Un sofisticado ataque de phishing que casi atrapa incluso a expertos en ciberseguridad

Recientemente, un gigantesco conjunto de datos que contiene 16 mil millones de registros de usuarios ha estado circulando en línea, que incluye tanto datos filtrados en el pasado como información de inicio de sesión recién robada. Aunque la mayor parte es una reorganización de datos antiguos, los datos actualizados siguen siendo inquietantes. Se considera uno de los mayores conjuntos de filtración de cuentas únicas en la historia.

Los hackers están utilizando estos datos para llevar a cabo varios ataques, y yo me he convertido en uno de sus objetivos.

El ataque de phishing dirigido a mis dispositivos y cuentas personales el 19 de junio fue el más sofisticado que he encontrado en mis diez años de carrera en ciberseguridad. Los atacantes primero crearon la ilusión de que mi cuenta estaba siendo atacada en múltiples plataformas, y luego se hicieron pasar por empleados de una plataforma de intercambio para "ayudar". Combinando técnicas de ingeniería social con tácticas coordinadas a través de mensajes de texto, llamadas telefónicas y correos electrónicos falsificados, todo estaba diseñado para crear una falsa sensación de urgencia, credibilidad y efecto de escala. Este ataque falso tuvo un amplio alcance y fue extremadamente autoritario, que es precisamente la clave de su engaño.

A continuación, detallaré el proceso del ataque, analizaré las señales de peligro involucradas y las medidas de protección que tomé. También compartiré lecciones clave y consejos prácticos para ayudar a los inversores a garantizar su seguridad en un entorno de amenazas en constante evolución.

Los datos históricos y los datos recientemente filtrados pueden ser utilizados por los hackers para llevar a cabo ataques multicanal altamente dirigidos. Esto reitera la importancia de la protección de seguridad en capas, los mecanismos de comunicación clara con los usuarios y las estrategias de respuesta en tiempo real. Tanto las instituciones como los usuarios individuales pueden obtener herramientas prácticas de este caso, incluyendo protocolos de verificación, hábitos de reconocimiento de dominios y pasos de respuesta, que pueden ayudar a prevenir que un descuido momentáneo se convierta en una brecha de seguridad significativa.

Secuestro de SIM

El ataque comenzó alrededor de las 3:15 de la tarde, un mensaje de texto anónimo decía que alguien estaba tratando de engañar a la operadora móvil para que revelara mi número de teléfono a terceros, esta técnica de ataque se conoce como intercambio SIM.

Es importante tener en cuenta que este mensaje no proviene de un código corto, sino de un número de teléfono estándar de 10 dígitos. Las empresas legítimas siempre utilizan códigos cortos para enviar mensajes de texto. Si recibe mensajes de un número largo desconocido que afirma ser una empresa, es muy probable que sea un intento de fraude o phishing.

Esta información también contiene contenido contradictorio. El primer mensaje de texto indica que la filtración ocurrió en el área de la bahía de San Francisco, mientras que los mensajes posteriores dicen que ocurrió en Ámsterdam.

Una vez que el intercambio de SIM sea exitoso, será extremadamente peligroso, ya que los atacantes pueden obtener los códigos de verificación de un solo uso que la mayoría de las empresas utilizan para restablecer contraseñas o acceder a cuentas. Sin embargo, esta vez no se trata de un intercambio de SIM real, los hackers están preparando el terreno para un fraude más sofisticado.

Código de verificación de un solo uso y restablecimiento de contraseña

El ataque luego se intensificó, y comencé a recibir códigos de verificación de un solo uso que supuestamente provenían de una plataforma de pago, enviados a través de mensajes de texto y aplicaciones de mensajería instantánea. Esto me hizo creer que alguien estaba intentando acceder a mis cuentas en varias plataformas financieras. A diferencia de los mensajes de texto de operadores sospechosos, estos códigos de verificación provenían realmente de códigos cortos que parecían legítimos.

Llamadas de phishing

Recibí una llamada de un número de California aproximadamente cinco minutos después de recibir el mensaje de texto. El llamador, que se identificó como "Mason", hablaba con un acento estadounidense puro y decía que era parte del equipo de investigación de una plataforma de intercambio. Dijo que en los últimos 30 minutos, hubo más de 30 intentos de restablecer la contraseña y de invadir la cuenta a través de la ventana de chat de la plataforma. Según "Mason", el llamado atacante había pasado la primera capa de verificación de seguridad para el restablecimiento de la contraseña, pero falló en la segunda capa de autenticación.

Me dijo que la otra parte podía proporcionarme los últimos cuatro dígitos de mi número de identificación, el número completo de la licencia de conducir, la dirección de mi casa y mi nombre completo, pero no pudo darme el número completo de identificación ni los últimos cuatro dígitos de la tarjeta bancaria asociada a la cuenta. Mason explicó que esta contradicción fue lo que activó la alerta del equipo de seguridad de la plataforma, lo que les llevó a contactarme para verificar la autenticidad.

Las empresas como los intercambios regulados nunca llamarán proactivamente a los usuarios, a menos que inicies una solicitud de servicio a través del sitio web oficial.

Verificación de Seguridad

Después de informarle sobre esta "mala noticia", Mason propuso proteger mi cuenta bloqueando canales de ataque adicionales. Comenzó con las conexiones API y las billeteras asociadas, afirmando que revocaría su acceso para reducir el riesgo. Enumeró varios objetos de conexión, incluidos algunas plataformas de intercambio, herramientas de análisis, billeteras, etc., algunas de las cuales no reconozco, pero supongo que podrían haber sido configuradas por mí y que he olvidado.

En este momento, mi desconfianza ha disminuido, incluso me siento seguro debido a la "protección activa" de la plataforma.

Hasta ahora, Mason no ha solicitado ninguna información personal, dirección de billetera, código de verificación en dos pasos ni contraseña de un solo uso, que son solicitudes comunes de los phishers. Todo el proceso de interacción es muy seguro y tiene un enfoque preventivo.

Métodos de presión encubierta

A continuación, se produjo el primer intento de presión, generando una sensación de urgencia y vulnerabilidad. Después de completar lo que se llama una "verificación de seguridad", Mason afirmó que, debido a que mi cuenta había sido marcada como de alto riesgo, la protección de la cuenta premium de la plataforma había sido cancelada. Esto significa que mis activos en la billetera de la plataforma ya no están cubiertos por el seguro; si un atacante logra robar fondos, no recibiré ninguna compensación.

Ahora que lo pienso, esta línea de argumento debería haber sido una evidente falla. A diferencia de los depósitos bancarios, los activos criptográficos nunca están protegidos por un seguro; aunque el intercambio puede mantener los dólares de los clientes en un banco asegurado, el propio intercambio no es una entidad asegurada.

Mason también advirtió que ha comenzado una cuenta regresiva de 24 horas, y que las cuentas que se pasen de la fecha límite serán bloqueadas. Desbloquearlas requerirá un proceso complicado y largo. Lo más aterrador es que afirmó que si los atacantes obtienen mi número de seguro social completo durante este tiempo, incluso podrían robar fondos mientras la cuenta esté congelada.

Más tarde consulté con el verdadero equipo de atención al cliente de la plataforma y me informaron que el bloqueo de la cuenta es precisamente una medida de seguridad que ellos recomiendan. El proceso de desbloqueo es en realidad simple y seguro: proporciona una foto de tu documento de identidad y un selfie, y tras verificar la identidad, la plataforma puede restaurar el acceso rápidamente.

Luego recibí dos correos electrónicos. El primero es una confirmación de suscripción a las noticias de la plataforma, que es simplemente un correo normal enviado por el atacante al enviar mi correo electrónico a través del formulario oficial del sitio web. Esto es claramente un intento de confundir mi juicio con correos oficiales, para aumentar la credibilidad del fraude.

El segundo correo electrónico más inquietante proviene de una dirección que parece ser del dominio oficial de la plataforma, afirmando que la protección de mi cuenta premium ha sido cancelada. Este correo electrónico, que parece provenir de un dominio legítimo, es muy engañoso: si viniera de un dominio sospechoso, podría haberse detectado fácilmente, pero debido a que se muestra como una dirección oficial, parece veraz y confiable.

Medidas correctivas recomendadas

Mason luego propuso transferir mis activos a una billetera multifirma llamada "Vault" para asegurar su seguridad. Incluso me pidió que buscara en la documentación oficial para demostrar que este es un servicio legítimo de la plataforma durante años.

Yo expresé que no estaba dispuesto a hacer un cambio tan significativo antes de haber investigado adecuadamente. Él expresó su comprensión y me animó a investigar con cuidado, al mismo tiempo que apoyó que primero contactara al operador para prevenir el intercambio de SIM. Dijo que volvería a llamar en 30 minutos para continuar con los siguientes pasos. Después de colgar, recibí inmediatamente un mensaje de texto confirmando esta llamada y la cita.

Devolución de llamada y "Vault"

Después de confirmar que no hubo intentos de transferencia de SIM por parte del operador, inmediatamente cambié todas las contraseñas de las cuentas. Mason devolvió la llamada como había prometido, y comenzamos a discutir los próximos pasos.

En este momento he verificado que "Vault" es un servicio real proporcionado por la plataforma, que es un esquema de custodia que mejora la seguridad mediante la autorización de múltiples firmas y un retiro con un retraso de 24 horas, pero no es realmente una billetera fría de autocustodia.

Mason luego envió un enlace de dominio que parecía relevante, afirmando que se podía revisar la configuración de seguridad discutida en la primera llamada. Después de completar la revisión, se podrían transferir los activos al Vault, en ese momento mis habilidades profesionales en ciberseguridad finalmente entraron en acción.

Después de ingresar el número de caso que proporcionó, la página abierta mostraba lo que se llama "Conexión API eliminada" y el botón "Crear Vault". Inmediatamente revisé el certificado SSL del sitio web y descubrí que este dominio, que tiene solo un mes de registrado, no tiene ninguna relación con la plataforma. Aunque los certificados SSL suelen crear una ilusión de legitimidad, los certificados de empresas legítimas siempre tienen una clara pertenencia, y este hallazgo me hizo detener la operación de inmediato.

Las plataformas legítimas indican claramente que nunca utilizarán dominios no oficiales. Incluso al usar servicios de terceros, deberían ser en forma de subdominios. Cualquier operación relacionada con la cuenta debe realizarse a través de la APP o el sitio web oficial.

Le expresé mis dudas a Mason, enfatizando que solo deseaba operar a través de la aplicación oficial. Él argumentó que operar a través de la aplicación causaría un retraso de 48 horas, y que la cuenta se bloquearía 24 horas después. Rechacé nuevamente tomar una decisión apresurada, y él indicó que elevaría el caso al "equipo de soporte de nivel tres" para intentar restaurar la protección de mi cuenta premium.

Después de colgar el teléfono, continué verificando la seguridad de otras cuentas, y la sensación de inquietud se volvió cada vez más intensa.

"Equipo de soporte de tercer nivel" recibe la llamada

Aproximadamente media hora después, recibí una llamada de un número de Texas. Otro hablante con acento americano se presentó como investigador de tercer nivel, y estaba manejando mi solicitud de recuperación de cuenta. Afirmó que necesitaba un período de revisión de 7 días, durante el cual la cuenta aún no estaba asegurada. También "amablemente" sugirió abrir múltiples Vaults para diferentes activos en cadena, pareciendo profesional, pero en realidad nunca mencionó activos específicos, solo se refirió vagamente a "Ethereum, Bitcoin, etc.".

Él mencionó que solicitaría al departamento legal el envío de los registros de chat, y luego comenzó a promocionar Vault. Como alternativa, recomendó una billetera de terceros llamada SafePal, aunque SafePal es efectivamente una billetera de hardware legítima, esto es claramente un pretexto para ganar confianza.

Cuando volví a cuestionar el dominio sospechoso, la otra parte aún intentó disipar las dudas. En este punto, el atacante podría haber dado cuenta de que era difícil tener éxito y finalmente abandonó este intento de phishing.

Contactar al verdadero servicio al cliente de la plataforma

Después de terminar la llamada con el segundo falso representante de servicio al cliente, envié inmediatamente una solicitud a través de los canales oficiales. Un verdadero representante de servicio al cliente confirmó rápidamente que no había inicios de sesión anormales ni solicitudes de restablecimiento de contraseña en mi cuenta.

Él sugirió bloquear la cuenta inmediatamente y recopilar los detalles del ataque para presentarlos al equipo de investigación. Proporcioné todos los dominios fraudulentos, números de teléfono y vías de ataque, y pregunté especialmente sobre el problema de los permisos del remitente de direcciones de correo que parecen oficiales. El servicio al cliente admitió que esto es muy grave y prometió que el equipo de seguridad investigará a fondo.

Al contactar al servicio de atención al cliente de la bolsa o del custodio, asegúrese de hacerlo a través de canales oficiales. Las empresas legítimas nunca contactarán proactivamente a los usuarios.

Resumen de experiencia

Aunque tuve suerte y no fui engañado, como exprofesional de la ciberseguridad, esta experiencia casi me atrapó y me dejó profundamente inquieto. Si no fuera por mi formación profesional, podría haber sido víctima de una estafa. Si se tratara de una llamada de un extraño cualquiera, habría colgado de inmediato. Fue precisamente la cadena de acciones meticulosamente diseñadas por el atacante, que crearon una sensación de urgencia y autoridad, lo que hizo que esta pesca fuera tan peligrosa.

He resumido las siguientes señales de advertencia y recomendaciones de protección, con la esperanza de ayudar a los inversores a garantizar la seguridad de sus fondos en el actual entorno en línea.

Señales de advertencia

Colaborar en la creación de alertas falsas para generar confusión y urgencia

Los atacantes primero generan una serie de alertas de intercambio de tarjetas SIM y solicitudes de códigos de verificación de un solo uso de varios servicios, enviando simultáneamente ( tanto por SMS como a través de software de mensajería instantánea, creando intencionadamente la ilusión de que múltiples plataformas están siendo atacadas al mismo tiempo. Esta información probablemente solo requiere obtener mi número de teléfono móvil y mi correo electrónico para ser activada, y estos datos son fáciles de obtener. En esta etapa, creo que los atacantes aún no han obtenido datos de cuenta más profundos.

Uso combinado de códigos cortos y números de teléfono normales

La información de phishing se envía mediante una combinación de códigos cortos SMS y números de teléfono regulares. Aunque las empresas suelen utilizar códigos cortos para comunicaciones oficiales, los atacantes pueden falsificar o reutilizar estos códigos cortos. Sin embargo, es importante tener en cuenta que los servicios legítimos nunca enviarán alertas de seguridad utilizando números de teléfono normales. Los mensajes de números de longitud estándar siempre deben ser tratados con escepticismo.

Se requiere operar a través de un dominio no oficial o desconocido

El atacante me pide que acceda