MetaMask en la mira de los estafadores: ¿cómo puedes mantenerte a salvo?

¿Qué es una frase semilla? ¿Cómo la utilizan los estafadores para robar monederos de criptomoneda y cómo proteger tu cuenta de MetaMask?

Las estafas a la criptomoneda ya tienen mucho tiempo circulando. Con la esperanza de obtener las criptomonedas de las cuentas de otros, los cibercriminales tientan a las víctimas con transferencias gratuitas, rifas de bitcoin, credenciales de otras personas y equipo de minería escaso. Hoy analizamos otra estrategia fraudulenta dirigida a los propietarios de los monederos de criptomoneda MetaMask.

¿Qué es MetaMask?

MetaMask es un monedero para la cadena de bloques Ethereum, la cual respalda todo tipo de tokens (tanto normales como los no intercambiables, es decir, NFT) con base en este.  El monedero funciona como una extensión de los navegadores de escritorio Google Chrome, Firefox, Microsoft Edge y Brave, y también hay aplicaciones para iOS y para Android. MetaMask puede utilizarse para hacer compras y crear y monetizar contenido en una red descentralizada.

Como con monederos similares, el acceso está asegurado por una contraseña de usuario que se crea durante el registro, y una clave privada generada con aplicación que consta de 64 caracteres alfanuméricos, más una frase semilla (una serie de 12 (casi siempre menos de 24) palabras.

Y si bien casi todos los propietarios de criptomoneda entienden que la contraseña y la clave privada no deben compartirse con nadie, hay quienes, especialmente los novatos de la criptomoneda subestiman la necesidad de mantener la frase semilla secreta. Sin embargo, ten en cuenta que la frase semilla es, en esencia, una representación verbal de la clave privada, lo que te permite restaurar el acceso a la cuenta. En otras palabras, si alguien obtiene tu frase semilla, podrán iniciar sesión en tu cuenta y hacerse de tus criptomonedas, y ahí está el interés de los estafadores.

Correo electrónico en el que te amenazan con bloquear tu cuenta

La estafa comienza con un correo electrónico masivo que explota uno de los trucos psicológicos favoritos de los cibercriminales: la intimidación. La amenaza es que si las víctimas no verifican con urgencia su cuenta de MetaMask, esta será suspendida.

Para que el mensaje parezca más convincente, los cibercriminales añaden el nombre y el logotipo de la empresa, e indican el servicio de soporte como remitente. Solo levanta sospechas al revisar con más detenimiento la dirección desde la que llega el correo electrónico.

Los estafadores piden a la víctima que verifique su cuenta

La primera señal de su falsedad es el error en el nombre de la empresa en la dirección de correo electrónico (metamasks en lugar de metamask). Otra alerta roja es el dominio, (la parte de la dirección después del símbolo @). Con frecuencia, las empresas respetables utilizan su nombre como el dominio, por ejemplo account-security-noreply@microsoft.com. Sin embargo, en este caso, el dominio no tiene ninguna relación con MetaMask. Por último, el .de indica que la dirección está registrada en Alemania, lo cual también es extraño, ya que MetaMask es una empresa estadounidense.

Para verificar la cuenta, los estafadores solicitan a la víctima que siga un enlace en el correo electrónico. Esto tampoco da confianza: el dominio incorrecto con palabras adicionales y los nombres de marcas extranjeras sugiere claramente que hay algo malo con el mensaje.

Ingresar la semilla

Si la víctima no logra detectar estas señales delatoras y aun así hace clic en el enlace, llega a una página de inicio de sesión falsa que se parece al sitio web de MetaMask.

Se le pide a la víctima que ingrese su frase semilla del monedero

Los estafadores le piden a la víctima que ingrese su frase semilla en el formulario, supuestamente para desbloquear el monedero. Si se convence al usuario y este ingresa la frase secreta, se le redirige al sitio real de MetaMask; sin embargo, su monedero ya está en manos de los cibercriminales.

Cómo proteger tu monedero

Los atacantes constantemente inventan nuevas y sofisticadas maneras de defraudar a los inversores de la criptomoneda. Sin embargo, la mayoría de las estafas tienen señales en común que las delatan. Y para protegerse contra los intrusos, usualmente es suficiente seguir estas sencillas reglas de seguridad:

  • Desconfía de los correos electrónicos y mensajes en los que se solicite pagos o que amenacen con bloquear tu cuenta, o, que por el contrario te ofrezcan ser parte de una estrategia para hacerte rico.
  • Pon atención a la dirección del remitente. Si el nombre de la empresa no está bien escrito, o si el dominio es nada más un conjunto de caracteres aleatorios, lo más seguro es que sea un estafa.
  • Sé extremadamente cuidadoso con tus datos y credenciales para acceder a tu cuenta y dinero. Aprende cómo funciona el sistema de seguridad del monedero de criptomoneda, qué información te podría solicitar el servicio de soporte, y qué es lo que no deberías compartir con nadie nunca.
  • Utiliza una solución de confianza con protección contra fraude en línea y phishing que te ayude a mantener tu dinero a salvo de todo tipo de estafas.
Consejos