Lavado de ojos dirigido a usuarios de una plataforma de intercambio, genera un amplio seguimiento

En los últimos años, los ataques de ingeniería social en el ámbito de los activos criptográficos se han convertido en una grave amenaza para la seguridad de los fondos de los usuarios. Desde 2025, han surgido continuamente incidentes de fraude de ingeniería social dirigidos a los usuarios de una plataforma de intercambio conocida, lo que ha suscitado un amplio debate en la comunidad. Estos incidentes no son casos aislados, sino que presentan características de continuidad y organización.

El 15 de mayo, la plataforma de intercambio publicó un anuncio confirmando las especulaciones anteriores sobre la existencia de "traidores" dentro de la plataforma. El Departamento de Justicia de EE. UU. ha iniciado una investigación sobre este incidente de filtración de datos.

Este artículo revelará los principales métodos de operación de los estafadores mediante la recopilación de información proporcionada por varios investigadores de seguridad y víctimas, y explorará las estrategias de respuesta desde las perspectivas de la plataforma y del usuario.

Análisis histórico

El detective en la cadena Zach señaló en la actualización del 7 de mayo: "Solo en la última semana, se han robado más de 45 millones de dólares de los usuarios de esta plataforma debido a Lavado de ojos."

En el último año, Zach ha revelado en múltiples ocasiones incidentes de robo de usuarios en la plataforma, con pérdidas individuales de hasta decenas de millones de dólares. Una investigación detallada que publicó en febrero de 2025 muestra que, solo entre diciembre de 2024 y enero de 2025, las pérdidas de fondos causadas por estos Lavado de ojos ya superaron los 65 millones de dólares. La plataforma enfrenta una grave crisis de "fraude social", que continúa afectando la seguridad de los activos de los usuarios con un volumen anual de 300 millones de dólares.

Zach también señaló:

• Los grupos que lideran este tipo de Lavado de ojos se dividen principalmente en dos categorías: una es de atacantes de bajo nivel de círculos específicos, y la otra son organizaciones de delincuencia cibernética ubicadas en India;
• Los grupos de fraude tienen como objetivo principal a los usuarios estadounidenses, con métodos de operación estandarizados y un proceso de conversación maduro;
• La cantidad de pérdidas reales puede ser mucho mayor que las estadísticas visibles, ya que no incluye información no pública, como tickets de servicio al cliente y registros de denuncias policiales que no se pueden obtener.

Lavado de ojos

En este evento, el sistema técnico de la plataforma no fue vulnerado, los estafadores utilizaron los permisos de un empleado interno para obtener parte de la información sensible de los usuarios. Esta información incluye: nombre, dirección, información de contacto, datos de cuenta, fotos de identificación, etc. El objetivo final de los estafadores es utilizar métodos de ingeniería social para guiar a los usuarios a realizar transferencias.

Este tipo de ataque ha cambiado el tradicional método de pesca "en red" por un "ataque preciso", considerado un fraude de ingeniería social "a medida". La ruta típica del delito es la siguiente:

1. Suplantar el servicio de atención al cliente oficial para contactar a los usuarios

Los estafadores utilizan sistemas telefónicos falsificados para hacerse pasar por el servicio al cliente de la plataforma, afirmando que la "cuenta del usuario ha sido objeto de un inicio de sesión ilegal" o que se ha "detectado una anomalía en el retiro", creando un ambiente de urgencia. Luego envían correos electrónicos de phishing o mensajes de texto falsificados, que incluyen un número de orden falso o un enlace al "proceso de recuperación", dirigiendo a los usuarios a que actúen. Estos enlaces pueden apuntar a interfaces clonadas de la plataforma, e incluso pueden enviar correos electrónicos que parecen provenir de un dominio oficial, algunos de los cuales utilizan técnicas de redireccionamiento para eludir la protección de seguridad.

2. Inducir a los usuarios a descargar una billetera autohospedada

Los estafadores utilizan el pretexto de "proteger los activos" para guiar a los usuarios a transferir fondos a una "billetera segura", ayudan a los usuarios a instalar una billetera autogestionada y les indican que transfieran los activos que originalmente estaban bajo custodia en la plataforma a la nueva billetera creada.

3. Proporcionar palabras mnemotécnicas falsas

A diferencia de la "Lavado de ojos" tradicional de "obtener palabras clave", los estafadores proporcionan directamente un conjunto de palabras clave generadas por ellos mismos, induciendo a los usuarios a utilizarlas como "plataforma oficial nueva".

4. Robar fondos

Las víctimas, en un estado de tensión, ansiedad y confianza en el "servicio al cliente", son fácilmente atrapadas en la trampa. Creen que la nueva billetera "proporcionada oficialmente" es más segura que la antigua billetera "sospechosamente comprometida". Una vez que los fondos se transfieren a esta nueva billetera, los estafadores pueden retirarlos de inmediato.

Además, algunos correos electrónicos de phishing afirman que "debido a la decisión de una demanda colectiva, la plataforma se trasladará completamente a carteras autogestionadas" y piden a los usuarios que completen la migración de activos en un corto período de tiempo. Los usuarios, bajo la presión del tiempo y la sugestión psicológica de "instrucciones oficiales", son más propensos a cooperar con la operación.

Según los investigadores de seguridad, estos ataques a menudo se planifican e implementan de manera organizada:

• Herramientas de fraude mejoradas: los estafadores utilizan sistemas PBX para falsificar números de llamada y simular llamadas de atención al cliente oficiales. Al enviar correos electrónicos de phishing, utilizan herramientas específicas para suplantar correos electrónicos oficiales, acompañados de una "guía de recuperación de cuenta" que guía a la transferencia.
• Objetivo preciso: Lavado de ojos se basa en los datos de usuarios robados adquiridos a través de canales ilegales, enfocándose en usuarios de áreas específicas como objetivo principal, e incluso puede utilizar herramientas de IA para procesar los datos robados, segmentar y reorganizar números de teléfono, generar archivos en masa y luego enviar mensajes de texto fraudulentos a través de software de explosión.
• Flujo de engaño coherente: desde llamadas telefónicas, mensajes de texto hasta correos electrónicos, las rutas de fraude suelen ser coherentes y sin interrupciones. Las frases de phishing comunes incluyen "la cuenta ha recibido una solicitud de retiro", "la contraseña ha sido restablecida", "la cuenta ha tenido un inicio de sesión anómalo", etc., induciendo continuamente a las víctimas a realizar una "verificación de seguridad" hasta completar la transferencia de la billetera.

Análisis en cadena

A través del sistema de análisis de lavado de dinero y seguimiento en cadena, se realizó un análisis de algunas direcciones de estafadores conocidos y se descubrió que estos estafadores tienen una fuerte capacidad de operación en cadena, cuyas características principales son las siguientes:

• Los objetivos de ataque abarcan diversos activos, con un período de actividad concentrado entre diciembre de 2024 y mayo de 2025, siendo los activos principales BTC y ETH. BTC es actualmente el objetivo de fraude más importante, con múltiples direcciones que obtienen beneficios de cientos de BTC de una sola vez, con un valor individual de varios millones de dólares.

• Una vez obtenidos los fondos, los estafadores utilizan rápidamente un proceso de lavado para intercambiar y transferir los activos, el modelo principal es el siguiente:

  • Los activos de tipo ETH a menudo se intercambian rápidamente por stablecoins a través de un DEX, y luego se transfieren de manera descentralizada a varias nuevas direcciones, con algunos activos ingresando a plataformas centralizadas.

  • BTC se transfiere principalmente a Ethereum a través de un puente entre cadenas, y luego se intercambia por una moneda estable para evitar riesgos de seguimiento.

• Varias direcciones de Lavado de ojos permanecen en estado de "reposo" después de recibir stablecoins y aún no han sido transferidas.

Para evitar el riesgo de que los activos se congelen debido a la interacción con direcciones sospechosas, se recomienda a los usuarios utilizar herramientas de análisis en la cadena para realizar una detección de riesgos en la dirección objetivo antes de realizar transacciones, con el fin de eludir amenazas potenciales.

Medidas de respuesta

plataforma

Los métodos de seguridad más comunes actualmente son más bien defensas a nivel "técnico", mientras que el fraude de ingeniería social a menudo elude estos mecanismos, atacando directamente las vulnerabilidades psicológicas y conductuales de los usuarios. Por lo tanto, se sugiere que la plataforma integre la educación del usuario, el entrenamiento en seguridad y el diseño de usabilidad, estableciendo una línea de defensa de seguridad "orientada a las personas".

• Envío periódico de contenido educativo sobre fraudes: a través de ventanas emergentes de la App, interfaces de confirmación de transacciones, correos electrónicos y otros medios para mejorar la capacidad de los usuarios para prevenir el phishing;

• Optimizar el modelo de gestión de riesgos e introducir "identificación de comportamientos anómalos interactivos": la mayoría de las estafas de ingeniería social inducen a los usuarios a completar una serie de operaciones en un corto período de tiempo. La plataforma debe identificar combinaciones de interacción sospechosas basadas en el modelo de cadena de comportamiento, activando un período de enfriamiento o un mecanismo de revisión manual.

• Normar los canales de atención al cliente y los mecanismos de verificación: los estafadores a menudo se hacen pasar por atención al cliente para confundir a los usuarios, la plataforma debe unificar plantillas de llamadas, mensajes de texto y correos electrónicos, y proporcionar un "portal de verificación de atención al cliente", aclarando el único canal de comunicación oficial para evitar confusiones.

usuario

• Implementar una estrategia de aislamiento de identidad: evitar que múltiples plataformas compartan el mismo correo electrónico o número de teléfono, reducir el riesgo de responsabilidad conjunta, se pueden utilizar herramientas de verificación de filtraciones para revisar periódicamente si el correo electrónico ha sido filtrado.

• Activar la lista blanca de transferencias y el mecanismo de enfriamiento de retiros: establecer direcciones confiables por adelantado, reducir el riesgo de pérdida de fondos en situaciones de emergencia.

• seguir las noticias de seguridad: a través de empresas de seguridad, medios de comunicación, plataformas de intercambio y otros canales, conocer las últimas dinámicas de las técnicas de ataque y mantener la alerta. Actualmente, varias instituciones de seguridad están desarrollando una plataforma de simulación de phishing Web3, que simulará varios métodos de phishing típicos, permitiendo a los usuarios mejorar su capacidad de identificación y respuesta en un entorno sin riesgos.

• Presta atención a los riesgos fuera de línea y a la protección de la privacidad: la filtración de información personal también puede provocar problemas de seguridad personal.

Desde principios de este año, los profesionales/usuarios de criptomonedas han enfrentado múltiples incidentes que amenazan su seguridad personal. Dado que los datos filtrados contienen información personal detallada, los usuarios relacionados también deben estar alerta y prestar atención a su seguridad en el mundo físico.

En resumen, mantén la duda y verifica continuamente. En cualquier operación urgente, asegúrate de exigir a la otra parte que se identifique y verifica de manera independiente a través de canales oficiales, evitando tomar decisiones irreversibles bajo presión.

Resumen

Este incidente ha expuesto nuevamente que, frente a las técnicas de ataque de ingeniería social cada vez más sofisticadas, la industria aún presenta deficiencias evidentes en la protección de datos de clientes y activos. Es alarmante que, incluso si los puestos relevantes en la plataforma no tienen autoridad sobre los fondos, la falta de conciencia y capacidad de seguridad suficiente también puede resultar en consecuencias graves debido a filtraciones involuntarias o a ser cooptados. A medida que la plataforma continúa expandiéndose, la complejidad del control de seguridad del personal también aumenta, convirtiéndose en uno de los riesgos más difíciles de abordar en la industria. Por lo tanto, mientras la plataforma refuerza los mecanismos de seguridad en la cadena, también debe construir de manera sistemática un "sistema de defensa contra la ingeniería social" que cubra tanto al personal interno como a los servicios subcontratados, integrando el riesgo humano en la estrategia de seguridad general.

Además, una vez que se descubra que el ataque no es un evento aislado, sino una amenaza continua organizada y a gran escala, la plataforma debe responder de inmediato, inspeccionar proactivamente posibles vulnerabilidades, alertar a los usuarios para que tomen precauciones y controlar el alcance del daño. Solo con una respuesta dual en los niveles técnico y organizativo se puede realmente mantener la confianza y las líneas rojas en un entorno de seguridad cada vez más complejo.