### Ciberdelincuentes despliegan webs fraudulentas para robar monederos de Ethereum mediante falsos reembolsos de gas

#### Introducción

El ecosistema de criptomonedas, y en particular Ethereum, se enfrenta a una oleada renovada de ataques de ingeniería social dirigidos a la sustracción de activos digitales. Recientemente, analistas de Kaspersky han alertado sobre la aparición de nuevos sitios web fraudulentos que simulan ofrecer reembolsos de comisiones de gas (tarifas de transacción en la red Ethereum). Esta campaña apunta a usuarios desprevenidos, induciéndoles a revelar información sensible como claves privadas y credenciales de sus monederos, lo que ha resultado en el vaciado de numerosas billeteras.

#### Contexto del Incidente

La volatilidad del mercado de criptomonedas y el incremento de las tarifas de gas en la red Ethereum han sido caldo de cultivo para la proliferación de estafas focalizadas en la ingeniería social. Los atacantes aprovechan el descontento de los usuarios respecto a las elevadas comisiones para lanzar sitios falsos que prometen reembolsos, haciéndose pasar por entidades legítimas asociadas a la propia red Ethereum o a exchanges reconocidos. Esta tipología de fraude ya fue observada en otras redes blockchain, pero la sofisticación de los portales detectados en 2024 marca un salto cualitativo en la amenaza.

#### Detalles Técnicos

Los sitios fraudulentos replican minuciosamente la apariencia de plataformas oficiales, empleando dominios typosquatting (sutiles variaciones de nombres reales) y certificados SSL aparentemente válidos. Según el informe de Kaspersky, los usuarios son conducidos a estas webs a través de phishing por correo electrónico, canales de Telegram y mensajes directos en Twitter/X.

**Vectores de ataque y TTPs (MITRE ATT&CK):**

– **Phishing (T1566):** Engaño mediante correos y mensajes que simulan comunicaciones de exchanges o la Fundación Ethereum.
– **Credential Access (T1555):** Solicitud directa de claves privadas y frases semilla bajo el pretexto de verificar la identidad para el reembolso.
– **Collection (T1119):** Captura y almacenamiento de datos sensibles mediante formularios web cifrados.
– **Command and Control (T1071):** Uso de canales legítimos (Telegram, Discord) para distribuir enlaces maliciosos.

**Indicadores de Compromiso (IoC):**
– Dominios con palabras clave como “eth”, “gasrefund”, “ethereum-rebate”, y variantes con errores ortográficos.
– Dirección IP de los servidores ubicada en jurisdicciones opacas o países con baja cooperación internacional en ciberseguridad.
– Hashes MD5/SHA256 de las landings detectadas han sido compartidos en foros especializados y repositorios de inteligencia de amenazas.

No se ha asociado el uso de exploits o vulnerabilidades de día cero, sino que el éxito radica en la manipulación del usuario final. No obstante, se han identificado módulos personalizados en frameworks como Metasploit para automatizar el scraping de credenciales y la exfiltración de frases semilla.

#### Impacto y Riesgos

El impacto es severo, ya que la pérdida de claves privadas implica la sustracción irreversible de fondos. Según los datos compartidos, la campaña ha conseguido vaciar cientos de monederos en cuestión de minutos tras la filtración de credenciales, con pérdidas estimadas superiores a 1,2 millones de dólares en menos de dos semanas. El riesgo se extiende tanto a usuarios particulares como a pequeños fondos de inversión y empresas que gestionan staking o pools de liquidez en Ethereum.

Las organizaciones que almacenan activos digitales en caliente (hot wallets) son especialmente vulnerables, ya que la exposición de una sola frase semilla puede comprometer fondos corporativos y, en casos graves, poner en jaque la continuidad de operaciones.

#### Medidas de Mitigación y Recomendaciones

1. **Concienciación del usuario:** Formación específica sobre la imposibilidad de reembolsos automáticos de gas y la política de la Fundación Ethereum de jamás solicitar claves privadas.
2. **Bloqueo de dominios sospechosos:** Implementar listas de denegación en gateways y proxies.
3. **Monitorización de amenazas:** Uso de plataformas de Threat Intelligence para detectar IoCs relacionados con la campaña.
4. **Revisión de procedimientos internos:** Prohibir la compartición de frases semilla y claves privadas, incluso ante supuestas incidencias de soporte.
5. **Verificación de autenticidad:** Comprobar siempre la URL y la legitimidad de cualquier comunicación antes de acceder o introducir datos sensibles.

#### Opinión de Expertos

Expertos de Kaspersky y firmas como Chainalysis coinciden en que el vector más crítico sigue siendo el usuario final, especialmente en el entorno cripto, donde la desinformación y la falta de soporte central fomentan la proliferación de fraudes. “Las campañas de phishing evolucionan a la par que las preocupaciones de los usuarios: ahora el foco son las comisiones de gas. El eslabón más débil sigue siendo la ingeniería social”, afirma María Antón, analista senior de Kaspersky Iberia.

#### Implicaciones para Empresas y Usuarios

Desde una perspectiva legal, empresas afectadas podrían incurrir en incumplimientos del GDPR si la filtración de credenciales conlleva la exposición de datos personales de clientes europeos. La entrada en vigor de NIS2 refuerza la obligación de notificar incidentes de ciberseguridad en sectores estratégicos, incluidas fintech y criptobolsas. A nivel de mercado, estos fraudes erosionan la confianza en las plataformas DeFi y pueden repercutir en la adopción institucional de Ethereum y productos asociados.

#### Conclusiones

El auge de los reembolsos falsos de gas en Ethereum ilustra el perfeccionamiento de la ingeniería social aplicada al sector cripto. La defensa eficaz requiere una combinación de tecnología, formación y vigilancia proactiva. La colaboración entre equipos de threat intelligence, departamentos legales y usuarios es esencial para mitigar una amenaza que, lejos de disminuir, se adapta continuamente a las nuevas realidades del ecosistema blockchain.

(Fuente: www.cybersecuritynews.es)