Ha habido muchas discusiones en el mundo digital sobre si transferir dinero con anonimato conlleva muchos riesgos o no. Aunque así sea. En los últimos tiempos, una creciente estafa de phishing denominada "ataque de phishing de hielo" ha estado haciendo rondas en Internet. El mercado de criptomonedas se ha disparado delante de nuestras narices, con cada vez más personas que se registran de forma anónima en la Blockchain para recaudar criptofondos y multiplicar sus finanzas. Aunque todo esto suena bastante mágico, no lo es tanto en la realidad.
Microsoft ha emitido recientemente una advertencia para los usuarios sobre una posible variante de ataque de phishing que tiene como objetivo el entorno Blockchain y Web3, específicamente. Esta nueva y alarmante estafa de Blockchain se ha denominado "Ice Phishing".
Para nuestros lectores no criptográficos, he aquí un breve resumen de algunos conceptos básicos antes de sumergirnos en lo que es el "Ice Phishing":
Descentralización de datos y la cadena de bloques
La descentralización de los datos se refiere a un modelo de datos en el que la autoridad sobre las entidades de datos está dispersa en una red distribuida, en lugar de estar concentrada en manos de un organismo u organismos específicos. Se mantiene fiel al hecho: "sálvese quien pueda", al reducir la interdependencia entre las partes que manejan los datos.
Blockchain puede definirse como una base de datos descentralizada que funciona principalmente como unidad de almacenamiento para las transacciones de criptomonedas. Al ser un entorno seguro distribuido y desconcentrado digitalmente, mantiene el anonimato de los participantes durante las transacciones y también conserva un registro de las mismas. Toda la información de la Blockchain se almacena electrónicamente y en un espacio seguro al que no pueden acceder terceros.
La cadena de bloques almacena libros de contabilidad distribuidos que no pueden ser alterados una vez añadidos. Cada "bloque" funciona como una unidad de almacenamiento independiente que contiene un conjunto de información transaccional dentro de un espacio limitado. Una vez que el bloque se llena, se crea un nuevo bloque para añadir el siguiente conjunto de registros, que se vincula al bloque anterior. Esto forma una cadena de bases de datos que da a la Blockchain su nombre de firma.
Hoy en día, existen varios servicios de desarrollo de Blockchain que ofrecen servicios de consultoría, integración, tokenización, gestión y mantenimiento para ayudar a organizaciones y particulares a crear e implementar soluciones basadas en blockchain.
Web3.0 y los posibles riesgos asociados a ella
Construida sobre la base de la tecnología Blockchain, la Web3.0, o Web3 como se la conoce comúnmente, es un entorno web descentralizado que permite a los usuarios interactuar y escalar sus inversiones al tiempo que ofrece más privacidad a sus datos. En Web3, los datos están descentralizados y encriptados con la ayuda de una clave privada a la que sólo el usuario tiene acceso.
A diferencia de la Web2, en la que los datos se almacenan en servidores centralizados supervisados por un grupo de grandes empresas tecnológicas, la Web3 ofrece más en términos de seguridad y escalabilidad y se está convirtiendo rápidamente en la próxima gran novedad del mercado de las criptomonedas.
Sin embargo, es importante tener en cuenta que la Web3 está todavía en su fase inicial y requiere bastante desarrollo. Al igual que la Web1.0 y la Web2.0, no es inmune a las violaciones de datos o a los problemas de seguridad. La falta de centralización también pone de manifiesto la ausencia de regulación de los datos en la Web3, que allana el camino a las actividades maliciosas.
Ataques de Ice Phishing detectados por Microsoft en la Blockchain
Te preguntarás que si la Blockchain y la Web3 son entornos tan seguros, ¿cómo es que los ataques de phishing siguen causando estragos en el mundo de las criptomonedas? La respuesta es: a través de la ingeniería social.
Los atacantes son tan listos como malvados. El sector de los servicios de desarrollo metaverso no es inmune a los ataques maliciosos de los atacantes, que encuentran constantemente nuevas formas de perjudicar a usuarios inocentes. Como señalan los analistas de seguridad de Microsoft, estos delincuentes han empezado a crear y firmar contratos inteligentes maliciosos que redirigen los tokens de los monederos no custodiados a una dirección controlada por el atacante en lugar de a la dirección del destinatario previsto. Esto es posible gracias a la falta de transparencia en la interfaz transaccional de Web3. Cada vez es más difícil detectar y rastrear el desplazamiento de tokens, por lo que es crucial que las empresas de servicios de desarrollo metaverso se adelanten a estos sofisticados atacantes.
¿Le resulta familiar? Los correos electrónicos de phishing enviados por atacantes para estafar a empresas utilizan tácticas similares.
Tal y como sugieren los investigadores de seguridad de Microsoft, para evitar el "Ice Phishing" se pueden tomar algunas medidas de precaución que incluyen comprobar a fondo si el contrato inteligente que se está firmando está auditado y es inalterable, y también verificar sus características de seguridad en él.
No soy un usuario de Blockchain, ¿debería seguir preocupándome?
Sí. Si bien el "Ice phishing" es una variante única de phishing que se alimenta de las vulnerabilidades de Blockchain y Web3, hay otras formas de phishing que pueden afectar a las personas en todos los niveles. Estas son algunas:
Suplantación de identidad por correo electrónico
¿Alguna vez te has encontrado con un correo electrónico que suena demasiado bien para ser verdad? ¿Como un descuento del 90% en tus ofertas favoritas o ganar la lotería? Aunque algunos son fáciles de detectar porque la dirección del remitente parece sospechosa, ¿qué ocurre si recibe el mismo correo electrónico de una fuente de confianza en cuyos servicios confía a diario? Hará clic en el correo electrónico.
En un ataque de phishing por correo electrónico, el atacante falsea la dirección del remitente para que parezca que proviene de una fuente legítima y así robar las credenciales del usuario o inyectar un ransomware. Puede provocar violaciones de datos a nivel empresarial, robos de identidad, etc.
Fraude de los directores generales
Los responsables de la toma de decisiones en una organización, como el director general, son los más propensos a ser suplantados. Esto se debe a que tienen acceso a información sensible como ningún otro. El fraude del CEO se refiere a los correos electrónicos de phishing que suplantan al CEO para engañar a los empleados para que transfieran fondos o revelen datos confidenciales.
La caza de ballenas y la pesca submarina
Las formas de ataques de phishing altamente focalizadas, el whaling y el spear phishing, se dirigen a individuos específicos dentro de una organización para defraudar a la empresa. Similar al el fraude al director generalson muy difíciles de detectar o evitar, ya que utilizan tácticas avanzadas de ingeniería social.
¿Cómo proteger su organización contra el phishing?
DMARC puede ayudarle. El uso de soluciones de autenticación de correo electrónico como DMARC le permitirá desplegar una sólida postura antiphishing en su organización. Una política DMARC no solo ayuda a evitar el phishing, sino que también proporciona un alto grado de seguridad contra la suplantación directa de dominio y los ataques de ransomware perpetrados a través de correos electrónicos falsos.
PowerDMARC es su ventanilla única DMARC con la misión de eliminar las conjeturas sobre la seguridad del correo electrónico. Nuestras soluciones son fáciles de implementar, tienen precios competitivos en el mercado, son completamente seguras y muy eficaces. Hemos ayudado a más de 1.000 marcas de todo el mundo a luchar contra el phishing y a migrar a una experiencia de correo electrónico más segura a los pocos meses de su implantación. Únase a nosotros hoy mismo realizando una prueba DMARC!.
- Cómo solucionar el problema "No se ha encontrado ningún registro SPF" en 2025 - 21 de enero de 2025
- Cómo leer un informe DMARC - 19 de enero de 2025
- ¿Qué es MTA-STS? Establezca la política MTA-STS adecuada - 15 de enero de 2025