Así blanquean los ciberdelincuentes las criptomonedas

Mezcladores de criptomonedas, exchanges anidados, retirada de fondos y otros métodos para el blanqueo de criptomonedas utilizados por los operadores de ransomware.

No se puede decir que las criptomonedas sean un medio de pago anónimo. Después de todo, dado que todas las transacciones (bueno, casi todas, ya hablaremos sobre eso más adelante) quedan escritas en la cadena de bloques, el movimiento es bastante fácil de rastrear. Además, existen herramientas analíticas especializadas que hacen que resulte relativamente cómodo y fácil localizar tanto el origen como el destino de dichos fondos.

Ante esto, algunas víctimas de ransomware asumen que la mejor estrategia consiste en pagar el rescate, recuperar el control de sus recursos corporativos y luego ir a la policía y simplemente esperar a que termine la investigación para, con suerte, recuperar su dinero.

Por desgracia, no es tan simple como parece. Los ciberdelincuentes han inventado herramientas, técnicas y servicios para compensar la transparencia excesiva de las cadenas de bloques que dificultan o incluso imposibilitan el rastreo de las transacciones de criptomonedas. Y de esto es precisamente de lo que hablaremos hoy.

Monederos de criptomonedas intermediarios

Lo más simple que pueden hacer los ciberdelincuentes con las criptomonedas sucias es distribuirlas en monederos falsos. En el caso de operaciones a gran escala, como el hackeo a BitFinex o el robo a Sky Mavis, podríamos estar hablando de miles de monederos falsos.

Pero, dado que todas las transacciones se escriben en la cadena de bloques, el uso de monederos falsos no resuelve el problema del rastreo de fondos. Por ello, esta técnica se suele implementar únicamente en las primeras etapas del blanqueo para, primero, enturbiar el rastro y, segundo, fraccionar grandes sumas en otras más pequeñas, que posteriormente podrán blanquearse más fácilmente de otra forma.

A menudo, los ciberdelincuentes más codiciosos guardan las criptomonedas sucias en estos monederos falsos durante mucho tiempo con la esperanza de que el tipo de cambio mejore. Aunque, en el caso de las transacciones lo suficientemente grandes como para llamar la atención de las fuerzas del orden, el motivo de esta espera es la precaución. Los atacantes intentan mantener un perfil bajo hasta que la vigilancia disminuye y es más fácil retirar los fondos.

Los mezcladores de criptomonedas

Los mezcladores de criptomonedas surgieron con la necesidad expresa de resolver los problemas mencionados anteriormente de la transparencia excesiva de la cadena de bloques y una privacidad insuficiente. Su funcionamiento es el siguiente: las transferencias de criptomonedas entrantes se vierten en una “olla” y se mezclan por completo con los fondos que ingresan otros usuarios del servicio. A su vez, las transferencias salientes de cantidades aleatorias se realizan de acuerdo con un cronograma aleatorio y a monederos completamente diferentes, por lo que resulta imposible hacer coincidir las cantidades entrantes y salientes e identificar las transacciones.

Claramente, este es un método muy efectivo para lidiar con las criptomonedas sucias y, aunque no todos los usuarios de estos mezcladores son ciberdelincuentes, los fondos ilegales representan una parte significativa de los flujos que ingresan; tan significativa que en el 2022 los reguladores de EE. UU. finalmente persiguieron y emitieron sanciones a dos mezcladores populares.

Los exchanges de criptomonedas más importantes

La gran mayoría de las transacciones en los exchanges de criptomonedas se realizan entre cuentas de clientes internos y se registran con detalle exclusivamente en sus propias bases de datos. Por lo que en la cadena de bloques solo terminan los resultados resumidos de un montón de transacciones internas de este tipo.

Por supuesto, esto se hace para ahorrar tanto tarifas como tiempo, ya que, después de todo, el ancho de banda de la cadena de bloques es limitado. Pero esto significa que cualquier exchange de criptomonedas es una especie de mezclador natural: las transferencias entrantes y salientes no se pueden emparejar utilizando únicamente el análisis de la cadena de bloques. El hilo que permite rastrear el movimiento de fondos se corta cuando una transacción ingresa a un exchange.

Por un lado, esto facilita la actividad ilegal y, por otro, añade una serie de riesgos considerables: al transferir fondos a un exchange de criptomonedas importante, los ciberdelincuentes ya no tienen control total sobre ellos. Y, dado que estas plataformas suelen cooperar con los reguladores y las fuerzas del orden, las posibilidades de perder el botín son muy probables. Además, los exchanges de buena reputación siempre tienen un procedimiento de verificación del tipo Conozca a su cliente (KYC por sus siglas en inglés), que solo se suma a los riesgos y dificultades asociados con el lavado de fondos.

Los exchanges de criptomonedas menos conocidos

Ante esto, otra opción para los ciberdelincuentes es recurrir a las plataformas de intercambio de criptomonedas más pequeñas que son menos propensas a cumplir con los requisitos normativos y se definen a sí mismas como anónimas. A menudo, estos exchanges se acaban convirtiendo en plataformas para el blanqueo de criptomonedas.

Pero cuanto más popular es un exchange entre los ciberdelincuentes, más probable es que acabe atrayendo la atención indeseada de las fuerzas del orden. Lo que suele suceder al final es que la paciencia de las autoridades se agota y encuentran la manera de derribar la plataforma. Por ejemplo, a principios de año, las autoridades estadounidenses arrestaron al propietario de Bitzlato Ltd., un exchange en el que se movían cientos de millones de dólares de criptomonedas sucias, provenientes principalmente de  operadores de ransomware y estafadores. La policía europea también incautó y deshabilitó la infraestructura de este exchange, poniendo así fin a sus actividades.

Los exchanges anidados

Además de los exchanges completamente desarrollados, también existen los llamados exchanges anidados, que hacen de intermediarios en el intercambio de criptomonedas permitiendo a los usuarios realizar su intercambio sin necesidad de registrar una cuenta.

Estos servicios son similares a los brokers del mundo de las finanzas tradicionales, solo que en el universo de las criptomonedas se utilizan para garantizar la privacidad, ya que no usa el KYC, proceso obligatorio para todos los clientes de los grandes exchanges. Estas plataformas anidadas funcionan no solo en beneficio de los ciberdelincuentes; la oportunidad de eludir preguntas no deseadas también atrae la atención de aquellos que buscan blanquear ganancias ilícitas.

DeFi: protocolos descentralizados

Por último, otra opción para blanquear criptomonedas es utilizar los protocolos financieros descentralizados (DeFi) en el corazón de los exchanges descentralizados automatizados que operan sobre la base de los contratos inteligentes. Las ventajas para los ciberdelincuentes son obvias: los exchanges descentralizados (DEX) no realizan controles de los clientes ni requieren el registro de una cuenta.

Otra ventaja de los DEX es que los fondos permanecen bajo el control total de sus propietarios (a menos que haya un error en el contrato inteligente). Bien es cierto que hay un gran inconveniente: todas las transacciones basadas en DEX se escriben en la cadena de bloques, por lo que, con un poco de esfuerzo, se pueden rastrear, lo que hace que la cantidad de ciberdelincuentes que recurren a DeFi sea bastante baja. Dicho esto, los DeFi puede ser un componente efectivo en las estrategias más complejas de blanqueo de dinero con múltiples etapas.

Los servicios de blanqueo en la darkweb

Si das por hecho que no todos los extorsionistas saben cubrir adecuadamente sus huellas financieras, tenemos malas noticias: el cibercrimen moderno está altamente especializado. Además, cada vez son más los ciberdelincuentes que utilizan servicios clandestinos dedicados exclusivamente al blanqueo de criptomonedas sucias. Estos servicios proporcionan lo que se puede llamar como blanqueo como servicio: variantes de las estrategias anteriores para ocultar el movimiento de las criptomonedas, liberando así a sus clientes de esta tarea.

Los servicios de blanqueo se anuncian en la darkweb y se comunican con los clientes a través de aplicaciones de mensajería seguras para conseguir el completo anonimato. Según unas estimaciones algo conservadoras, estos servicios recaudaron el año pasado 6000 millones de dólares.

El cobro

Como ya sabrás, una paradoja de las criptomonedas es que puedes comprarte una imagen muy cara de un mono, pero no una barra de pan. Por lo tanto, el objetivo final de cualquier operación ilegal de criptomonedas es el cobro. Esto representa la etapa final de cualquier estrategia de blanqueo: una vez que las criptomonedas se han convertido en dinero fiduciario ordinario, ya no se puede rastrear analizando la cadena de bloques.

Las opciones son varias, de hecho, algunas de las estrategias anteriores brindan una salida al mundo real. Por lo que, cuando se trata de cobrar, se pueden usar exchanges grandes y pequeños, los anidados que permiten operar sin abrir una cuenta o los servicios de blanqueo de la darkweb especializados en ayudar a los ciberdelincuentes (sin especificar exactamente cómo).

Qué supone esto para las víctimas de ransomware

Como habrás podido comprobar, los ciberdelincuentes disponen de una amplia gama de medios para blanquear las criptomonedas sucias y no están limitados al uso exclusivo de uno de los métodos mencionados anteriormente. Por el contrario, la mayoría de los ciberdelincuentes emplean operaciones de blanqueo sofisticadas y de múltiples etapas con mezcladores, monederos intermediarios, exchanges y diferentes métodos de retiro de efectivo, todos al mismo tiempo.

Como resultado, a pesar del esfuerzo por parte de las fuerzas del orden público, a menudo resulta complicado recuperar la mayor parte de los fondos robados, incluso aunque la investigación acabe bien. Por tanto, en resumen, no esperes recuperar el dinero que has pagado como rescate. Como siempre decimos, la prevención es el mejor método de defensa: instala una solución de seguridad de confianza en todos los dispositivos, una cuya capacidad antiransomware se haya demostrado previamente en pruebas independientes.

Consejos