Los ataques de ingeniería social se han convertido en una amenaza importante para la seguridad del activo encriptación.

En los últimos años, los ataques de ingeniería social dirigidos a los usuarios de criptomonedas se han vuelto cada vez más comunes, lo que representa una seria amenaza para la seguridad del activo. Desde 2025, han ocurrido frecuentes incidentes de fraude de ingeniería social dirigidos a los usuarios de una conocida plataforma de intercambio, lo que ha suscitado una amplia atención en la industria. Según las discusiones de la comunidad, este tipo de incidentes no son casos aislados, sino un tipo de estafa organizada y sostenida.

El 15 de mayo, la plataforma de intercambio publicó un anuncio confirmando las especulaciones anteriores sobre la existencia de un "topo" en la plataforma. El Departamento de Justicia de EE. UU. ha iniciado una investigación sobre este incidente de filtración de datos.

Este artículo organizará la información proporcionada por varios investigadores de seguridad y víctimas, revelando los principales métodos de operación de los estafadores, y explorará cómo abordar eficazmente este tipo de estafas desde las perspectivas de la plataforma y del usuario.

Análisis histórico

El detective en la cadena Zach afirmó en una actualización de la plataforma social del 7 de mayo: "Solo en la última semana, se han robado más de 45 millones de dólares de los usuarios de una plataforma de intercambio debido a fraudes de ingeniería social".

En el último año, Zach ha revelado en varias ocasiones incidentes de robo de usuarios en la plataforma, con algunas víctimas perdiendo hasta decenas de millones de dólares. Una investigación detallada que publicó en febrero de 2025 muestra que, solo entre diciembre de 2024 y enero de 2025, el total de fondos robados por esquemas similares ya supera los 65 millones de dólares. La plataforma enfrenta una grave crisis de "fraude social", con ataques que continúan afectando la seguridad del activo de los usuarios a un ritmo anual de 300 millones de dólares. Zach también señaló:

• Los grupos que lideran este tipo de estafas se dividen principalmente en dos categorías: una es de atacantes de bajo nivel que provienen de ciertos círculos, y la otra son organizaciones de ciberdelincuencia ubicadas en India;
• Los objetivos de ataque de las bandas de estafadores están principalmente enfocados en usuarios estadounidenses, con métodos de operación estandarizados y un proceso de conversación maduro;
• El monto real de la pérdida puede ser mucho mayor que las estadísticas visibles en la cadena, ya que no incluye información no pública como tickets de soporte al cliente y registros de denuncias policiales que no se pueden obtener.

Métodos de fraude

En este evento, el sistema técnico de la plataforma no fue comprometido; los estafadores utilizaron los permisos de empleados internos para obtener parte de la información sensible de los usuarios. Esta información incluye: nombre, dirección, información de contacto, datos de la cuenta, fotos de la identificación, entre otros. El objetivo final de los estafadores es utilizar técnicas de ingeniería social para guiar a los usuarios a realizar transferencias.

Este tipo de ataque ha cambiado los métodos tradicionales de phishing "de red" hacia un "ataque preciso", considerándose un fraude social "personalizado". La ruta típica del delito es la siguiente:

1. Contactar a los usuarios en calidad de "servicio al cliente oficial".

Los estafadores utilizan sistemas telefónicos falsificados para hacerse pasar por el servicio de atención al cliente de la plataforma, llamando a los usuarios y diciendo que su "cuenta ha sufrido un inicio de sesión ilegal" o "se ha detectado una anomalía en el retiro", creando un ambiente de urgencia. A continuación, envían correos electrónicos o mensajes de texto de phishing que parecen reales, que contienen números de orden de trabajo falsos o enlaces de "proceso de recuperación", y guían a los usuarios a actuar. Estos enlaces pueden apuntar a interfaces de la plataforma clonadas, e incluso pueden enviar correos electrónicos que parecen provenir de un dominio oficial, algunos de los cuales utilizan técnicas de redirección para eludir la protección de seguridad.

2. Guía a los usuarios para descargar la billetera oficial

Los estafadores guiarán a los usuarios a transferir fondos a una "billetera segura" bajo el pretexto de "proteger el activo", e incluso ayudarán a los usuarios a instalar la billetera oficial y les indicarán que transfieran los activos originalmente bajo custodia en la plataforma a una nueva billetera creada.

3. Inducir a los usuarios a usar la frase de recuperación proporcionada por los estafadores

A diferencia de los tradicionales "engaños para obtener frases de recuperación", los estafadores proporcionan directamente un conjunto de frases de recuperación generadas por ellos mismos, induciendo a los usuarios a utilizarlas como "nuevo monedero oficial".

4. Los estafadores realizan robo de fondos

Las víctimas, en un estado de nerviosismo, ansiedad y confianza en el "servicio al cliente", son muy propensas a caer en la trampa. Para ellos, una nueva billetera "proporcionada oficialmente" es naturalmente más segura que una vieja billetera "sospechosa de haber sido hackeada". El resultado es que, una vez que los fondos se transfieren a esta nueva billetera, los estafadores pueden transferirlos de inmediato. "Las claves que no controlas, no son tus monedas" — este concepto se valida una vez más de manera brutal en los ataques de ingeniería social.

Además, algunos correos electrónicos de phishing afirman que "debido a un fallo de una demanda colectiva, la plataforma se trasladará completamente a billeteras autogestionadas", y exigen a los usuarios que completen la migración de activos antes de una fecha específica. Bajo la presión del tiempo y la sugestión psicológica de una "orden oficial", los usuarios son más propensos a cooperar con la operación.

Según los investigadores de seguridad, estos ataques a menudo se planifican e implementan de manera organizada:

• Cadena de herramientas de estafa perfeccionada: los estafadores utilizan sistemas PBX para falsificar números de llamadas, simulando llamadas del servicio al cliente oficial. Al enviar correos electrónicos de phishing, utilizan robots en plataformas sociales para suplantar correos electrónicos oficiales, adjuntando "guía de recuperación de cuentas" para guiar las transferencias.
• Objetivo preciso: los estafadores se basan en datos de usuarios robados adquiridos a través de plataformas sociales y la dark web, enfocándose en los usuarios de la región de EE. UU. como objetivo principal, e incluso utilizan IA para procesar los datos robados, dividiendo y reorganizando números de teléfono, generando archivos TXT en masa, y luego enviando mensajes de texto fraudulentos a través de software de ataque.
• Proceso de engaño coherente: desde llamadas telefónicas, mensajes de texto hasta correos electrónicos, la ruta de la estafa suele ser ininterrumpida. Las frases de phishing comunes incluyen "se ha recibido una solicitud de retiro en la cuenta", "la contraseña ha sido restablecida", "se ha detectado un inicio de sesión anómalo en la cuenta", etc., induciendo continuamente a las víctimas a realizar "verificaciones de seguridad" hasta completar la transferencia de la billetera.

Análisis en cadena

A través del sistema de anti-lavado de dinero y seguimiento en la cadena, se realizó un análisis de algunas direcciones de estafadores, descubriendo que estos estafadores poseen una fuerte capacidad de operación en la cadena. A continuación se presentan algunas informaciones clave:

Los objetivos de ataque de los estafadores abarcan una variedad de activos que poseen los usuarios, y el tiempo de actividad de estas direcciones se concentra entre diciembre de 2024 y mayo de 2025. Los activos objetivo son principalmente BTC y ETH. BTC es el principal objetivo de estafa en la actualidad, con múltiples direcciones que obtienen ganancias de cientos de BTC a la vez, con un valor individual que alcanza varios millones de dólares.

Una vez obtenidos los fondos, los estafadores utilizan rápidamente un proceso de lavado para canjear y transferir los activos, siendo el modo principal el siguiente:

• Los activos de tipo ETH a menudo se intercambian rápidamente por DAI o USDT a través de un DEX, y luego se distribuyen y transfieren a varias nuevas direcciones, y parte de los activos ingresan a plataformas de intercambio centralizadas;
• BTC se transfiere principalmente a través de protocolos de cadena cruzada a Ethereum, y luego se cambia por DAI o USDT, evitando el riesgo de seguimiento.

Varios direcciones de fraude permanecen en estado de "reposo" después de recibir DAI o USDT y aún no han sido retiradas.

Para evitar la interacción de su dirección con direcciones sospechosas, y así enfrentar el riesgo de que sus activos sean congelados, se recomienda a los usuarios que utilicen un sistema de detección de riesgos de lavado de dinero y seguimiento en la cadena para evaluar la dirección objetivo antes de realizar transacciones, con el fin de evitar efectivamente amenazas potenciales.

Medidas de respuesta

plataforma

Los métodos de seguridad predominantes actualmente son más bien defensas a nivel "técnico", mientras que el fraude social a menudo elude estos mecanismos, atacando directamente las vulnerabilidades psicológicas y conductuales de los usuarios. Por lo tanto, se sugiere que la plataforma integre la educación del usuario, la capacitación en seguridad y el diseño de usabilidad, estableciendo un conjunto de defensas de seguridad "orientadas a las personas".

• Envío periódico de contenido de educación contra el fraude: a través de ventanas emergentes de la App, pantallas de confirmación de transacciones, correos electrónicos y otros medios para mejorar la capacidad de los usuarios para prevenir el phishing;
• Optimizar el modelo de gestión de riesgos, introduciendo "identificación interactiva de comportamientos anómalos": la mayoría de las estafas de ingeniería social inducen a los usuarios a completar una serie de operaciones en un corto período de tiempo (como transferencias, cambios en la lista blanca, vinculación de dispositivos, etc.). La plataforma debe identificar combinaciones interactivas sospechosas basadas en un modelo de cadena de comportamiento (como "interacción frecuente + nueva dirección + retiro de gran cantidad"), activando un período de reflexión o un mecanismo de revisión manual.
• Normalizar los canales de atención al cliente y los mecanismos de verificación: Los estafadores a menudo se hacen pasar por atención al cliente para confundir a los usuarios. La plataforma debe unificar los modelos de llamadas, mensajes de texto y correos electrónicos, y proporcionar un "portal de verificación de atención al cliente", especificando un único canal de comunicación oficial para evitar confusiones.

usuario

• Implementar políticas de aislamiento de identidad: evitar que múltiples plataformas compartan el mismo correo electrónico o número de teléfono, reduciendo el riesgo de asociación. Se puede utilizar herramientas de consulta de filtraciones para verificar periódicamente si el correo electrónico ha sido expuesto.
• Habilitar la lista blanca de transferencias y el mecanismo de enfriamiento de retiros: preestablecer direcciones de confianza para reducir el riesgo de pérdida de fondos en situaciones de emergencia.
• Mantenerse al tanto de las noticias de seguridad: a través de empresas de seguridad, medios de comunicación, plataformas de intercambio y otros canales, informarse sobre las últimas dinámicas de las técnicas de ataque y mantenerse alerta. Actualmente, algunas instituciones de seguridad están a punto de lanzar una plataforma de simulación de phishing Web3, que simulará diversas técnicas típicas de phishing, incluyendo envenenamiento social, phishing por firma, interacción con contratos maliciosos, etc., y actualizará continuamente el contenido de los escenarios combinando casos reales recopilados en discusiones históricas. Esto permite a los usuarios mejorar su capacidad de identificación y respuesta en un entorno sin riesgos.
• Presta atención a los riesgos offline y a la protección de la privacidad: la filtración de información personal también puede provocar problemas de seguridad personal.

Desde principios de este año, los profesionales/usuarios de la encriptación han enfrentado múltiples incidentes que amenazan la seguridad personal. Dado que los datos filtrados incluyen nombres, direcciones, información de contacto, datos de cuentas, fotos de identificación, los usuarios relevantes también deben estar alertas y prestar atención a la seguridad en el mundo físico.

En resumen, mantén la duda y verifica continuamente. En cualquier operación urgente, asegúrate de que la otra parte se identifique y verifica de forma independiente a través de canales oficiales, evitando tomar decisiones irreversibles bajo presión.

Resumen

Este incidente ha expuesto nuevamente que, frente a las cada vez más sofisticadas técnicas de ingeniería social, la industria aún presenta deficiencias notables en la protección de los datos de los clientes y la seguridad del activo. Es preocupante que, incluso si los puestos relevantes de la plataforma no tienen autoridad sobre los fondos, la falta de conciencia y capacidad de seguridad suficientes puede llevar a graves consecuencias debido a filtraciones involuntarias o a ser cooptados. A medida que la plataforma continúa expandiéndose, la complejidad del control de seguridad del personal también aumenta, convirtiéndose en uno de los riesgos más difíciles de abordar en la industria. Por lo tanto, la plataforma, al fortalecer los mecanismos de seguridad en la cadena, también debe construir de manera sistemática un "sistema de defensa contra la ingeniería social" que cubra tanto al personal interno como a los servicios subcontratados, integrando el riesgo humano en la estrategia de seguridad general.

Además, una vez que se detecte que el ataque no es un evento aislado, sino una amenaza continua organizada y a gran escala, la plataforma debe responder de inmediato, inspeccionar proactivamente las vulnerabilidades potenciales, advertir a los usuarios sobre la prevención y controlar el alcance del daño. Solo con una respuesta dual en el nivel técnico y organizativo se puede mantener verdaderamente la confianza y los límites en un entorno de seguridad cada vez más complejo.