- Un comerciante de criptomonedas experimentado fue víctima de una estafa de phishing altamente sofisticada en Coinbase, considerada una de las más complejas hasta ahora.
- Los estafadores se hicieron pasar por el servicio de atención al cliente de Coinbase y engañaron al comerciante para que revelara información personal y un código de verificación legítimo.
- El incidente ha generado preocupación en la comunidad de criptomonedas sobre la seguridad de las cuentas de Coinbase, mientras se investiga la posible implicación de terceros y violaciones de datos.
Recientemente, un experimentado comerciante de criptomonedas fue objeto de una estafa de phishing altamente sofisticada que buscaba vaciar su cuenta de Coinbase. Esta táctica maliciosa ha sido descrita como una de las estafas más complejas en el ámbito de las criptomonedas hasta la fecha.
Tabla de contenidos
Sofisticada estafa de phishing de Coinbase
Jacob Canfield, el afectado, recurrió a Twitter para alertar a los usuarios de Coinbase sobre lo que él sospechaba que era una violación de datos. Canfield recibió un mensaje de texto que indicaba un cambio en la autenticación de dos factores (2FA) de su cuenta de Coinbase. Poco después, recibió tres llamadas telefónicas de una línea falsa de atención al cliente de Coinbase que aparecía como un número de San Francisco.
Los estafadores interrogaron a Canfield sobre su ubicación y si había solicitado cambios en su 2FA y correo electrónico. Después de que Canfield negara haber realizado tales solicitudes, los estafadores enviaron un mensaje de texto aparentemente para cancelar los cambios, pero en realidad lo redirigieron a un equipo falso de seguridad de Coinbase. El objetivo era que Canfield verificara su cuenta para evitar una supuesta suspensión de 48 horas.
Canfield explicó a sus seguidores en Twitter que los estafadores poseían su nombre, dirección de correo electrónico y ubicación, y habían enviado un correo electrónico de «código de verificación» desde help@coinbase.com a su dirección personal. Los estafadores solicitaron el código de verificación, pero Canfield se negó a proporcionarlo, lo que provocó la ira de los estafadores y su posterior desconexión.
Consecuencias del ataque
Canfield reveló más tarde que el código de verificación solicitado era su auténtica 2FA, pero los estafadores lo enviaron desde su propio correo electrónico y aprovecharon para vaciar su cuenta mientras mantenían la conversación telefónica. Los correos electrónicos fraudulentos enviados por los estafadores, aparentemente provenientes de Coinbase, mostraban capturas de pantalla convincentes, pero se enviaron a través del proveedor de correo electrónico de Amazon.
Reflexiones y preguntas en la comunidad cripto
Esta estafa de phishing sofisticada ha planteado varias incógnitas dentro de la comunidad de criptomonedas. Una de ellas es cómo los estafadores lograron que Coinbase enviara un correo electrónico con un código de verificación 2FA legítimo a Canfield. Algunos usuarios especulan que esto sugiere que los estafadores ya habían accedido a la cuenta de Canfield mediante una violación de datos.
Ante la situación, Coinbase respondió sobre la estafa de phishing afirmando que no se había producido ninguna filtración de datos. Sin embargo, los usuarios sugirieron que la violación pudo haber ocurrido a través de un tercero, y muchos señalaron a CoinTracker, una empresa asociada con Coinbase en la preparación de impuestos. CoinTracker negó su implicación, pero admitió una filtración de datos en diciembre que podría haber involucrado el correo electrónico de Canfield.
Aunque Canfield detectó rápidamente la estafa, está preocupado por la posibilidad de que otros puedan convertirse en víctimas de este sofisticado intento de phishing. El criptodetective ZachXBT señaló que otros también han sido objeto de estafas similares.
Prevención y recomendaciones de seguridad
Canfield hizo hincapié en la importancia de tomar medidas preventivas para salvaguardar las cuentas de Coinbase y recomendó a los usuarios cambiar todas sus contraseñas si son usuarios de esta plataforma. Además, se sugiere evitar el uso de autenticación por SMS o correo electrónico, ya que estas pueden ser vías de ataque para los estafadores. Es fundamental mantener un nivel de seguridad sólido y estar alerta ante posibles intentos de phishing o violaciones de datos. Y es por ello por lo que proporcionamos algunas técnicas para protegerse de las estafas de phishing.
Medidas técnicas para detectar y evitar estafas de phishing:
- Educación y concienciación: Aprende sobre los riesgos y características de las estafas de phishing. Comienza a reconocer señales de advertencia, como correos electrónicos sospechosos, enlaces extraños o solicitudes inusuales de información personal.
- Verificación de la autenticidad de los sitios web: Antes de ingresar información confidencial en un sitio web, verifica la autenticidad del sitio. Verifica si la URL es legítima y utiliza conexiones seguras (https://). Puedes hacerlo inspeccionando el certificado SSL del sitio y asegurándote de que el dominio sea correcto.
- Utiliza autenticación de múltiples factores (MFA): Habilita la autenticación de múltiples factores siempre que sea posible. Esto agrega una capa adicional de seguridad al requerir un segundo factor de autenticación, como un código generado por una aplicación móvil o una llave de seguridad física.
- Mantén el software actualizado: Mantén tu sistema operativo, navegadores y aplicaciones actualizados con los últimos parches de seguridad. Las actualizaciones a menudo incluyen correcciones de vulnerabilidades conocidas que los estafadores pueden explotar.
- Filtrado y bloqueo de correos electrónicos sospechosos: Implementa filtros de correo electrónico para bloquear mensajes sospechosos y utiliza soluciones de seguridad que puedan detectar y marcar los correos electrónicos de phishing conocidos. Además, edúcate para evitar hacer clic en enlaces o descargar archivos adjuntos de fuentes no confiables.
- Utiliza soluciones de seguridad y antivirus: Instala software antivirus confiable y soluciones de seguridad en tus dispositivos. Estas herramientas pueden ayudar a detectar y bloquear sitios web y archivos maliciosos asociados con estafas de phishing.
- Verificación de remitentes y dominios: Antes de responder a un correo electrónico o proporcionar información confidencial, verifica cuidadosamente el remitente y el dominio del correo electrónico. Los estafadores a menudo utilizan direcciones de correo electrónico falsas o similares a las legítimas para engañar a las víctimas.
- Informe y denuncie las estafas: Si sospechas de una estafa de phishing, informa inmediatamente a las autoridades competentes y a la entidad afectada. Cuanto antes se denuncie, más rápido se puede tomar acción para mitigar los daños y alertar a otros usuarios.