Los ataques de ingeniería social amenazan la seguridad del activo encriptación, los usuarios de Coinbase son las principales víctimas

En los últimos años, los ataques de ingeniería social se han convertido en una grave amenaza para la seguridad de los fondos de los usuarios en el campo de la encriptación de activos. Desde 2025, han ocurrido numerosos casos de fraude de ingeniería social dirigidos a los usuarios de una plataforma de intercambio, lo que ha generado una amplia atención. De las discusiones en la comunidad se puede ver que este tipo de eventos no son casos aislados, sino un tipo de fraude con características de continuidad y organización.

El 15 de mayo, una plataforma de intercambio publicó un anuncio que confirmaba las especulaciones anteriores sobre la existencia de "traidores" dentro de la plataforma. Se informa que el Departamento de Justicia de los Estados Unidos ha iniciado una investigación sobre este incidente de filtración de datos.

Este artículo revelará los principales métodos utilizados por los estafadores, organizando la información proporcionada por varios investigadores de seguridad y víctimas, y explorará cómo abordar eficazmente este tipo de estafas desde las perspectivas de la plataforma y del usuario.

Análisis histórico

El detective en cadena Zach mencionó en la actualización de comunicaciones del 7 de mayo: "En solo la última semana, se han robado más de 45 millones de dólares de los usuarios de una plataforma de intercambio debido a fraudes de ingeniería social."

En el último año, Zach ha revelado en múltiples ocasiones incidentes de robo de usuarios en la plataforma, con pérdidas que alcanzan decenas de millones de dólares para algunos de los afectados. En febrero de 2025, publicó una investigación detallada que indicaba que, solo entre diciembre de 2024 y enero de 2025, el total de fondos robados debido a fraudes similares ya superaba los 65 millones de dólares, y reveló que la plataforma enfrenta una grave crisis de "fraude social", con estos ataques continuando a un ritmo de 300 millones de dólares anuales, lo que sigue perjudicando la seguridad del activo de los usuarios. También señaló:

• Los grupos que lideran este tipo de fraudes se dividen principalmente en dos categorías: una consiste en atacantes de bajo nivel de círculos específicos, y la otra son organizaciones de ciberdelincuencia ubicadas en India;
• Los objetivos de ataque de las bandas de fraude son principalmente usuarios estadounidenses, con métodos de operación estandarizados y procesos de conversación maduros;
• La cantidad real de pérdidas puede ser mucho mayor que las estadísticas visibles en la cadena, ya que no incluye información no pública, como tickets de servicio al cliente y registros de denuncias policiales que no se pueden obtener.

Métodos de estafa

En este evento, el sistema técnico de la plataforma no fue vulnerado; los estafadores aprovecharon los permisos de un empleado interno para obtener parte de la información sensible de los usuarios. Esta información incluye: nombre, dirección, información de contacto, datos de cuenta, fotos de identificación, etc. El objetivo final de los estafadores es utilizar técnicas de ingeniería social para guiar a los usuarios a realizar transferencias.

Este tipo de ataque ha cambiado el tradicional método de phishing "de red" y se ha trasladado a un "ataque de precisión", considerado un fraude social "hecho a medida". La ruta típica de comisión es la siguiente:

1. Contactar a los usuarios en calidad de "servicio al cliente oficial"

Los estafadores utilizan sistemas telefónicos falsificados para hacerse pasar por el servicio al cliente de la plataforma, llamando a los usuarios y afirmando que su "cuenta ha sufrido un inicio de sesión ilegal" o que se ha "detectado una anormalidad en el retiro", creando un ambiente de urgencia. Luego, envían correos electrónicos o mensajes de texto de phishing que parecen auténticos, que contienen números de orden de trabajo falsos o enlaces de "proceso de recuperación", y guían a los usuarios a realizar acciones. Estos enlaces pueden dirigir a interfaces clonadas de la plataforma y pueden enviar correos que parecen provenir de un dominio oficial, algunos correos utilizan técnicas de redirección para eludir la protección de seguridad.

2. Guía a los usuarios para descargar una billetera específica

Los estafadores guiarán a los usuarios a mover fondos a una "billetera segura" bajo el pretexto de "proteger los activos", e incluso ayudarán a los usuarios a instalar billeteras específicas y les indicarán que transfieran los activos que originalmente estaban custodiados en la plataforma a una nueva billetera creada.

3. Inducir a los usuarios a utilizar las palabras mnemotécnicas proporcionadas por los estafadores

A diferencia de la "estafa de robo de frases de recuperación" tradicional, los estafadores ofrecen directamente un conjunto de frases de recuperación generadas por ellos mismos, induciendo a los usuarios a usarlas como "nuevo monedero oficial".

4. Los estafadores llevan a cabo el robo de fondos

Las víctimas, en un estado de tensión, ansiedad y confianza en el "servicio al cliente", son muy propensas a caer en la trampa. Para ellos, una nueva billetera "proporcionada por la oficial" es naturalmente más segura que una billetera antigua "sospechosa de haber sido hackeada". El resultado es que, una vez que los fondos se transfieren a esta nueva billetera, los estafadores pueden transferirlos inmediatamente. La idea de que "no controlas, no posees" se verifica una vez más de manera brutal.

Además, algunos correos electrónicos de phishing afirman que "debido a un fallo de una demanda colectiva, la plataforma se trasladará completamente a billeteras autogestionadas" y exigen a los usuarios que completen la migración de activos antes del 1 de abril. Bajo la presión del tiempo y la sugestión psicológica de "instrucciones oficiales", los usuarios son más propensos a cooperar con la operación.

Según los investigadores de seguridad, estos ataques a menudo se planifican y ejecutan de manera organizada:

• Cadena de herramientas de fraude mejorada: los estafadores utilizan sistemas específicos para falsificar números de llamada y simular llamadas del servicio al cliente oficial. Al enviar correos electrónicos de phishing, utilizan robots en plataformas sociales para suplantar correos electrónicos oficiales, adjuntando "guía de recuperación de cuentas" para guiar la transferencia.
• Objetivo preciso: los estafadores, basándose en datos de usuarios robados adquiridos a través de canales de comunicación y la dark web, apuntan principalmente a usuarios de EE. UU., e incluso utilizan IA para procesar los datos robados, segmentando y reorganizando números de teléfono, generando archivos de texto masivamente, y luego enviando mensajes de texto fraudulentos mediante software de fuerza bruta.
• Proceso de engaño coherente: desde llamadas telefónicas, mensajes de texto hasta correos electrónicos, la ruta de la estafa suele ser sin fisuras. Las frases de phishing comunes incluyen "se ha recibido una solicitud de retiro en la cuenta", "la contraseña ha sido restablecida", "ha habido un inicio de sesión anómalo en la cuenta", etc., induciendo continuamente a las víctimas a realizar una "verificación de seguridad" hasta completar la transferencia de la billetera.

Análisis en cadena

Hemos analizado algunas direcciones de estafadores y hemos descubierto que estos estafadores tienen una fuerte capacidad de operación en la cadena. A continuación se presentan algunas informaciones clave:

Los objetivos de ataque de los estafadores cubren una variedad de activos que poseen los usuarios, y el tiempo de actividad de estas direcciones se concentra entre diciembre de 2024 y mayo de 2025. Los activos objetivo son principalmente BTC y ETH. BTC es el principal objetivo de estafa en la actualidad, con múltiples direcciones que obtienen beneficios de hasta cientos de BTC de una sola vez, con un valor individual de varios millones de dólares.

Una vez obtenidos los fondos, los estafadores utilizan rápidamente un conjunto de procesos de lavado para intercambiar y transferir los activos, el modelo principal es el siguiente:

• Los activos de tipo ETH a menudo se intercambian rápidamente por DAI o USDT a través de un DEX, y luego se transfieren de manera dispersa a múltiples nuevas direcciones, mientras que parte de los activos ingresan a plataformas de intercambio centralizadas;

• BTC se transfiere principalmente a través de puentes entre cadenas a Ethereum, y luego se intercambia por DAI o USDT, evitando riesgos de seguimiento.

Varios direcciones de estafa permanecen en estado de "reposo" después de recibir DAI o USDT, aún no han sido transferidas.

Para evitar la interacción de su dirección con direcciones sospechosas, lo que podría resultar en el riesgo de que los activos sean congelados, se recomienda a los usuarios realizar una detección de riesgos en la dirección objetivo antes de realizar una transacción, para así eludir amenazas potenciales.

Medidas de respuesta

plataforma

Los principales métodos de seguridad actuales son más protecciones a nivel "tecnológico", mientras que el fraude social a menudo elude estos mecanismos, atacando directamente las vulnerabilidades psicológicas y de comportamiento de los usuarios. Por lo tanto, se sugiere que la plataforma integre la educación del usuario, la capacitación en seguridad y el diseño de usabilidad, estableciendo una línea de defensa de seguridad "orientada a las personas".

• Envío regular de contenido educativo sobre el fraude: mejorar la capacidad de los usuarios para prevenir el phishing a través de ventanas emergentes de la aplicación, interfaces de confirmación de transacciones, correos electrónicos y otros métodos;
• Optimizar el modelo de gestión de riesgos e introducir "identificación de comportamientos anómalos interactivos": la mayoría de las estafas de ingeniería social inducen a los usuarios a completar una serie de operaciones en un corto período de tiempo (como transferencias, cambios en la lista blanca, vinculación de dispositivos, etc.). La plataforma debe identificar combinaciones interactivas sospechosas basadas en el modelo de cadena de comportamiento (como "interacciones frecuentes + nueva dirección + grandes retiros"), desencadenando un período de enfriamiento o un mecanismo de revisión manual.
• Normalizar los canales de atención al cliente y los mecanismos de verificación: los estafadores a menudo se hacen pasar por el servicio de atención al cliente para confundir a los usuarios. La plataforma debe unificar plantillas de llamadas, mensajes de texto y correos electrónicos, y proporcionar un "portal de verificación de atención al cliente", aclarando el único canal de comunicación oficial para evitar confusiones.

usuario

• Implementar una estrategia de aislamiento de identidad: evitar que múltiples plataformas compartan el mismo correo electrónico o número de teléfono, reduciendo el riesgo de asociación, se puede utilizar herramientas de verificación de filtraciones para revisar periódicamente si el correo electrónico ha sido filtrado.

• Habilitar la lista blanca de transferencias y el mecanismo de enfriamiento de retiros: establecer direcciones confiables para reducir el riesgo de pérdida de fondos en situaciones de emergencia.

• Mantenerse al tanto de las noticias de seguridad: a través de empresas de seguridad, medios de comunicación, plataformas de intercambio y otros canales, conocer las últimas dinámicas de las técnicas de ataque y mantenerse alerta. Actualmente, varias instituciones de seguridad están a punto de lanzar una plataforma de simulación de phishing en Web3, que simulará varios métodos de phishing típicos, incluidos el envenenamiento social, el phishing por firma, la interacción con contratos maliciosos, entre otros, y actualizará continuamente el contenido de los escenarios en combinación con casos históricos. Esto permitirá a los usuarios mejorar su capacidad de reconocimiento y respuesta en un entorno sin riesgos.

• Presta atención a los riesgos offline y a la protección de la privacidad: la filtración de información personal también puede provocar problemas de seguridad personal.

Esto no es una preocupación infundada; desde el inicio del año, los profesionales/usuarios de la encriptación han enfrentado varios incidentes que amenazan su seguridad personal. Dado que los datos filtrados incluyen nombres, direcciones, información de contacto, datos de cuentas, fotos de identificación, etc., los usuarios relacionados también deben estar alerta en el ámbito offline y prestar atención a la seguridad.

En resumen, mantén el escepticismo y verifica continuamente. En caso de operaciones urgentes, asegúrate de que la otra parte se identifique y verifica de forma independiente a través de canales oficiales, evitando tomar decisiones irreversibles bajo presión.

Resumen

Este evento expone nuevamente que, frente a las técnicas de ataque de ingeniería social cada vez más maduras, la industria aún presenta deficiencias evidentes en la protección de datos de los clientes y la seguridad del activo. Es preocupante que, incluso si los puestos relevantes de la plataforma no tienen autorización para manejar fondos, la falta de conciencia y capacidad de seguridad adecuadas también puede resultar en consecuencias graves debido a filtraciones involuntarias o a ser cooptados. A medida que el tamaño de la plataforma sigue creciendo, la complejidad del control de seguridad del personal también aumenta, convirtiéndose en uno de los riesgos más difíciles de superar en la industria. Por lo tanto, mientras la plataforma refuerza los mecanismos de seguridad en la cadena, también debe construir de manera sistemática un "sistema de defensa contra la ingeniería social" que cubra tanto al personal interno como a los servicios subcontratados, integrando el riesgo humano en la estrategia de seguridad general.

Además, una vez que se descubra que el ataque no es un evento aislado, sino una amenaza continua organizada y a gran escala, la plataforma debe responder de inmediato, inspeccionar proactivamente las vulnerabilidades potenciales, advertir a los usuarios sobre la prevención y controlar el alcance del daño. Solo con una respuesta dual a nivel técnico y organizativo se podrá mantener realmente la confianza y la línea de base en un entorno de seguridad cada vez más complejo.