-
La modalidad de estafa incluye un formulario falso.
-
La investigación vincula a una dirección ligada al colapso de Mt. Gox con estas nuevas estafas.
El ecosistema de Bitcoin enfrenta un desafío emergente, tras la detección de un esquema fraudulento que aprovecha la infraestructura de la red Bitcoin para engañar a usuarios, según un informe publicado el 8 de julio por BitMEX Research.
Este caso, identificado en una dirección histórica vinculada al colapso de Mt. Gox en 2014, pone de manifiesto una evolución en las tácticas de estafa que combina técnicas avanzadas de incrustación de metadata en la cadena de bloques con ingeniería social, representando un riesgo para novatos y expertos por igual.
Mt. Gox, una de las primeras plataformas de intercambio de bitcoin, sufrió un hackeo que resultó en la pérdida de aproximadamente 850.000 bitcoin, de los cuales unos 80.000 están asociados a la dirección 1FeexV6bAHb8ybZjqQMjJrcCrHGW9sb6uF, mencionada en el análisis de BitMEX.
Ese evento, ocurrido hace más de una década, dejó un rastro de activos digitales que ahora sirven como anzuelo para un nuevo tipo de engaño.
BitMEX Research señala que la estafa utiliza la función OP_RETURN, un opcode dentro del protocolo Bitcoin, que permite incluir hasta 80 bytes de datos en una transacción, como imágenes, texto, entre otros.
Los estafadores utilizan un mensaje incrustado que dirige a los usuarios a un sitio web que simula ser legítimo, marcando un punto de inflexión en la sofisticación de los ataques.
El modus operandi de esta estafa comienza con la creación de una transacción que incluye un output OP_RETURN con el texto «NOTICE TO OWNER: see www.salomonbros.com/owner_notice» (en castellano, AVISO AL DUEÑO: vea www.salomonbros.com/owner_notice).
Esto se puede observar en la siguiente imagen, que muestra la transacción 6a7967c70d2c8de5b6898df6b87b4eb785189b2cd6dad7f66cc29da343858e55 del bloque 903744, procesado el pasado 3 de julio:
Específicamente, la transacción detectada es una entrada a la dirección 1FeexV6bAHb8ybZjqQMjJrcCrHGW9sb6uF, un tipo P2PKH (Pago a Hash de Clave Pública), un formato común en los primeros años de Bitcoin por su simplicidad, aunque menos privado que los actuales provistos por la actualización Taproot.
El enlace dentro de la transacción lleva a una página que afirma que la dirección bitcoin en cuestión está “perdida o abandonada” y que un supuesto cliente ha tomado posesión constructiva de los fondos. Al tiempo de este artículo, la página desde donde operan los atacantes está caída y no se puede acceder.
Posteriormente, se añaden otros mensajes en otras transacciones: «LEGAL NOTICE: We have taken possession of this wallet and its content» (AVISO LEGAL: Hemos tomado posesión de este monedero y su contenido) y «Not abandoned? Prove it by an on-chain transaction using private key by Sept 30» (¿Wallet no abandonada? Pruébelo con una transacción en la cadena usando la clave privada antes del 30 de septiembre):
El sitio al que dirige el enlace del primer mensaje, diseñado para parecer creíble, presenta un formulario falso que solicita datos personales como nombre, correo electrónico o número de teléfono, bajo la premisa de verificar la identidad de un posible propietario legítimo.
En ese enlace, los estafadores añadieron el siguiente mensaje:
“Esta billetera digital parece estar inactiva o abandonada. Nuestro cliente ha tomado posesión constructiva de la misma y busca determinar si existe un propietario legítimo. Este aviso legal se publica conforme a la legislación aplicable, con el fin de brindar una oportunidad al propietario para reclamar una propiedad que, de otro modo, calificaría como perdida o abandonada. Se otorgan noventa días al propietario para responder a este aviso; en otras palabras, un propietario con prueba válida de propiedad debe responder antes del 5 de octubre de 2025. Si no se recibe respuesta, las billeteras digitales y su contenido se considerarán confirmadas como abandonadas”.
El mensaje completo y el formulario requerido se pueden observar en la siguiente imagen:
Sin embargo, la investigación de BitMEX revela que el dominio no tiene relación con Salomon Brothers, una firma de inversión histórica de Wall Street fundada en 1910 y absorbida por Citigroup en 1998.
La página incluye nombres de exejecutivos de esa entidad de los años 80, una estrategia de ingeniería social que busca explotar la reputación para inducir confianza. La clave del engaño radica en su ejecución técnica y psicológica.
OP_RETURN, al ser un elemento inmutable en el archivo de Bitcoin, asegura que el mensaje permanezca visible públicamente, atrayendo la atención de quienes monitorean direcciones antiguas o buscan reclamar activos perdidos.
El sitio web falso, al requerir información personal, expone a los usuarios a riesgos como el robo de identidad o el acceso no autorizado a sus propios fondos, especialmente si comparten claves privadas o detalles de sus monederos.
BitMEX advierte que esta táctica recuerda esquemas legales promovidos por figuras como Calvin Ayre, quien en el pasado financió disputas sobre la propiedad de direcciones similares, aunque no se presenta evidencia directa de su involucramiento en este caso específico.
La recomendación es clara: evitar interactuar con cualquier formulario o enlace asociado, ya que la entrega de datos personales puede facilitar ataques posteriores. Proteger los monederos mediante claves privadas seguras y hardware wallets (dispositivos físicos desconectados de internet) sigue siendo la mejor defensa.
Este incidente subraya la necesidad de educación en el ecosistema de Bitcoin, donde la transparencia de su contabilidad coexiste con la vulnerabilidad humana.
