cibercriminales respondían haciéndose pasar por un representante de soporte y terminaban engañando a la víctima robando la frase de recuperación o seed phrase para obtener acceso a billeteras de criptomonedas. Además, a través de cuentas falsas un delincuente puede enviar un mensaje fingiendo estar dispuesto a charlar o pidiendo ayuda y consejos sobre algo. Si se presta atención a ciertos elementos, como el número de seguidores, tweets copiados y pegados de identificadores reales, demasiados retweets de otras cuentas sin contenido original, se identifica que la cuenta no es genuina.

Sitios falsos que se hacen pasar por oficiales (phishing): Es muy común la creación de sitios falsos que son copias muy parecidas de tiendas de NFT, billeteras digitales, etc. Estos falsos sitios pueden ser distribuidos a través de plataformas sociales como Discord, Twitter o incluso el correo electrónico.

Imitadores de artistas o creadores: Comprar NFT a artistas que sean verificados o que demuestren por su antigüedad o actividad que no han estado involucrados en nada sospechoso. Tyler Hobbs, el artista detrás de la colección de arte generativo (Art Blocks) llamada Fidenza, denunció a la plataforma SolBlocks estar comercializando imitaciones de sus trabajos creadas utilizando su código sin su permiso. La lista de artistas que fueron víctimas de cuentas y sitios que vendieron NFT de su trabajo sin el consentimiento del artista son varios. De hecho, varios artistas comenzaron a revisar en plataformas como OpenSea o Rarible si su trabajo estaba siendo acuñado sin su consentimiento.

Estafa Pump & Dump: Se trata de un modelo de estafa en la cual una persona o grupo de personas compra una gran cantidad de NFT (aunque puede ser token o criptomoneda) para generar un aumento en la demanda y de esta manera aumentar su valor.

Estafa rug pull: Las mismas se dan en general en el mundo cripto y desde luego los NFT no se quedan afuera. Entre los casos más recientes aparece ‘Evolved Apes’, un proyecto en el cual el creador simplemente desapareció con $ 2.7 millones, y también el caso del token Squid (en honor a la serie Squid Game, que en español es El juego del calamar), cuyo valor cayó estrepitosamente luego de pasar de valer 1 centavo a 2.800 dólares en una semana. A partir de ahí, el valor cayó y la cuenta oficial de Twitter desapareció, al igual que su página web y su cuenta en Medium. Se estima que los desarrolladores del token se quedaron con 3.3 millones de dólares.

Este fraude se da cuando los responsables de un proyecto lo abandonan y se quedan con el dinero de los inversores. Cuando el valor del token y la cantidad de inversores llega a cierto punto, los estafadores vacían los pools de liquidez de un Exchange descentralizado (DEX, por sus siglas en inglés) haciendo que el valor del criptoactivo se desplome y dejando a los propietarios de estos activos sin poder venderlos. Estas estafas suelen venir camufladas mediante excusas como que existe un fallo en el software y se necesita tiempo corregirlo.

Estafa de la subasta: Una de las estafas más populares son las ofertas falsas, conocida en inglés como Bidding Scams. En estos casos alguien subasta un NFT a un precio base para que los usuarios oferten por él, pero el estafador, sin que el vendedor lo sepa, cambia la criptomoneda con la cual realizan la compra por una que tiene un valor inferior. En otros casos se ha visto que alguien pone a la venta un NFT a un precio, luego lo saca de la lista y vuelve a ponerlo en la lista, pero moviendo el decimal un lugar a la derecha.

Perfiles falsos y suplantación de identidad de artistas o coleccionistas: Se trata de un engaño en el cual estafadores crean perfiles falsos o suplantan la identidad de un coleccionista, un artista o creador de NFT. Las formas de abordar a las víctimas son variadas. Por ejemplo, los delincuentes pueden intentar contactar por mensaje directo a estos creadores para comprarles un NFT haciéndose pasar por alguien que en realidad no son, y antes solicitan al vendedor que realice una acción, como registrarse en un sitio o similar, o compartir una imagen retocada de su billetera de criptomonedas mostrando una suma importante. También pueden ser a través de cuentas de Twitter en las que publican que disponen de 1 ETH para invertir en NFT e invitan a creadores a que compartan sus obras. Lamentablemente muchas veces son estafas.

Perfiles falsos buscan atraer a creadores de NFT: Para aquellos que están comenzando y buscan interesados en comprar sus NFT puede ser tentador, y los delincuentes lo saben. Por eso, si como vendedor se está frente a esta situación es importante ser cautelosos.

Sorteos, regalos y ofertas falsas: Muchas ofertas falsas y regalos inesperados en entorno a los NFT y otros criptoactivos suelen anunciarse a través de cuentas de Discord, Twitter y otras plataformas sociales. En algunos casos son cuentas que fueron comprometidas y su nombre fue modificado. Desde estas cuentas falsas que se ven muy reales (en algunos casos con muchos seguidores y publicaciones), los delincuentes se hacen pasar por una marca o persona reconocida y anuncian, por ejemplo, que están regalando criptomonedas. Pero para obtener el supuesto regalo los usuarios deberán proporcionar algún tipo de contraseña o frase secreta.

Falsos “mints”: Se trata de un engaño en el que los desarrolladores envían NFT a influencers haciendo parecer que son ellos quienes están acuñando los NFT. Esto lo hacen sabiendo que muchos compradores monitorean billeteras para ver tendencias y qué se está comprando para tratar de anticiparse al interés masivo. Existen herramientas para monitorear direcciones de billeteras de ETH y pueden ser configuradas para recibir notificaciones a través de Telegram o Discord. El problema también es que quienes monitorean las billeteras confían sin haber investigado previamente.

Estos son algunos ítems importantes para operar con NFT de forma más segura:

• Nunca compartir la seed phrase o contraseña a menos que se esté absolutamente seguro y se haya verificado tres veces en donde se ha hecho clic.

• Siempre revisar el historial de mensajes directos y verificar su origen.

• No hacer clic en ningún enlace que prometa obsequios, ofertas o cualquier cosa que demande tomar una decisión rápida. Si se está tentado a hacer clic, primero verificar a fondo quién envía los enlaces, y especialmente en Discord.

• Intentar mantener los activos más valiosos en una “cold wallet”. Una billetera que no se use habitualmente y que tenga varias medidas de seguridad para poder acceder a ella. Procura utilizar una billetera de hardware. Este tipo de billeteras son de alta seguridad y permite almacenar nuestros fondos fuera de línea.

• Adquirir un administrador de contraseñas para todas tus billeteras y cuentas. Este tipo de herramientas ayudan a generar y guardar contraseñas complejas.