Una oleada de phishing explota la restitución de fondos de BlockFi para robar criptomonedas
Introducción
El ecosistema de las criptomonedas, caracterizado por su dinamismo e innovación, sigue siendo un objetivo prioritario para actores maliciosos. En las últimas semanas, expertos de Kaspersky han detectado una sofisticada campaña de phishing que aprovecha el proceso de devolución de activos de BlockFi, la conocida plataforma de préstamos de criptodivisas que se declaró en quiebra en 2022. Esta nueva ofensiva busca explotar la incertidumbre de los antiguos clientes para obtener sus frases semilla y, en consecuencia, robar sus activos digitales.
Contexto del Incidente
El colapso de BlockFi causó una gran conmoción en el mercado cripto, dejando a miles de usuarios en situación de incertidumbre respecto a la recuperación de sus fondos. Actualmente, BlockFi está inmersa en un proceso de devolución de activos ordenado por el tribunal de quiebras de Nueva Jersey. Los atacantes han detectado una ventana de oportunidad en la desinformación y las expectativas generadas en torno a este procedimiento, lanzando campañas masivas de phishing dirigidas a antiguos clientes identificados a través de filtraciones previas de datos y bases de datos expuestas.
Detalles Técnicos
La campaña detectada emplea correos electrónicos cuidadosamente diseñados que suplantan la identidad de BlockFi, utilizando dominios y plantillas que imitan fielmente la imagen corporativa de la plataforma. En estos mensajes, se informa a los usuarios de que pueden acceder a la devolución de sus fondos si completan un proceso de verificación en un enlace proporcionado.
El vector principal de ataque es el spear phishing, apoyado en técnicas de ingeniería social avanzadas. El enlace redirige a una web clonada de BlockFi, donde se solicita la introducción de las frases semilla de las carteras de criptomonedas, bajo el pretexto de “verificación de identidad” o “proceso de reclamación”. Esta técnica se encuadra en la táctica T1566 (Phishing) del framework MITRE ATT&CK y en la técnica T1192 (Spearphishing Link).
Los principales Indicadores de Compromiso (IoC) identificados por los analistas incluyen:
– Dominios typosquatting con ligeras variaciones respecto al original (blockfï[.]com, blockfi-claim[.]net, etc.).
– Certificados SSL aparentemente válidos pero emitidos recientemente.
– Formularios web que solicitan frases semilla completas, contraseñas y claves privadas.
– Redirecciones a páginas de descarga de malware, incluyendo troyanos de acceso remoto (RAT) como Agent Tesla y scripts PowerShell obfuscados.
El análisis de muestras recogidas revela el uso de kits de phishing comerciales, algunos de ellos vinculados a campañas anteriores dirigidas a exchanges como Celsius y FTX. No se descarta el empleo de frameworks como Metasploit para la distribución secundaria de payloads, así como la utilización de proxies y VPNs para dificultar el rastreo de la infraestructura.
Impacto y Riesgos
La amenaza es especialmente crítica por varias razones. En primer lugar, la obtención de la frase semilla de una cartera de criptomonedas permite el vaciado inmediato de los fondos, sin posibilidad de reversión o rastreo efectivo en la mayoría de blockchains. Según estimaciones de Kaspersky, en las primeras dos semanas se han detectado más de 5.000 correos de phishing relacionados, con una tasa de respuesta cercana al 6%, lo que podría traducirse en pérdidas superiores a los 3 millones de dólares en activos digitales.
El riesgo se ve agravado por el hecho de que muchos afectados son usuarios no profesionales, menos familiarizados con los protocolos de seguridad. Además, la filtración de datos históricos de BlockFi en 2021 ha facilitado la personalización de los ataques, aumentando su tasa de éxito.
Medidas de Mitigación y Recomendaciones
Los expertos recomiendan una serie de medidas urgentes para mitigar el riesgo:
– Bloqueo y monitorización proactiva de los dominios IoC identificados.
– Formación específica a usuarios y departamentos de atención al cliente sobre las tácticas empleadas en la campaña.
– Implementación de soluciones de filtrado avanzado de correo electrónico y análisis de enlaces en tiempo real.
– Refuerzo de las comunicaciones oficiales de BlockFi y de los administradores concursales, recordando que nunca se solicitarán frases semilla ni claves privadas.
– Auditoría de incidentes de acceso no autorizado en carteras y exchanges vinculados a antiguos clientes de BlockFi.
Opinión de Expertos
Según Ivan Kwiatkowski, investigador senior de Kaspersky, “la combinación de ingeniería social, conocimiento previo de las víctimas y el contexto legal de la devolución de fondos convierte esta campaña en una de las más peligrosas del año para el sector cripto”. Kwiatkowski subraya la necesidad de colaboración entre empresas afectadas, proveedores de ciberseguridad y organismos reguladores para reducir la superficie de ataque.
Desde el sector legal, se recuerda la obligación de cumplimiento del GDPR y la nueva directiva NIS2, que refuerza los mecanismos de notificación de incidentes y exige medidas de protección específicas para infraestructuras críticas y proveedores de servicios financieros.
Implicaciones para Empresas y Usuarios
Las empresas del sector cripto deben extremar la vigilancia durante procesos extraordinarios como quiebras o devoluciones masivas de fondos, que suelen atraer la atención de cibercriminales. El refuerzo de los canales de comunicación y la transparencia en los procedimientos mitigarán el impacto de campañas similares en el futuro.
Para los usuarios, la recomendación es clara: nunca proporcionar frases semilla ni claves privadas a través de ningún canal no verificado, y revisar minuciosamente cualquier comunicación relacionada con la devolución de fondos.
Conclusiones
La campaña de phishing asociada a la quiebra de BlockFi ejemplifica la capacidad de adaptación de los actores maliciosos al contexto regulatorio y social del sector cripto. La colaboración entre la comunidad, la actualización constante de medidas de protección y la formación en ciberseguridad serán clave para contener el impacto de este tipo de amenazas en el futuro inmediato.
(Fuente: www.cybersecuritynews.es)