Volver al inicio

Cómo los estafadores roban criptomonedas a través de Zoom y Google

Análisis de un fraude avanzado en el que los atacantes utilizan ingeniería social y manipulación del proceso de autorización de Google para obtener acceso a cuentas y robar criptomonedas, incluso con la autenticación de dos factores habilitada. El artículo incluye un desglose técnico del mecanismo del ataque y recomendaciones prácticas de protección para profesionales de TI.

Fraude de cripto de próxima generación: cómo puedes ser engañado a través de una llamada empresarial
Advertisement 728x90

Ingeniería social contra inversores en cripto: cómo los estafadores usan Zoom y Google para robar fondos

Los estafadores de criptomonedas están constantemente perfeccionando sus tácticas, pasando de esquemas simples a ataques sofisticados basados en ingeniería social. Una de las técnicas más peligrosas e intrincadas no requiere hacking ni robo de contraseñas: manipula directamente al usuario para obtener acceso a sus cuentas. Un caso real que involucra a un profesional experimentado ilustra cómo una combinación de una historia creíble y un momento preciso conduce a pérdidas financieras, incluso con autenticación de dos factores (2FA) activada.

Mecanismo del ataque: Desde el primer contacto hasta el robo

El ataque comienza no con explotación técnica, sino con manipulación psicológica. Los estafadores estudian meticulosamente a su objetivo: examinan sus actividades profesionales, contactos públicos y posibles vulnerabilidades. En este caso, el objetivo fue identificado en un chat de cripto donde su perfil indicaba participación en marketing. Esto permitió crear una historia de fondo creíble.

Fases de interacción:

Google AdInline article slot
  • Contacto inicial: El estafador se hace pasar por asistente de un director real de una empresa, proporcionando detalles verificables (nombre de la empresa, sitio web con historial, proximidad geográfica).
  • Construcción de confianza: Se lleva a cabo un intercambio profesional prolongado, discutiendo detalles del proyecto, haciendo preguntas, compartiendo mensajes de voz, todo imitando un proceso estándar de contratación de un contratista.
  • Transición hacia la 'reunión decisiva': El estafador propone una llamada de Zoom con el 'director' para finalizar los términos. Él enfatiza la puntualidad, generando presión psicológica.

El momento clave es cuando se envía el enlace de Zoom exactamente a la hora programada. Es legítimo, pero la conferencia está configurada para requerir autenticación antes de unirse. Esto desencadena el mecanismo central del ataque.

Ejecución técnica: Manipulación del proceso de autenticación

Cuando el usuario intenta unirse a la reunión, Zoom solicita autenticación, por ejemplo, mediante Google. En ese momento exacto, el estafador en su dispositivo inicia sesión en la cuenta de Google del objetivo usando el correo conocido.

Google detecta el intento de inicio de sesión desde un dispositivo nuevo y envía una notificación push al teléfono del titular de la cuenta solicitando confirmación. El usuario, esperando unirse a una reunión empresarial crítica y viendo una solicitud de autenticación de Zoom, confirma naturalmente—sin darse cuenta de que está otorgando al estafador acceso simultáneo a su cuenta de Google.

Google AdInline article slot

Lo que ocurre tras la confirmación:

  • El estafador obtiene acceso total a la cuenta de Google del objetivo.
  • Dado que el dispositivo del usuario ya está registrado como confiable, el estafador también logra autenticarse correctamente en Zoom y se une a la reunión.
  • Ahora hay dos personas—el dueño real y el estafador—presentes simultáneamente en la cuenta, pero la víctima permanece ajena al hecho.

Durante la reunión de una hora, donde los estafadores (disfrazados de 'asistente' y 'director') realizan discusiones detalladas y realistas sobre negocios, un segundo estafador utiliza el acceso a la cuenta de Google para robar fondos.

Por qué la autenticación de dos factores (2FA) no ayuda

En este caso, el objetivo tenía 2FA habilitado en su exchange de criptomonedas mediante Google Authenticator. Aún así, esto no detuvo a los atacantes.

Google AdInline article slot

Vulnerabilidad crítica: Por defecto, Google Authenticator sincroniza las claves secretas (semillas) a través de la cuenta de Google del usuario. Cuando el estafador obtiene acceso a la cuenta principal de Google, automáticamente accede a estas claves de 2FA sincronizadas. Como resultado, todas las tokens protegidas por Authenticator quedan vulnerables.

Google no comunica claramente este riesgo a usuarios promedio. La configuración de sincronización suele estar activada por defecto o se describe en la documentación sin destacar las amenazas de seguridad asociadas.

Medidas prácticas de protección para especialistas técnicos

Para desarrolladores e ingenieros de TI que trabajan con criptomonedas o gestionan cuentas críticas, acciones técnicas específicas son esenciales para reducir el riesgo de estos ataques.

Lista de ajustes y prácticas necesarias:

  • Desactivar la sincronización en Google Authenticator: En la configuración de la app, desactive explícitamente la función que sincroniza claves a través de la cuenta de Google. Esto evita la compromisión de claves si la cuenta principal es violada.
  • Usar soluciones independientes de 2FA: Considere cambiar a soluciones independientes como YubiKey o apps de autenticación que no sincronicen datos a través de servicios en la nube (por ejemplo, Authy con sincronización desactivada o Aegis).
  • Configurar límites y retrasos en el exchange: En exchanges de criptomonedas, siempre habilite:

* Retiros solo a direcciones previamente aprobadas en una 'lista blanca' (libreta de direcciones).

* Un retraso (por ejemplo, 24 horas) para el primer retiro a cualquier nueva dirección agregada a la lista.

  • Verificación crítica de notificaciones push: Nunca confirme solicitudes de inicio de sesión o autorización sin verificar el contexto. Si no espera iniciar sesión en un servicio específico en este momento, ignore o rechace la solicitud.
  • Separación de cuentas: No use un correo principal (especialmente uno público) para iniciar sesión en todos los servicios críticos como exchanges, bancos o almacenamiento en la nube. Cree cuentas separadas para operaciones de alto riesgo.

Conclusiones clave del caso

  • La ingeniería social es el vector principal. Los ataques más peligrosos de hoy dependen de manipular el comportamiento humano, no de explotar fallas técnicas.
  • La sincronización de 2FA es una amenaza oculta. Usar Google Authenticator con sincronización activada a través de la cuenta de Google crea un punto único de compromiso.
  • El tiempo es una herramienta del estafador. La coordinación hábil de acciones (enviar el enlace, iniciar la reunión, activar la solicitud de autenticación) crea un contexto lógico en el que la víctima concede acceso sin darse cuenta.
  • La distracción forma parte del plan. Interacciones largas y realistas (llamadas, mensajes) se utilizan para impedir que el titular de la cuenta note actividad paralela en sus servicios (alertas de inicio de sesión, cambios de configuración).
  • La información pública es fuente de selección. Los estafadores analizan perfiles públicos en redes profesionales y chats para identificar objetivos y construir historias personalizadas.

Este ataque demuestra la evolución de las amenazas: los estafadores ahora invierten tiempo en elaborar escenarios complejos y multietapa que evitan las defensas técnicas tradicionales. La respuesta debe ir más allá de la configuración del sistema: requiere una mayor conciencia sobre la manipulación psicológica y una reevaluación de la arquitectura de seguridad personal de las cuentas, especialmente para quienes manejan activos digitales.

— Editorial Team

Advertisement 728x90

Leer después