El cierre del año 2023 marcó un hito significativo para Chainalysis, la plataforma líder en datos de blockchain, al revelar los hallazgos de su estudio sobre estafas perpetradas a través de phishing durante el último año.
Este método, en el que los estafadores logran que sus víctimas autoricen transacciones en blockchain para el gasto de tokens específicos dentro de sus carteras, resultó en robos de al menos 374 millones de dólares a lo largo de 2023. Aunque esta suma es notable, representa una disminución del 27% en comparación con los u$s516,8 millones sustraídos en 2022 mediante este tipo de estafa.
Los analistas de Chainalysis atribuyen el éxito del phishing a la dinámica de muchas aplicaciones descentralizadas (dApps) en blockchains habilitadas para contratos inteligentes, como Ethereum. Estas aplicaciones requieren que los usuarios autoricen movimientos de fondos desde sus direcciones hacia los contratos inteligentes de las dApps. Eric Jardine, líder de Investigación en Ciberdelitos de Chainalysis, explicó: “A pesar de que las autorizaciones para proteger las dApps suelen ser seguras, los delincuentes se aprovechan de la familiaridad de los usuarios con la aprobación de transacciones. La clave radica en qué tipo de autorizaciones se conceden y la fiabilidad de la parte que recibe esa autorización”.
El estudio también señala que estos criminales están dirigiéndose cada vez más a víctimas específicas, estableciendo conexiones y empleando tácticas asociadas con estafas románticas para persuadir a las personas a autorizar transacciones. Esta tendencia suscita preocupación debido al posible aumento en el monto de fondos estafados, que podría exceder los 1u$s.000 millones detectados por Chainalysis desde mayo de 2021. Las estafas románticas suelen ser personalizadas, difíciles de rastrear en la cadena de bloques y con baja tasa de denuncias.
Asimismo, al igual que otros delitos relacionados con criptomonedas, la mayoría de los robos mediante phishing son perpetrados por grupos específicos con un éxito considerable. De las 1.013 direcciones identificadas por Chainalysis en este tipo de estafa, una dirección en particular posiblemente logró sustraer u$s44,3 millones de miles de direcciones de víctimas, representando el 4,4% del total. Las diez direcciones de phishing más relevantes acumularon el 15,9% del valor robado, mientras que las 73 direcciones principales constituyen la mitad de lo sustraído en el período analizado.
En cuanto a posibles soluciones, Chainalysis resalta la necesidad de educar a los usuarios y emplear técnicas de detección de patrones. Jardine mencionó: “Dado que estos estafadores usualmente retiran el dinero a través de intercambios centralizados, los equipos de cumplimiento de estos proveedores podrían monitorear el blockchain en busca de carteras de consolidación de phishing sospechosas, con conexiones fuertes a las direcciones de destino. Esto les permitiría detectar en tiempo real la llegada de fondos a su plataforma y tomar medidas, como congelar los fondos o notificar a las autoridades”.
«En términos generales, la industria debe enfocarse en educar a los usuarios para que no autoricen transacciones, a menos que confíen plenamente en la persona o entidad involucrada, o comprendan el alcance de acceso que están otorgando», concluyó Jardine.