Estafa de criptomonedas con honeypot: ¿cómo evitarla?

En el mundo de las criptomonedas, que se expande rápidamente, el atractivo de las ganancias rápidas a veces puede cegar incluso a los inversores más cautelosos ante los riesgos que se esconden debajo. Entre las diversas amenazas, las estafas de criptomonedas honeypot han surgido como una táctica particularmente engañosa utilizada por los estafadores para robar activos e información confidencial de usuarios desprevenidos. Estas estafas a menudo involucran billeteras falsas, tokens o contratos inteligentes que parecen legítimos pero en realidad son trampas diseñadas para explotar la confianza y la codicia de sus víctimas. Comprender cómo funcionan estas estafas y aprender a evitarlas es crucial para cualquiera que navegue por el panorama de las criptomonedas.

¿Qué es una estafa de criptomonedas Honeypot?

Una estafa de criptomonedas con honeypot es una táctica engañosa en el mundo de las criptomonedas en la que los estafadores atraen a personas desprevenidas hacia una trampa diseñada para robar sus activos o información confidencial. La estafa generalmente implica la creación de una billetera, token o contrato inteligente de criptomonedas fraudulento que parece genuino pero, de hecho, es una trampa cuidadosamente diseñada.

Los estafadores suelen utilizar plataformas de redes sociales como X (antes Twitter), Discord o Reddit para llegar a las posibles víctimas. Se hacen pasar por usuarios inexpertos que necesitan ayuda para transferir o retirar lo que afirman que es un pago significativo en criptomonedas. A cambio de la ayuda, ofrecen recompensas generosas, lo que hace que la oferta sea tentadora.

Para generar confianza, el estafador le proporciona a la víctima claves privadas para acceder a una billetera de criptomonedas que aparentemente contiene una cantidad sustancial de tokens. Estos tokens suelen estar en criptomonedas menos conocidas que, a pesar de parecer valiosas, no se pueden usar para cubrir las tarifas de transacción. Luego, se le pide a la víctima que deposite una pequeña cantidad de criptomonedas para cubrir estas tarifas, a menudo con el pretexto de ayudar a un "operador en apuros".

Una vez que la víctima transfiere sus criptomonedas para cubrir las comisiones, los fondos se redirigen automáticamente a una billetera inaccesible controlada por el estafador. Esto se logra mediante scripts automatizados conocidos como "bots de barrido". Si bien las cantidades robadas en cada caso pueden ser pequeñas, los estafadores repiten este proceso varias veces, lo que genera importantes ganancias acumuladas.

El atractivo de las estafas honeypot reside en su capacidad de parecer legítimas y tentadoras, aprovechándose de la codicia o la buena voluntad de las víctimas potenciales. El sitio web, la billetera o el contrato inteligente falso (el honeypot) está diseñado para engañar a los usuarios y hacerlos creer que están interactuando con una plataforma confiable, pero en realidad es una trampa cuidadosamente preparada.

Cómo funcionan los honeypots

Las estafas honeypot en el mundo de las criptomonedas son operaciones meticulosamente planificadas que engañan a los usuarios para que se desprendan de sus activos. Estas estafas generalmente se desarrollan en una serie de pasos calculados, cada uno diseñado para explotar la confianza y la codicia de la víctima.

Configuración y creación

El proceso comienza cuando el estafador decide qué tipo de trampa utilizar. Puede ser cualquier cosa, desde un contrato inteligente con una vulnerabilidad aparente hasta un sitio web falso que imita a una plataforma de intercambio de criptomonedas popular. La clave aquí es hacer que la trampa parezca legítima, ya sea diseñando un sitio web que replique perfectamente una plataforma conocida o implementando un contrato inteligente que parezca tener una falla que permita a los usuarios extraer tokens.

Por ejemplo, en un honeypot de contrato inteligente típico, el contrato parece contener un error que permitiría a cualquiera retirar tokens de él. Sin embargo, para explotar esta "falla", el usuario primero debe depositar una cierta cantidad de criptomonedas en el contrato.

Promoción y captación de víctimas

Una vez que se ha instalado el honeypot, el siguiente paso es atraer a las víctimas. Los estafadores suelen utilizar plataformas de redes sociales como X, Discord o Reddit para llegar a sus posibles objetivos. También pueden emplear la optimización de motores de búsqueda, anuncios pagos y campañas en redes sociales para atraer tráfico a sus plataformas fraudulentas. En algunos casos, los estafadores pueden hacerse pasar por usuarios novatos que necesitan ayuda para retirar o transferir una cantidad sustancial de criptomonedas y prometerle a la víctima una parte de los fondos a cambio de ayuda.

Para ganarse la confianza de la víctima, el estafador podría incluso proporcionarle acceso a lo que parece ser una billetera de criptomonedas llena de tokens valiosos. Sin embargo, estos tokens suelen estar en criptomonedas menos conocidas que no se pueden usar para cubrir las tarifas de transacción, lo que obliga a la víctima a depositar fondos adicionales en una criptomoneda más aceptada.

Explotación y Robo

Después de que la víctima transfiere la criptomoneda requerida, intenta explotar la supuesta vulnerabilidad del contrato inteligente o completar la transacción en la plataforma falsa. Sin embargo, aquí es donde entra en juego la segunda capa de la estafa. La víctima descubre que no puede retirar ni su depósito inicial ni ninguno de los tokens del contrato debido a una falla oculta.

La estafa concluye cuando el atacante, mediante scripts automatizados o "bots de rastreo", transfiere rápidamente el depósito de la víctima y cualquier otro fondo en el contrato o billetera a una dirección inaccesible, robando así los activos. La plataforma o contrato fraudulento se desactiva rápidamente para evitar ser detectado.

Ejemplo del mundo real

El 26 de febrero de 2024 se produjo un incidente notable, cuando DeChat publicó por error un enlace a un contrato inteligente honeypot en sus plataformas de redes sociales. Aunque el error se corrigió rápidamente, algunos usuarios que interactuaron con el enlace sufrieron pérdidas económicas antes de que se resolviera el problema.

Tipos de honeypots

Sitios web falsos

Los estafadores suelen diseñar sitios web falsos y sofisticados que imitan plataformas de inversión, monederos o bolsas de criptomonedas reales. Estos sitios están diseñados para parecer casi idénticos a los servicios legítimos, y utilizan nombres, logotipos y diseños web similares para engañar a los usuarios. Se anima a las víctimas a crear cuentas, vincular sus datos bancarios y depositar fondos, todo lo cual los estafadores pueden robar. Con el auge de las plataformas de finanzas descentralizadas (DeFi), los estafadores se dirigen cada vez más a los usuarios mediante la creación de protocolos DeFi falsos que prometen altos rendimientos, solo para desaparecer con los fondos.

Correos electrónicos de phishing

Los estafadores envían correos electrónicos de phishing que parecen provenir de empresas o servicios de criptomonedas conocidos, como casas de cambio o proveedores de monederos electrónicos. Estos correos electrónicos suelen incluir logotipos y contenido de aspecto oficial para parecer legítimos. Pueden afirmar que hay un problema con la cuenta del destinatario y solicitarle que proporcione los datos de inicio de sesión para resolverlo. En otros casos, los correos electrónicos indican a los usuarios que depositen fondos en una dirección de monedero electrónico falsa controlada por el estafador. Una vez que la víctima introduce sus credenciales o transfiere fondos, el estafador obtiene el control de sus activos. Recientemente, ha habido un aumento de los intentos de phishing dirigidos a los usuarios de las plataformas blockchain emergentes, donde los estafadores explotan la falta de conocimiento entre los nuevos usuarios.

Estafas en las redes sociales

Los estafadores utilizan las plataformas de redes sociales para promocionar oportunidades de inversión falsas, a menudo aprovechando el respaldo de celebridades falsas, anuncios pagos o cuentas impostoras. En algunos casos, incluso pueden piratear la cuenta de una figura pública para dar credibilidad a la estafa. Por ejemplo, los estafadores pueden crear un perfil falso de una celebridad que promociona una ICO (oferta inicial de monedas) de criptomonedas. Los usuarios, atraídos por la promesa de altos rendimientos, son engañados para que envíen depósitos de criptomonedas, que luego los estafadores roban. Recientemente, ha habido un aumento de estafas que involucran obsequios falsos de NFT (tokens no fungibles) en plataformas como X (anteriormente Twitter) e Instagram.

Monedas manipuladas

Las monedas honeypot son otra táctica en la que los estafadores crean tokens con contratos inteligentes aparentemente lucrativos. Los inversores se sienten atraídos por la promesa de retornos astronómicos, solo para descubrir que no pueden retirar sus fondos debido a reglas contractuales ocultas. Una vez que los estafadores han reunido suficientes inversiones, ejecutan un "tirón de alfombra", agotando el contrato y dejando a los inversores con tokens sin valor. A medida que los proyectos DeFi continúan creciendo, también lo hace la complejidad de estas estafas, y los atacantes con frecuencia explotan las lagunas en los contratos inteligentes para atrapar a los inversores incautos.

Ataques de malware

Los ataques de malware son un método común que utilizan los estafadores para infiltrarse en el dispositivo de una víctima. Por lo general, el malware se descarga a través de enlaces de phishing o archivos adjuntos de correo electrónico y luego se ejecuta en segundo plano sin el conocimiento del usuario. Este software malicioso puede robar claves privadas de billeteras, contraseñas y otros datos confidenciales, lo que permite al atacante sustraer criptomonedas. Si bien el software antivirus a veces puede detectar y eliminar malware, muchos ataques son muy sofisticados, lo que dificulta su identificación hasta que es demasiado tarde. Recientemente, ha habido un aumento en el malware dirigido a billeteras móviles y aplicaciones descentralizadas (dApps), ya que más usuarios administran sus activos criptográficos a través de teléfonos inteligentes.

Lanzamientos aéreos falsos

En los esquemas de airdrops falsos, los estafadores atraen a los usuarios con la promesa de criptomonedas gratis. Le piden al destinatario que proporcione la dirección de su billetera o, lo que es más peligroso, su clave privada para recibir el airdrop. Sin embargo, esto le da al estafador acceso a la billetera del usuario, lo que le permite robar cualquier criptomoneda almacenada en ella. Es importante tener en cuenta que los airdrops legítimos nunca requieren detalles confidenciales de la billetera. A medida que aumenta la popularidad de los airdrops, especialmente en los espacios NFT y DeFi, los usuarios deben ser más cautelosos y verificar la legitimidad de la oferta antes de participar.

Cómo evitar los honeypots

Para evitar las estafas honeypot es necesario estar alerta y actuar con cautela. A continuación, se indican algunas estrategias clave que le ayudarán a mantenerse a salvo:

Investigue antes de invertir

Antes de comprometer fondos o proporcionar información personal, realice una investigación exhaustiva sobre la plataforma o la oportunidad. Busque reseñas de fuentes confiables, verifique si hay quejas y confirme que la plataforma esté registrada legalmente y cumpla con las regulaciones pertinentes. En el mundo de las finanzas descentralizadas (DeFi), que evoluciona rápidamente, también es importante revisar el documento técnico del proyecto y examinar al equipo que está detrás para garantizar su legitimidad.

Comprobar la validez del certificado

Verifique siempre el certificado SSL de los sitios web que visite, en particular cuando impliquen transacciones financieras. Los sitios fraudulentos suelen utilizar certificados no válidos o autofirmados, lo que puede ser una señal de alerta. Herramientas como los verificadores de SSL pueden ayudarle a determinar si el certificado de un sitio es genuino. Además, asegúrese de que la URL comience con "https" y no "http", ya que esto indica una conexión segura.

Monitorizar la liquidez

Desconfíe de los tokens o monedas que no tengan suficiente liquidez o que sean difíciles de retirar. Los activos ilíquidos pueden ser un signo de una trampa, en la que el estafador bloquea los fondos, lo que hace imposible que los inversores vendan o retiren sus inversiones. Comprobar el volumen de operaciones del token y su presencia en bolsas establecidas puede proporcionar información sobre su liquidez.

No confíes en las recomendaciones de celebridades

Las promociones de famosos, especialmente en el ámbito de las criptomonedas, suelen inventarse para promocionar monedas o proyectos fraudulentos. Verifique siempre la autenticidad de las promociones antes de tomar cualquier decisión de inversión. También es importante tener en cuenta que incluso las cuentas legítimas de famosos pueden ser pirateadas temporalmente y los estafadores las pueden utilizar para engañar a sus seguidores para que inviertan en esquemas fraudulentos. Sea escéptico ante cualquier promoción de alto perfil y verifique con fuentes confiables.

Desactivar permisos automáticos

Al conectar aplicaciones o servicios a su billetera de criptomonedas, es más seguro habilitar permisos manualmente en lugar de permitir el acceso automático a todas las funciones. Los estafadores suelen aprovechar los permisos automáticos para obtener control no autorizado sobre sus activos. Revise y revoque periódicamente los permisos innecesarios para minimizar el riesgo de acceso no autorizado.

Utilice almacenamiento en frío

Para proteger sus tenencias de criptomonedas, guarde la mayoría de sus activos en almacenamiento en frío (billeteras fuera de línea que no están conectadas a Internet). Esto reduce significativamente el riesgo de que sus fondos se vean comprometidos en caso de una estafa o un ciberataque. Guarde solo una pequeña cantidad de criptomonedas en billeteras en línea para las transacciones diarias.

Habilitar la autenticación de dos factores (2FA)

Agregar autenticación de dos factores (2FA) a sus cuentas y billeteras le brinda una capa adicional de seguridad. Incluso si su contraseña se ve comprometida, la 2FA hace que sea más difícil para los atacantes obtener acceso a sus activos. Use aplicaciones de 2FA como Google Authenticator o tokens de hardware para mayor protección y evite la 2FA basada en SMS, que puede ser vulnerable a ataques de intercambio de SIM.

Conclusión

A medida que la industria de las criptomonedas sigue creciendo, también lo hacen los métodos que utilizan los estafadores para explotar a los usuarios desprevenidos. Las estafas honeypot, con sus intrincados engaños y trampas cuidadosamente diseñadas, son un potente recordatorio de la importancia de la vigilancia y la debida diligencia. Al mantenerse informados, realizar una investigación exhaustiva y emplear prácticas de seguridad sólidas, como el uso de almacenamiento en frío y habilitar la autenticación de dos factores, los inversores pueden protegerse de ser víctimas de estos esquemas maliciosos. En el mundo de los activos digitales, el escepticismo y la precaución son clave para salvaguardar sus inversiones y su información personal.

Tenga en cuenta que Plisio también le ofrece:

Cree facturas criptográficas en 2 clics and Aceptar donaciones criptográficas

12 integraciones

6 bibliotecas para los lenguajes de programación más populares

19 criptomonedas y 12 blockchain