Distintas maneras en las que tu Metamask podría haber sido comprometida (hackeada).

Admito que me encantan las inversiones en DeFi. Encontrar nuevos proyectos que generen grandes rendimientos e intentar diferenciar los proyectos legítimos de los montones de proyectos basura y esquemas ponzi, es todo un desafío agradable y, a veces, rentable. Pero hay un punto débil en todo esto en lo que la la seguridad de tus fondos se trata. Para poder interactuar con todos estos protocolos DeFi debes usar una billetera “no custodial” como Metamask. Sí, Metamask funciona bien y hace exactamente lo que se necesita, de hecho sabes que la usamos mucho y hablamos mucho sobre ella en el Canal, pero lamentablemente tiene una gran falta de seguridad, sobre todo si no se tienen todas las precauciones necesarias. 

La red está plagada de casos de hackeos

Los grupos de criptomonedas de Facebook, Reddit, Discord y Telegram están repletos de personas que cuentan historias de cómo les hackearon y vaciaron sus billeteras. A menudo por cantidades de muchos miles de dólares. 

Si lees cualquiera de estas historias en línea, puede llegar a tener la sensación engañosa de que casi todos los que usan Metamask, son pirateados. Pero tranquil@!. La buena noticia es que, por lo general, esto no es cierto. Solo un pequeño porcentaje de los usuarios de Metamask son hackeados. Además, la mayoría de los usuarios que son pirateados son usuarios novatos que aún no han aprendido todos los pasos importantes que se deben seguir para asegurar una billetera Metamask. Aunque sí, es cierto que los hackeos también ocurren para usuarios más experimentados, pero estos son mucho más raros y generalmente implican un error del usuario que algún hacker al acecho, aprovecha. En este sentido, usar Metamask es muy parecido a participar en un deporte de riesgo como el paracaidismo o el barranquismo. Debes asegurarte el 100% del tiempo de hacer todo correctamente. Un error puede acabar con su cuenta.

Para evitar que te pirateen (o que te vuelvan a piratear si ya te han pirateado), es esencial que conozcas todos los pasos que debes seguir para proteger tu cuenta: qué hacer, qué no hacer y cómo evitar que los estafadores accedan a tu cuenta. Entonces, echemos un vistazo a las formas más comunes en que los usuarios de Metamask son pirateados y cómo evitarlos. Sigue leyendo!

Descargar una versión fraudulenta de Metamask

En realidad, esto es algo raro, pero de hecho ocurre y, por supuesto, debe evitarse. El sitio web oficial de Metamask es https://metamask.io . Este es el único sitio donde debe descargar e instalar Metamask. Se sabe que los piratas informáticos crean sitios Metamask falsos y utilizan Google Ads para mostrar esos sitios web en la parte superior de los resultados de búsqueda de Google. El sitio falso tiene una versión pirateada de Metamask que le permite al usuario crear una billetera y agregar fondos como si fuera real, pero en realidad estás enviando los fondos directamente a una wallet del hacker. ¡Así que usa siempre la versión oficial de Metamask!

Exponer tu frase semilla

La forma más común en que las personas son pirateadas, a pesar de ser “la primera ley de criptoseguridad”, es permitir que se exponga la frase semilla de la billetera. Como sabes, durante el proceso de generación de cualquier billetera criptográfica, se genera lo que se conoce como clave semilla, que en el caso de Metamask son 12 palabras, a las cuales van asociadas las claves privadas y públicas de la misma. Estas 12 palabras son mostrada únicamente en la creación y se pide que se anoten, en papel preferiblemente y fuera de cualquier medio informático conectado a internet que pueda ser vulnerable de cualquier ataque informático. Por ello, para proteger tu billetera, debes asegurarte de no compartirlas ni mostrarlas nunca a nadie. Para ello, es importante tener en cuenta los siguientes consejos:

  • Cuando Metamask le muestre la frase semilla escríbela ÚNICAMENTE en una hoja de papel y guárdalo de forma segura, a ser posible en varios emplazamientos distintos (distintas viviendas). Puedes guardarlo en una caja fuerte, en una caja de seguridad en tu banco, o en cualquier lugar donde SÓLO TÚ sepas dónde están.
  • NO almacene tu frase semilla digitalmente. Es decir, en tu computadora o en tu teléfono. En caso de hacerlo cualquier pirata informático que obtenga acceso a tu sistema de archivos o a tu copia de seguridad en la nube, podrá revelar tu frase semilla.
  • NO tomes una foto de tu frase semilla con tu teléfono. Los hackers pueden obtener acceso a tu colección de fotos, ya sea pirateando el teléfono o pirateando una copia de seguridad en línea, y simplemente buscando cualquier foto que contenga frases iniciales, se acabó el juego.
  • La ÚNICA excepción para poder almacenar una frase inicial en forma digital es un administrador de contraseñas altamente seguro o un servicio de administración de secretos confiable como Dashlane o 1Password. 

Todas las precauciones son pocas

¡Pero no basta únicamente con asegurar tu frase semilla al crear tu billetera!. Debes estar constantemente alerta contra todos aquellos que intentarán robar tu frase frase semilla de muchas otras maneras. 

Phishing

3 Crypto Phishing Scams You Should Know About - CoolWallet

Una forma común en que los usuarios son pirateados es mediante técnias de Phishing, cuando se unen a un servidor Discord o Telegram de algún proyecto. Hay montones de estafadores que acechan en estos lugares, simplemente esperando que una nueva persona (tú mismo) comience a hacer preguntas. Tan pronto como te vean, intentarán lo más rápido posible enviarte un DM (mensaje directo o privado) o incluso llamarte para ofrecerte “soporte técnico”. Tienen nombres de cuenta y avatares que los hacen parecer como si fueran el soporte técnico oficial del proyecto. A menudo incluso suplantan la identidad de los verdaderos fundadores del proyecto. ¡Debes recordar que NINGÚN SOPORTE TÉCNICO LEGÍTIMO O FUNDADOR DE PROYECTOS TE ENVIARÁ UN DM!.

La forma en que operan estos estafadores de soporte técnico falso es primero darte la impresión de que son legítimos, para luego convencerte de que accedas o te conectes a algún sitio especial para “verificar tu billetera”, o algo similar. ¡NUNCA HAGAS ESTO!. Nunca chatees con estas personas. Es más, yo lo que hago es directamente bloquearles, sin ni siquiera responder a sus mensajes. De todos modos, si por algún error de juicio de tu parte terminas en una conversación con alguien así, nunca te conectes a ningún sitio que te propongan, ni accedas a ningún link o archivo que te compartan. Y por supuesto NUNCA, POR NINGUNA RAZÓN, COMPARTAS O INGRESES TU FRASE SEMILLA EN NINGÚN SITIO!. Un gran porcentaje de los hackeos de Metamask son el resultado de estafas a usuarios sin experiencia, que hacen precisamente todo esto que te digo que no hay que hacer.

Ten en cuenta que los ataques de phishing pueden ocurrir a través de cualquier canal de comunicación, incluidos el correo electrónico, Telegram y Discord. De hecho, para mi internet es como un gran campo de minas, en este sentido. Aunque hay que destacar que Telegram y Discord son especialmente peligrosos. Ya que la naturaleza anónima de estas plataformas las convierte en plataformas ideales para estafadores sin escrúpulos. Está bien chatear en estos servicios para discutir problemas legítimos del proyecto y hacer preguntas, pero nunca hagas clic en ningún enlace o respondas a ninguno de los muchos DM que te llegarán.

Malware y Keyloggers

Keylogger oculto por defecto en portátiles HP - Panda Security

El siguiente punto importante para proteger tus billeteras, es asegurarte de que tu computadora está protegida contra virus, malware y keyloggers. La mayoría de nosotros usamos nuestro ordenadores para una gran variedad de propósitos: trabajo, educación, juegos, etc. El problema es que como te dije antes, internet “es el gran campo de minas” donde a la vuelta de la esquina, puedes acceder queriendo o sin querer en algún sitio web fraudulento, creado con la única intención de instalar algún malware en tu navegador o pc, para intentar estafarte (robar contraseñas, consumir recursos informáticos para minar crypto, etc). Es por ello crucial, que además de las precauciones recomendadas antes, utilices un software antivirus y un software antimalware como Malwarebytes para mantener su computadora limpia en todo momento. Algunos inversores experimentados en criptomonedas incluso tendrán una computadora dedicada total y exclusivamente al comercio de criptomonedas, y usarán otra computadora para todos estos otros usos riesgosos. Otra alternativa, podría ser por ejemplo el uso de máquinas virtuales específicas para operar crypto. De manera que solo la encienden cuando necesitan operar, mientras que el trabajo ordinario lo siguen realizando sobre el mismo equipos sin grandes riesgos.

¿Cómo operan estos virus, malwares, keyloggers…?

Hay varias formas en que una computadora infectada puede causar que tu billetera sea pirateada:

  • Un estafador puede instalar un keylogger en tu máquina registrar tus pulsaciones de teclas, incluidas tus contraseña. Si el usuario puede obtener acceso a tu contraseña, tu billetera ya es suya, por lo que puedes despedirte de tus fondos.
  • Incluso si el estafador no usa un keylogger para obtener tus contraseña, es posible que un estafador obtenga acceso al archivo encriptado donde se almacenan tu frase semilla y tu clave privada. Si el estafador descarga este archivo en su propia máquina, se puede usar un software de “rotura” de contraseñas por fuerza bruta para obtener tu contraseña, algo que conseguirá más rápido, cuanto menos segura sea esta. Todavía me sorprende cuántas personas usarán contraseñas cortas fáciles de adivinar como “12345”, “Maria123”, o “password”.

Una conclusión clave de esto es que es imperativo que tu contraseña sea indescifrable. Usa siempre una contraseña larga que tenga una combinación de letras mayúsculas y minúsculas, números y símbolos. Siempre asegúrese de que su contraseña tenga 12 o más caracteres. Más es mejor. Cada carácter adicional en su contraseña hace que sea exponencialmente más difícil de adivinar. Como puedes ver a continuación, incluso usando mayúsculas, minúsculas y símbolos, es bastante fácil forzar una contraseña de 7 u 8 caracteres. Pero llevaría una eternidad forzar una contraseña de 15 caracteres. ¡Utiliza siempre una contraseña larga!

Tiempo que se tarda en aplicar fuerza bruta a una contraseña

Transacciones fraudulentas

Otro truco que usan algunos sitios de estafa es hacer que te conectes a su sitio, para luego pedirle que firmes una o varias transacciones que les permitan gastar tus monedas. Sí, todos los intercambios distribuidos legítimos (DEX) también le piden que haga esto. Pero ten en cuenta que cada una de estas solicitudes por defecto te pide que autorices al sitio a gastar una cantidad ilimitada de monedas de tu billetera. Algunos sitios fraudulentos usan esto para vaciar tu billetera y enviar tus tokens a sus propias billeteras. Otros sitios de estafa incluso van más allá. Haciendo que al firmar la autorización, le estás permitiendo acceder a todas las otras monedas de tu billetera, no solo la moneda que está tratando de cambiar u operar en ese protocolo.

Para evitar esto, primero debes asegurarse de estar interactuando con un sitio legítimo. Si el sitio parece cuestionable, no firmes ninguna transacción hasta que lo hayas investigado a fondo y te hayas convencido de que el sitio es legítimo. También puedes editar la transacción en cualquier momento para permitir que el sitio gaste solo una pequeña fracción de tus monedas disponibles. Este consejo profesional en Twitter explica el proceso con un poco más de detalle, pero hay multitud de tutoriales sobre esto en Youtube y en otros lugares. Si proporcionas un límite de gasto personalizado como este, al menos estás limitando el daño que el hackeo puede causarte.

Airdrop falsos en Discord o Telegram

Scam Alert: Cryptocurrency Wallets Getting Drained After Approving This  Airdrop

Cuando encuentras un nuevo proyecto DeFi en el que podrías estar interesado en invertir, muchas veces acabarás accediendo a los canales de Discord o Telegram del mismo para obtener más información. Estos canales pueden ser una gran fuente de información, pero a menudo también te exponen a una avalancha de posibles ofertas fraudulentas, a menos que tengas cuidado. Puedo GARANTIZAR que cada vez que accedas a Discord verás un montón de DM, con promociones de Airdrops, “regalos de tokens”, preventas o promociones, etc, para lo que solo deberás conectar tu billetera a algún sitio para reclamar o acceder a estas “extraordinarias ventajas”. La promoción de DM y el sitio web falso tendrán un dominio similar, pero no igual, al dominio del proyecto legítimo. ¡ESTOS DM Y PROMOCIONES SON SIEMPRE UNA ESTAFA!. 

Demasiadas personas siguen siendo estafadas por estas cosas. Lo único que debes hacer con estos DM es eliminarlos de inmediato y bloquear al usuario que lo envía. NUNCA abro DM en Discord, excepto en el caso muy raro en el que estoy chateando con alguien en el canal principal lo suficiente como para saber que son genuinos y me piden DM. Y en el momento en que comienzan a pedirme que acceda a algún enlace o que me conecte a algún sitio, paro todo y elimino la conversación. Lo mismo ocurre con Telegram. ¡NO ABRAS DM ALEATORIOS Y NO CONECTES TU BILLETERA A NINGÚN SITIO DE AIRDROP O REGALOS!. ¡SI NO TE ESTAFARAN!

Dust Attack

What is a Dust Attack? - Coingeeks.de

Otra modalidad de estafa es lo que se conoce como “Dust Attack”. Este tipo de ataque consiste en que un estafador te envía una cantidad de tokens de alguna “shitcoin” a tu billetera, de la que nunca has oído hablar. Estos tokens están asociados con un código de contrato inteligente malicioso que agota su billetera cuando intentes venderlos o intentes deshacerte de ellos de cualquier otra manera. Sospecho que esta es una de las razones por las que Metamask no muestra tokens en su cuenta a menos que los agregues manualmente. Solo los verá si escribe la dirección de su billetera en el explorador de cadena de bloques apropiado (etherscan, bscscan, snowtrace, etc.). Si descubre tokens desconocidos o inesperados en tu billetera, DESCONFÍA!. lo mejor es ignorarlos a menos que esté seguro de que se trata de un proyecto legítimo.

La solución: usar un Hardware (o Cold) Wallet

Llegados a este punto, estoy seguro que ya estarás “acojonad@”. Y te preguntarás si no hay solución para esto. Voy a serte sincero:

Si tu billetera ya ha sido vulnerada y alguien se hizo con tu contraseña primero, y luego con tus claves privadas, no hay nada que hacer. 

Solo te queda, en caso de que tengas dudas, mover todas tus criptos a una billetera nueva de la que tengas certeza que no haya sido hackeada.

Lo mejor una hardware wallet.

Para ello, si me sigues, sabrás que siempre recomiendo utilizar una hardware wallet. Este dispositivo físico que contiene tus claves privadas, lo puedes conectar a tu metamask, de manera que cada transacción que se realice desde alguna de las cuentas pertenecientes a este hardware wallet, requerirán de verificación física en el mismo.

Para poder utilizar un hardware wallet en Metamask, mi consejo es crear una cuenta Metamask nueva, destinada a este fin. Es decir, solo para poder conectar tu hardware wallet. Esta cuenta “falsa” no la utilizarás nunca para depositar fondos, por lo que no importa que alguien se haga con tus contraseñas/claves privadas. Pues la única función que tiene es servir de interface para conectar tu hardware wallet.

Una vez creada esta cuenta, solo debes ir a cuentas y pulsar en “concetar hardware wallet”, ahí seleccionarás la marca de entre las compatibles (LedgerTrezor, etc) y te pedirá firmar una transacción para establecer la conexión. Lo haces y listo. Ya puedes ver tu cuenta del hardware wallet como una cuenta más de Metamask, con la ventaja de que tienes la seguridad de que nadie te podrá robar tus fondos, salvo que tu desveles las claves semillas de tu hardware wallet, cosa que tendrás que hacer intencionadamente, ya que por lo general las tendrás anotada en papel, fuera de ningún medio informático, tal como venimos recomendando en los distintos contenidos relativos a criptoseguridad que hemos publicado en JardinFinanciero.

¿Hay algo más que pueda hacer?. Permanecer SIEMPRE alerta.

Lamentablemente, los estafadores continúan ideando nuevas formas de hackearnos, y depende de nosotros mantenernos alerta para proteger nuestra billetera. Me encantaría decir que si tomamos todas estas acciones anteriores, nunca nos piratearán la billetera, pero todo lo que puedo decir es que los pasos anteriores lo único que hacen es hacerlo mucho menos probable, pero no imposible. Desde el nacimiento de las criptomonedas, y más aún hoy día con la mayor adopción de las mismas, existe una guerra interminable entre piratas informáticos y expertos en seguridad, en la que los usuarios somos los “daños colaterales”… Por ello, la mejor recomendación, además de todas las anteriores dadas, es ser siempre cauteloso y desconfiar de todo. Mejor pecar de precavido que cometer un error del que nos arrepentiremos para siempre.

La importancia de descubrir lo que hiciste mal

Si a pesar de aplicar todas estas medidas y precauciones, te acaban robando tu billetera. Lo único que nos queda es dejar nuestro ego de lado e intentar descubrir qué fue lo que hicimos mal. Veo demasiadas personas en línea que quieren culpar a Metamask y/o culpar a todos menos a ellos mismos por ser hackeados. Estas son las personas que no se dan cuenta de lo que hicieron mal y terminan siendo robadas nuevamente. Hazte un favor a ti mismo y al resto de la criptocomunidad. Dedica SIEMPRE el esfuerzo y tiempo necesario para descubrir qué hiciste mal. Cuanto más trabajemos todos juntos para descubrir cómo ocurren estos ataques, más fácil será ayudarnos unos a otros para evitar que esto se vuelva a repetir.

Sin más, esto es todo lo que te quería contar hoy sobre este asunto. Espero que hayas encontrado valor en este contenido. Si es así, déjamelo saber en los comentarios, así como si tienes dudas o temas que te gustaría tratar sobre el asunto.

Muchas gracias por leernos!

Otros artículos relacionados de interés:

Un error en Metamask puede costarte todos tus ahorros

METAMASK: La Wallet de Ethereum y todas las redes compatibles con EVM

Guía para principiantes sobre criptoseguridad

Criptoseguridad

Descargo de responsabilidad: no estoy patrocinado por ninguno de los proyectos/empresas mencionados en este artículo. Este no es un consejo financiero, la información de este artículo es solo para fines informativos, educativos y de entretenimiento. Nunca inviertas lo que no puedas permitirte perder. Renuncio a cualquier responsabilidad o pérdida incurrida por cualquier persona que actúe sobre la información, ideas o estrategias expuestas en mis artículos. Haz tu propia investigación y si inviertes, hazlo bajo tu propio riesgo y responsabilidad.

Hey!, 👋 si te gusta nuestro contenido y quieres colaborar para soportar los gastos del Canal, me puedes invitar a un ☕ café!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *