Te invitamos a conocer cuáles son las amenazas más comunes entorno a los NFT, un criptoactivo cada vez más popular entre los usuarios tecnológicos.
Aunque en otro artículo hablaremos más en profundidad de la base tecnológica de los tokens NFT haciendo hincapié en los límites y alcances que esta tecnología promete, en esta ocasión hablaremos de los tipos de fraude más comunes entorno a estos criptoactivos para establecer algunos parámetros que nos permitan cuidarnos y operar con tranquilidad a la hora de utilizarlos.
Contexto sobre los NFT y los fraudes
Si bien podemos decir que el mundo de los tokens no fungibles, más conocidos como NFT por sus siglas en inglés o nifties, comienza aproximadamente en 2012 con la creación de Colored Coins, últimamente han comenzado a captar más la atención de los usuarios debido a la explosión que ha tenido esta tecnología en diversos segmentos como el arte, la creación de coleccionables relacionados con deportes o el segmento de videojuegos.
De hecho, varios videojuegos basados en blockchain están moviendo la economía alrededor del mundo, por lo que podemos asegurar que se trata de un mercado en ascenso en el cual crece también la cantidad de billeteras (wallets) activas, compradores, vendedores y los volúmenes de ventas. Es importante destacar que, en 2020, el mercado de NFT creció casi un 300% en comparación con 2019 y que actualmente las operaciones que involucran NFT superan los 300 millones de dólares en volumen de transacciones. Como era de esperarse, esta combinación de factores despertó el interés de cibercriminales, tal como ocurrió con las criptomonedas.
Ahora bien, lo cierto es que tanto para comprar, vender o almacenar un NFT se necesita una billetera digital. Mantener seguras estas billeteras y el uso de sus sistemas asociados es una de las cuestiones que genera más preocupación entorno a la protección de estos criptoactivos. Por ejemplo, en caso de que alguien intentara robar una obra de arte física, debería vulnerar la seguridad física del museo que aloje dicha obra, mientras que para robar un bien digital se requiere vulnerar la seguridad del sistema que lo aloje y aquellos que están involucrados a su alrededor. En este contexto, amenazas como el malware, el uso de técnicas de Ingeniería Social como el phishing y otras modalidades de engaño comienzan a ser más frecuentes debido al mayor interés de atacantes que buscan apropiarse o manipular estos criptoactivos.
Entorno a las estafas y fraudes que se han conocido en los últimos tiempos podemos señalar algunos ejemplos de artistas que han sufrido la copia sin permiso sus obras y se han vendido como NFT. Esto sucedió, por ejemplo, después de la muerte de la artista Qing Han en 2020, cuando un estafador asumió su identidad y varias de sus obras estuvieron disponibles para su compra como NFT. De manera similar, el año pasado un estafador logró comprometer el sitio oficial de Bansky y lanzó una subasta a través de una página que ya fue eliminada, mediante la cual logró vender un NFT supuestamente hecho por el artista a $336.000.
Entre otros delitos podemos destacar el “sleepminting” el cual es conocido como un proceso que también puede permitir que un estafador acuñe un NFT en la billetera de un artista y lo transfiera a su propia cuenta sin que el artista se dé cuenta. En el último tiempo han aparecido varios delitos entorno a estos criptoactivos. Los ciberdelincuentes aprovechan que el mercado de NFT no está regulado y que no cuenta con recursos legales para hacerle frente a tales delitos. Muchas obras de arte digitales robadas se venden de forma fraudulenta como NFT. Si bien hay incipientes estrategias de seguridad, como la que propuso Adobe a través de Photoshop con una funcionalidad para garantizar la atribución adecuada del arte NFT creando una base de datos del sistema de archivos interplanetario, sin dudas hay mucho por hacer, ya que las vulnerabilidades en los sistemas se renuevan día a día y, como es habitual en la seguridad, el eslabón más débil está en el comportamiento de los usuarios.
Si bien algunas de las estafas que acabamos de mencionar junto a otros fraudes como el rug pull y la suplantación de identidad o los perfiles falsos son los que más problemas generan en la comunidad NFT, a continuación, repasamos cuáles son las modalidades de estafa más comunes alrededor de los NFT y compartimos algunas recomendaciones acerca de cómo evitarlas y cómo mantenerse a salvo.
Más allá de las modalidades que mencionaremos a continuación, es importante tener presente que los actores maliciosos siempre están buscando nuevos métodos para cometer fraude, lo que nos obliga a mantenernos informados y alertas en todo momento.
Engaños a través de mensajes directos en Discord
Discord es muy atractivo para los cibercriminales y existen distintas modalidades de engaño a través de esta plataforma. En diciembre pasado delincuentes comprometieron el canal de Discord de Fractal, un Marketplace de juegos NFT, y engañaron a 373 usuarios robándoles de sus wallets aproximadamente 150 mil dólares en la criptomoneda Solana. De hecho, los engaños buscando robar acceso a cuentas de Discord son bastante frecuentes. Pero la realidad es que hay varias modalidades de estafas en Discord que los propietarios de NFT deberían conocer. Haciéndose pasar por amigos o utilizando cuentas comprometidas envían mensajes directos inventando una historia y/o se hacen pasar por un proyecto, una marca, un artista o un influencer de NFT.
Vale la pena recordar que Discord es una plataforma que está compuesta por servidores que reúnen a usuarios interesados en temas específicos. La plataforma permite enviar mensajes directos (DM) que permiten mantener conversaciones individuales y privadas con otros usuarios de la comunidad Discord y también permite enviar mensajes directos e iniciar chats de grupo independientemente del servidor en el que estés. Por esta misma razón, cuanto más expandas tu red de Discord, más invitaciones falsas recibirás. Por eso, los usuarios jamás deben hacer clic en enlaces de fuentes desconocidas, sin importar cuán legítimos se vean, o mensajes directos de “amigos” que piden dinero, o “anuncios” de proyectos NFT. Siempre debemos verificar. Si recibes un mensaje extraño de alguien que conoces asegúrate de que sea la persona que dice ser comprobando primero su identificador.
Perfiles falsos en redes sociales
Tanto en Twitter como en las demás redes sociales los usuarios deben aprender a convivir con perfiles falsos que intentarán hacernos caer en una trampa. Debemos acostumbrarnos a prestar atención ya que muchas veces copian información del perfil oficial. Por lo tanto, si no estás atento no identificarás que quizás la única diferencia puede llegar a ser solo una letra entre un perfil y otro.
En 2021 se detectó una campaña maliciosa que utilizaba bots de Twitter. Los criminales respondían de forma automática publicaciones que incluían ciertas palabras clave y que hacían referencia a un problema con algún criptoactivo. Al rato cibercriminales respondían haciéndose pasar por un representante de soporte y terminaban engañando a la víctima robando la frase de recuperación o seed phrase para obtener acceso a billeteras de criptomonedas.
Por otra parte, a través de cuentas falsas delincuentes puede intentar enviarte un mensaje fingiendo estar dispuesto a charlar o pidiendo ayuda y consejos sobre algo. Por lo general, si prestamos atención a ciertos elementos, como el número de seguidores, tweets copiados y pegados de identificadores reales, demasiados retweets de otras cuentas sin contenido original, nos daremos cuenta no son genuinas.
Sitios falsos que se hacen pasar por oficiales (phishing)
Es muy común la creación de sitios falsos que son copias muy parecidas de tiendas de NFT, billeteras digitales, etc. Estos falsos sitios pueden ser distribuidos a través de plataformas sociales como Discord, Twitter o incluso el correo electrónico.
Los sitios falsos suplantando la identidad de marcas legítimas han existido desde siempre y seguirán existiendo. Estas páginas pueden distribuirse desde cualquier plataforma social, ya sea Discord, Twitter, foros, correo electrónico, etc. Los sitios apócrifos pueden llegar a ser sorprendentemente similares a los oficiales, aunque con algunos cambios menores en la URL o en el diseño.
Por esta razón, siempre debemos observar minuciosamente los enlaces que recibimos por cualquier medio antes de hacer clic o en caso de que solicite información personal, como una seed phrase o una contraseña. Debemos recordar la regla de oro que dice que nunca debemos ingresar nuestra seed phrase fuera de nuestra billetera y siempre debemos prestar atención al dominio en el que estamos navegando.
Por otra parte, y de cara a la posible falsificación de NFT, si estamos buscando comprar criptoarte caro y muy demandado, vale la pena investigar un poco los antecedentes, especialmente si la obra de arte cuesta menos de lo que debería. Es importante investigar siempre si la dirección del contrato de la NFT es la real, observar quién vende el NFT, qué más ha vendido, y si el NFT también está disponible en otros mercados, ya que si se trata de una edición única no debería haber más de uno a la venta.
Imitadores de artistas o creadores
Si piensas comprar NFT recuerda hacerlo a artistas que sean verificados o que demuestren por su antigüedad o actividad que no han estado involucrados en nada sospechoso. Además del caso que mencionamos de Bansky, en el cual un estafador logró vender desde el sitio oficial del artista, también hubo otros casos de suplantación de identidad. Por ejemplo, cuando Tyler Hobbs, el artista detrás de la colección de arte generativo (Art Blocks) llamada Fidenza, denunció a la plataforma SolBlocks estar comercializando imitaciones de sus trabajos creadas utilizando su código sin su permiso. Otro caso fue el que afectó al artista Derek Laufman, cuando en Rarible, la plataforma para comprar y vender NFT, alguien creó una cuenta a su nombre que estaba incluso verificada y comenzó a vender su trabajo como NFT. La lista de artistas que fueron víctimas de cuentas y sitios que vendieron NFT de su trabajo sin el consentimiento del artista con varios. De hecho, varios artistas comenzaron a revisar en plataformas como OpenSea o Rarible si su trabajo estaba siendo acuñado sin su consentimiento.
Estafa Pump & Dump
Pump & Dump es un término en inglés que se podría traducir como “inflar y desechar”, que describe un modelo de estafa en la cual una persona o grupo de personas compra una gran cantidad de NFT (aunque puede ser token o criptomoneda) para generar un aumento en la demanda y de esta manera aumentar su valor.
Generalmente, quienes caen en el engaño son usuarios ingenuos que creen que el precio aumentará y que sienten que han encontrado una gran oportunidad. Muchas veces impulsados por influencers que los promocionan a través de sus redes sociales. Sin embargo, una vez que el valor de los NFT u otro activo sube, los estafadores se deshacen de todos sus activos y obtienen una ganancia significativa sobre estos, dejando a las víctimas con NFT sin valor y pérdidas masivas.
Para detectar una estafa de Pump & Dump se recomienda revisar el historial de transacciones, ya que si se trata de un proyecto genuino el abanico de compradores debe ser amplio y no solo unos pocos compradores que están vendiendo y revendiendo. Plataformas como OpenSea o cualquier otra plataforma de NFT permiten observar el número total de transacciones y quienes compraron la colección de NFT.
Estafa rug pull
Este tipo de estafas se dan en general en el mundo cripto y desde luego los NFT no se quedan afuera. Han sido varios los casos de estafas de rug pull en el último tiempo, y esto en parte se debe a que puede ser difícil detectarlos hasta que es demasiado tarde. Entre los casos más recientes aparece
Una de las estafas más populares son las ofertas falsas, conocida en inglés como Bidding Scams. En estos casos alguien subasta un NFT a un precio base para que los usuarios oferten por él, pero el estafador, sin que el vendedor lo sepa, cambia la criptomoneda con la cual realizan la compra por una que tiene un valor inferior.
Existen algunas variaciones del mismo fraude. En otros casos se ha visto que alguien pone a la venta un NFT a un precio, luego lo saca de la lista y vuelve a ponerlo en la lista, pero moviendo el decimal un lugar a la derecha. Como explica este usuario de
Se trata de un engaño en el cual estafadores crean perfiles falsos o suplantan la identidad de un coleccionista, un artista o creador de NFT. Las formas de abordar a las víctimas son variadas. Por ejemplo, los delincuentes pueden intentar contactar por mensaje directo a estos creadores para comprarles un NFT haciéndose pasar por alguien que en realidad no son, y antes