Estafa Ripple: Extensión falsa de Chrome roba más de un millón de XRP

“Ledger Live” es el título de la extensión maliciosa, que aparentemente logró robar solo durante un mes unos 1,4 millones de tokens Ripple (XRP), equivalentes a un aproximado de 224.000 dólares. Es necesario mencionar que Ledger Live, de hecho, es el nombre de la app oficial para el manejo de carteras Ledger, pero esta solo se ofrece en versión de escritorio y móvil, no como una extensión web. La extensión falsa, por su parte, se promociona en los resultados de búsqueda en Google y así es como ha logrado engañar a los usuarios para activarla en sus navegadores y compartir la llave privada de sus carteras. Posteriormente, los datos se guardaron mediante Google Docs y las carteras fueron vaciadas. Kevin Mitnick, uno de los hackers más famosos de la historia, llegó a afirmar que el eslabón más débil en la cadena de la ciberseguridad es el elemento humano. Este episodio vuelve a darle la razón, pues para protegerse de este tipo de ataques basta en realidad con descargar las apps solo desde las fuentes oficiales y jamás compartir la llave privada de las carteras, tal como advirtió la propia compañía Ledger.

We're doing our best to get these scams removed. Never EVER share your 24-word recovery phrase!

— Ledger (@Ledger) March 25, 2020

La mayoría de los tokens robados, según cuenta Xrplorer, aún permanecen en las direcciones a donde fueron transferidos. Sin embargo, una parte ya ha sido intercambiada por otras monedas a través del exchange HitBTC. Algo que no es demasiado a extrañar, pues según el último reporte sobre cripto-crimen realizado por Chainalysis, casi un 60% de las criptomonedas robadas acaban en exchanges regulados. Por otra parte, hay que decir que la verdadera cantidad extraída de carteras Ledger mediante este método es incierta. Xrplorer afirmó que no tienen números sobre otros tokens aparte de Ripple, pero lo cierto es que en Ledger no solo se puede almacenar esta criptomoneda: otros 21 activos se pueden manejar por medio de Ledger Live, incluyendo Bitcoin (BTC), Ethereum (ETH), Litecoin (LTC), Tezos (XTZ), Dash (DASH), Zcash (ZEC) y Augur (REP).

Más phishing

Recordemos que los ataques de phishing se dan cuando los hackers o estafadores se hacen pasar por algún individuo, empresa u organización con diversos fines maliciosos; usualmente para robar credenciales o fondos. La construcción de páginas web, correos con logos oficiales, apps y extensiones (como en este último caso) muy parecidas a las originales son tácticas comunes en el phishing. Para Ledger en particular este no es su primer enfrentamiento contra el phishing. A principios de este año, por ejemplo, una cuenta hackeada en YouTube ofrecía a los usuarios de esta cartera fría fondos gratuitos a cambio de que inscribieran su llave privada en un monedero web comprometido. Pero quizás en estos momentos donde la pandemia por el coronavirus (COVID-19) está extendida por todo el mundo, el tipo de phishing más usual es aquel donde los hackers se hacen pasar por organizaciones de salud en correos electrónicos, con el propósito de recibir presuntas donaciones en criptomonedas para crear una vacuna o abastecer hospitales. En estos casos basta con ignorar dichos correos: si se quiere donar, es mejor recurrir a medios más confiables, como la Cruz Roja o la Binance Charity Foundation. Asimismo, cabe mencionar que otro tipo de phishing muy popular este año está siendo el de diversas celebridades, empresarios y políticos “invirtiendo” en una supuesta plataforma de trading con criptomonedas. El modus operandi de estos estafadores es difundir una presunta entrevista con alguna personalidad, donde se adula a su plataforma de trading fraudulenta. Como informó BeIncrypto, los últimos involucrados en ello fueron los presidentes de Perú y Colombia, Martín Vizcarra e Iván Duque. Para evitar caer en la trampa del phishing, basta con recurrir siempre a las fuentes oficiales, revisar muy bien que la URL de las páginas web que buscamos sea la correcta (sin siquiera un carácter distinto), sospechar si algo se ve demasiado bueno para ser cierto y no prestar atención a correos provenientes de personas que no conocemos.