Hechos clave:
-
Investigadores rastrean 10 direcciones de Bitcoin donde los hackers almacenan lo robado.
-
La mayoría de los fondos se obtuvieron en el robo de 1.400 BTC ejecutado en agosto.
Casi 25 millones de dólares habrían sido robados a usuarios de la aplicación del monedero Electrum, de Bitcoin, mediante una serie de ciberataques que los hackers vienen realizando desde 2018 y que se conocen como «estafa de actualización falsa de Electrum».
Según la investigación realizada por el equipo del medio ZDNet, publicada este 12 de octubre, se han podido rastrear alrededor de 10 cuentas de Bitcoin donde los delincuentes recolectan los fondos robados en ataques ejecutados entre 2019 y 2020.
Se trata de ciberataques en los que se utilizan modalidades de phishing (enlaces engañosos) que afectan principalmente a los usuarios de Electrum con versiones antiguas del monedero. Los robos han sido continuos y las denuncias de las víctimas se han hecho recurrentes en los últimos meses, a pesar de que esta modalidad de ataque fue descubierta en diciembre de 2018.
El rastreo ha permitido conocer que, a la fecha, las carteras de los hackers contienen 1.980 bitcoins (más de USD 22 millones). Si a esta cantidad se suman los 243 bitcoins robados en el ataque inicial de 2018, el monto total robado hasta ahora alcanza los USD 25 millones.
Las cifras indican que la mayor parte de estas criptomonedas se obtuvieron de un ataque ejecutado a finales de agosto de este año a un early adopter, quien perdió 1.400 bitcoins al activar la falsa actualización de Electrum.
Luego de la denuncia de este hack, otros usuarios también han manifestado haber sido víctimas de estos ataques.
«Tuve una situación similar hace 2 meses», dijo un usuario de Github llamado Cryptbtcaly el 31 de agosto. Aseguró que alguien le había robado 36,5 BTC de una de sus direcciones. En la publicación se muestran informes semejantes enviados a los foros de denuncia de Bitcoin en varias fechas de 2019, y más recientemente entre agosto y septiembre de 2020.
Cómo se activa el phishing de bitcoin en Electrum
La técnica usada por los hackers para robar los fondos se vale del funcionamiento interno de la aplicación de la cartera.
Los monederos están diseñados para conectarse a la cadena de bloques de Bitcoin a través de una red de servidores llamada ElectrumX. Como ecosistema abierto, cualquiera puede configurar un servidor de puerta de enlace a esta red. Por ello, los hackers aprovechan esta propiedad para activar servidores maliciosos.
Al enlazar servidores maliciosos, los atacantes hacen que la aplicación muestre una ventana emergente en la pantalla del usuario. Se le indica, luego de un mensaje de error, que acceda a una URL y descargue e instale una actualización de Electrum.
Lo que realmente sucede es que el enlace conecta el monedero a dominios controlados por los hackers. Así, cuando el usuario vuelve a usar la aplicación se le pide introducir un código de acceso único, con el cual –sin saber– da la aprobación para la transferencia de fondos.
Electrum recomienda actualizar desde el sitio oficial
Desde que se conoce esta modalidad de ciberataque, el equipo de Electrum ha tomado varias medidas.
Primero implementaron un sistema de listas negras de servidores en Electrum X, para bloquear adiciones maliciosas. Luego agregaron códigos en las nuevas actualizaciones para que los servidores no muestren ventanas emergentes en formato HTML a los usuarios.
Adicionalmente, se han incorporado alertas visuales en el portal, anunciando que las versiones del monedero, anteriores a la 3.3.4, son vulnerables al phishing. Recomiendan descargar las nuevas versiones directamente del sitio oficial electrum.org. También se ha publicado un procedimiento para validar llaves GPG, a fin de garantizar la descarga de un cliente válido de Electrum.
