La reciente vulneración de una billetera Ethereum fuera de línea ha causado la sustracción de 1.500 millones de dólares de la plataforma de intercambio Bybit. Este ataque representa un cambio en la ciberdelincuencia dentro del ecosistema cripto, porque los atacantes, en lugar de explotar vulnerabilidades en el código, ahora manipulan debilidades humanas mediante ingeniería social y la alteración de interfaces de usuario (UI).
La detección de un preocupante aumento de los ataques destinados a plataformas de criptomonedas marca un cambio significativo en las tácticas de los ciberdelincuentes. Un estudio de Check Point Research revela que el ataque a Bybit no es un incidente aislado, sino parte de una tendencia creciente en la que los atacantes explotan la función execTransaction del protocolo Safe para realizar ataques sofisticados. En julio de 2024, el sistema de inteligencia de amenazas de Check Point Software ya había identificado este patrón. El ataque a Bybit confirma la evolución de estas tácticas hasta convertirse en una amenaza generalizada para toda la industria.
Un nuevo paradigma en la seguridad de criptomonedas
Los ciberdelincuentes utilizaron métodos innovadores para engañar a los firmantes de una cartera fría con múltiples firmas (multisig) y aprobar transacciones fraudulentas. Entre las principales tácticas se incluyen:
- Ingeniería social. Identificación de empleados de Bybit con capacidad para firmar transacciones.
- Manipulación de UI. Uso de interfaces falsas para ocultar transacciones maliciosas.
- Explotación lógica: Empleo de indicaciones engañosas para evadir las medidas de seguridad.
Lecciones que se pueden sacar de estos ciberataques
Check Point Research estima que estos cambios de estrategia deben llevar a conclusiones:
- Las carteras frías ya no son infalibles. Incluso los monederos Ethereum fuera de línea pueden ser vulneradas mediante la manipulación de la UI.
- Las firmas múltiples (multisig) pueden ser explotadas. Los atacantes utilizaron la función execTransaction del protocolo Safe, un vector de ataque que Check Point Research había alertado en julio de 2024.
- Es necesaria una seguridad más robusta. La industria cripto debe adoptar monitoreo en tiempo real de transacciones y análisis de comportamiento para detectar fraudes antes de que los fondos sean robados.
Consejos de prevención para empresas
Check Point Research recomienda la adopción de estrategias de seguridad avanzadas para limitar riesgos:
- Medidas de seguridad integrales. Las empresas que poseen activos criptográficos significativos deben integrar productos de seguridad tradicionales, como prevención de amenazas en endpoints y seguridad del correo electrónico, para evitar que el malware infecte máquinas sensibles y se propague por toda la compañía. Resulta crucial para protegerse contra ataques sofisticados que explotan vulnerabilidades humanas y manipulación de la interfaz de usuario.
- Prevención en tiempo real. La industria necesita un cambio de paradigma, pasando de mejoras de seguridad incrementales a prevención en tiempo real. Así como las redes corporativas y la nube utilizan firewalls para inspeccionar cada paquete, Web3 requiere inspección en tiempo real de cada transacción para garantizar la seguridad. Este enfoque puede prevenir actividades maliciosas antes de provocar daños.
- Implementar seguridad de Zero Trust. Cada dispositivo de los responsables de firma debe ser tratado como potencialmente comprometido. Se deben usar dispositivos de firma dedicados y aislados del resto de la red (air-gapped) para la aprobación de transacciones multisig. Y también requerir que los responsables de firma verifiquen los detalles de la transacción a través de un segundo canal independiente.