Cómo se usan los canales de Telegram para robar criptomonedas

Las criptomonedas, como Bitcoin, Ethereum y Ripple XRP, son una perita en dulce para los ciberdelincuentes y hackers. Al fin y al cabo significan dinero. De hecho, grupos importantes dedicados a este tipo de ataques sofistican con el tiempo sus métodos para hacerse con más monedas virtuales.

Y, según apuntan expertos como los de Kaspersky, ahora también usan redes sociales como Telegram para aumentar sus botines. En concreto, el grupo Lazarus --uno de los más activos en este sentido-- usa este modus operandi.

Las redes sociales como vía de ataque

Pero ¿cómo funciona el robo de criptomonedas vía Telegram? Según Edgar Carrillo, jefe de seguridad cibernética de Active Business & Technology, el método consiste en crear un canal falso en Telegram e invitar a gente a participar en el mismo. Las invitaciones, por supuesto, les llegan a usuarios y empresas que tienen y operan con criptomonedas. Después, a través de este canal, se distribuye malware. “Lo que hacen es modificar la dirección de blockchain de cada uno de los invitados por la dirección de los hackers. Así, las transacciones realizadas en lugar de ir al billetero electrónico legítimo de cada usuario, van a parar al monedero virtual de los atacantes”, detalla Carrillo.

Los hackers se han metido en Telegram porque, según estos mismos expertos, se trata de una red social con una gran comunidad de apasionados a las criptomonedas. “Además, es bastante más segura, en cuanto a privacidad, que cualquier otra red o sistema de mensajería instantánea como WhatsApp”, añade Carrillo.

Una persona utilizando Telegram. /Creative Commons

Otros métodos

Pero esta no es la única vía para hacerse con el dinero virtual de otros. Estos grupos también suelen añadir y filtrar --vía Telegram y otros canales-- su código malicioso directamente en algunas apps que parecen legítimas, pero que están infectadas. De esta manera, al descargarlas e instalarlas en un dispositivo, los datos del usuario, incluyendo también las criptomonedas, quedan al descubierto.

“Otro vector de entrada para robar criptomonedas es el spearphishing, que se basa en enviar un email a las personas que usan bitcoins y otro tipo de divisas similares con un documento adjunto que contiene malware”, explica Dani Creus, analista de Kaspersky. El grupo Lazarus, en concreto, incluso ha realizado ataques directos a determinadas compañías o negocios. De hecho, ha sido capaz de atacar a Sony Pictures Entertainment, al banco de Bangladesh y robar millones de dólares en criptomonedas de varias casas de cambio de todo el mundo.

¿Qué hacen con las criptomonedas robadas?

Una vez los ciberdelincuentes se han hecho con un buen trofeo, el siguiente paso es intentar evitar el rastro de este dinero virtual. “Lo habitual es que realicen transferencias a diferentes cuentas bancarias y movimientos muy numerosos para imposibilitar su seguimiento y evitar la trazabilidad”, detalla Creus.

Por otro lado, recuerda este analista, también existe una especie de “mercado clandestino” para cibercriminales con el fin de mover el dinero entre distintas cuentas a cambio de una comisión. Incluso hay personas, algunas sin saberlo, que hacen de “mulas” y ayudan a esta infraestructura delictiva con transferencias que creen legales, pero que no lo son. Y, para más inri, a estos ciberdelincuentes no les importa el país ni el mercado, sólo el dinero. Así, cualquier ciudad y lugar del mundo es vulnerable a sufrir uno de estos ataques.