Los ataques de ingeniería social apuntan a la plataforma de intercambio, con pérdidas anuales de 300 millones de dólares. Análisis completo de las medidas de respuesta.
Los ataques de ingeniería social se han convertido en una amenaza significativa para la seguridad del activo encriptación.
En los últimos años, los ataques de ingeniería social dirigidos a los usuarios de activos encriptados han aumentado considerablemente, convirtiéndose en uno de los principales métodos que amenazan la seguridad de los fondos de los usuarios. Desde 2025, han ocurrido con frecuencia incidentes de fraude por ingeniería social dirigidos a los usuarios de una conocida plataforma de intercambio, lo que ha suscitado una amplia atención en la industria. Según las discusiones en la comunidad, este tipo de incidentes no son casos aislados, sino un nuevo tipo de estafa con características de continuidad y organización.
El 15 de mayo, la plataforma de intercambio publicó un anuncio que confirmó las especulaciones anteriores sobre la existencia de "gente interna" dentro de la plataforma. Se informa que el Departamento de Justicia de EE. UU. ha iniciado una investigación sobre este incidente de filtración de datos.
Este artículo revelará los principales métodos de operación de los estafadores al organizar la información proporcionada por varios investigadores de seguridad y víctimas, y explorará las estrategias de respuesta desde las perspectivas de la plataforma y del usuario.
Análisis histórico
"Solo en la última semana, más de 45 millones de dólares han sido robados a usuarios de una plataforma debido a fraudes de ingeniería social", escribió el detective en cadena Zach en su actualización de redes sociales del 7 de mayo.
En el último año, Zach ha revelado en múltiples ocasiones que los usuarios de la plataforma han sido víctimas de robos, con algunas víctimas perdiendo hasta decenas de millones de dólares. Su investigación detallada publicada en febrero de 2025 muestra que entre diciembre de 2024 y enero de 2025, las pérdidas de fondos causadas por este tipo de estafas ya superaban los 65 millones de dólares. La plataforma se enfrenta a una grave crisis de "fraude social", ataques de este tipo que continúan comprometiendo la seguridad del activo de los usuarios a un ritmo anual de 300 millones de dólares. Zach también señaló:
Las bandas que lideran este tipo de estafas se dividen principalmente en dos categorías: una es de atacantes de bajo nivel de círculos específicos, y la otra son organizaciones de ciberdelincuencia ubicadas en India;
Los grupos de estafa tienen como objetivo principal a los usuarios estadounidenses, con métodos de operación estandarizados y un proceso de discurso maduro;
La cantidad de pérdida real puede ser mucho mayor que las estadísticas visibles en la cadena, ya que no incluye información no pública como los tickets de servicio al cliente y los registros de denuncias policiales que no se pueden obtener.
Métodos de fraude
En este incidente, el sistema técnico de la plataforma no fue comprometido, los estafadores utilizaron los permisos de empleados internos para obtener parte de la información sensible de los usuarios. Esta información incluye: nombre, dirección, información de contacto, datos de la cuenta, fotos de la identificación, etc. El objetivo final de los estafadores es utilizar técnicas de ingeniería social para guiar a los usuarios a realizar transferencias.
Este tipo de ataque ha cambiado el enfoque tradicional de "phishing masivo" hacia un "ataque de precisión", considerado un fraude social "personalizado". La ruta típica del delito es la siguiente:
1. Contactar a los usuarios en calidad de "servicio al cliente oficial"
Los estafadores utilizan un sistema telefónico falso (PBX) para hacerse pasar por el servicio de atención al cliente de la plataforma, llamando a los usuarios y diciendo que su "cuenta ha sufrido un inicio de sesión ilegal" o "se ha detectado una anomalia en el retiro", creando un ambiente de urgencia. Luego envían correos electrónicos o mensajes de texto de phishing que parecen reales, que incluyen un número de orden falso o un enlace de "proceso de recuperación", guiando a los usuarios a realizar acciones. Estos enlaces pueden dirigir a interfaces clonadas de la plataforma, e incluso pueden enviar correos que parecen provenir de un dominio oficial, algunos correos utilizan técnicas de redirección para eludir la protección de seguridad.
2. Guiar a los usuarios para descargar una billetera autogestionada
Los estafadores utilizan el pretexto de "proteger el activo" para guiar a los usuarios a transferir fondos a una "billetera segura", ayudando a los usuarios a instalar una billetera de autocustodia y orientándolos para que transfieran los activos que originalmente estaban custodiados en la plataforma a la billetera recién creada.
3. Inducir a los usuarios a usar las frases mnemotécnicas proporcionadas por los estafadores
A diferencia de los tradicionales "engaños para obtener frases mnemotécnicas", los estafadores proporcionan directamente un conjunto de frases mnemotécnicas que ellos mismos generan, induciendo a los usuarios a utilizarlas como un "nuevo monedero oficial".
4. Los estafadores realizan el robo de fondos
Las víctimas, en un estado de tensión, ansiedad y confianza en el "servicio al cliente", son muy propensas a caer en la trampa. Desde su perspectiva, una nueva billetera "proporcionada por oficiales" es naturalmente más segura que la antigua billetera que "parece haber sido hackeada". El resultado es que, una vez que los fondos se transfieren a esta nueva billetera, los estafadores pueden transferirlos inmediatamente. Esto valida una vez más de manera contundente la idea de "No tienes las claves, no tienes las monedas".
Además, algunos correos electrónicos de phishing afirman que "debido a una decisión de demanda colectiva, la plataforma se trasladará completamente a una billetera autogestionada", y exigen a los usuarios que completen la migración de activos en un corto período de tiempo. Bajo la presión del tiempo y la sugestión psicológica de "instrucciones oficiales", los usuarios son más propensos a cooperar con la operación.
Según los investigadores de seguridad, estos ataques suelen ser planeados y ejecutados de manera organizada:
Cadena de herramientas de fraude mejorada: los estafadores utilizan sistemas PBX para falsificar números de llamada y simular llamadas de servicio al cliente oficiales. Al enviar correos electrónicos de phishing, se aprovechan de bots en redes sociales para suplantar correos electrónicos oficiales, acompañados de una "guía de recuperación de cuentas" que guía a la transferencia.
Objetivo preciso: Los estafadores se basan en datos de usuarios robados comprados a través de canales de redes sociales y la dark web, enfocándose en usuarios de áreas específicas como su principal objetivo. Incluso pueden utilizar IA para procesar los datos robados, dividir y reorganizar números de teléfono, generar archivos TXT en masa y luego enviar mensajes de texto fraudulentos a través de software de fuerza bruta.
Proceso de engaño coherente: desde llamadas telefónicas, mensajes de texto hasta correos electrónicos, la ruta de la estafa suele ser fluida. Las frases de phishing comunes incluyen "la cuenta ha recibido una solicitud de retiro", "la contraseña ha sido restablecida", "la cuenta presenta un inicio de sesión anómalo", etc., induciendo continuamente a la víctima a realizar "verificación de seguridad" hasta completar la transferencia de la billetera.
Análisis del flujo de fondos en la cadena
A través del sistema de análisis de lavado de dinero y seguimiento en la cadena, se analizaron algunas direcciones de estafadores y se descubrió que estos estafadores tienen una fuerte capacidad de operación en la cadena. A continuación se presentan algunas informaciones clave:
Los objetivos de ataque de los estafadores cubren múltiples activos que poseen los usuarios de la plataforma, y el tiempo de actividad de estas direcciones se concentra entre diciembre de 2024 y mayo de 2025. Los activos objetivo son principalmente BTC y ETH. BTC es actualmente el principal objetivo de las estafas, con múltiples direcciones que obtienen ganancias de cientos de BTC de una sola vez, con un valor unitario de varios millones de dólares.
Después de obtener los fondos, los estafadores utilizan rápidamente un proceso de lavado para intercambiar y transferir los activos, el modelo principal es el siguiente:
Los activos de tipo ETH a menudo se intercambian rápidamente a DAI o USDT a través de un DEX, y luego se distribuyen a múltiples nuevas direcciones, con algunos activos ingresando a plataformas de intercambio centralizadas;
BTC se transfiere principalmente a través de un puente cruzado a Ethereum, y luego se intercambia por DAI o USDT, evitando así el riesgo de seguimiento.
Varios direcciones de estafa permanecen en estado de "reposo" después de recibir DAI o USDT, y aún no han sido transferidas.
Para evitar la interacción de su dirección con direcciones sospechosas y así enfrentar el riesgo de que los activos sean congelados, se recomienda a los usuarios que utilicen un sistema de detección de riesgos de lavado de dinero y rastreo en la cadena antes de realizar transacciones, para evitar efectivamente amenazas potenciales.
Medidas de respuesta
plataforma
Los métodos de seguridad más comunes en la actualidad son más bien defensas a nivel "tecnológico", mientras que las estafas de ingeniería social a menudo eluden estos mecanismos, golpeando directamente las vulnerabilidades psicológicas y de comportamiento de los usuarios. Por lo tanto, se recomienda que las plataformas integren la educación del usuario, el entrenamiento en seguridad y el diseño de usabilidad, estableciendo así una línea de defensa de seguridad "orientada a las personas".
Envío periódico de contenido de educación contra el fraude: mejorar la capacidad de los usuarios para prevenir el phishing a través de ventanas emergentes de la aplicación, la interfaz de confirmación de transacciones, correos electrónicos y otros medios;
Optimización del modelo de control de riesgos, introducción de "identificación interactiva de comportamientos anómalos": la mayoría de las estafas de ingeniería social inducen a los usuarios a completar una serie de operaciones en un corto período de tiempo (como transferencias, cambios en la lista blanca, enlace de dispositivos, etc.). La plataforma debe identificar combinaciones interactivas sospechosas basadas en el modelo de cadena de comportamiento (como "interacción frecuente + nueva dirección + retiro de gran cantidad"), activando un período de reflexión o un mecanismo de revisión manual.
Normalizar los canales de atención al cliente y los mecanismos de verificación: los estafadores a menudo se hacen pasar por atención al cliente para confundir a los usuarios. La plataforma debe unificar los modelos de llamadas, mensajes de texto y correos electrónicos, y proporcionar un "portal de verificación de atención al cliente", aclarando el único canal oficial de comunicación para evitar confusiones.
usuario
Implementar una estrategia de aislamiento de identidad: evitar el uso del mismo correo electrónico o número de teléfono en múltiples plataformas para reducir el riesgo de asociación. Se puede utilizar herramientas de verificación de filtraciones para revisar periódicamente si el correo electrónico ha sido filtrado.
Habilitar la lista blanca de transferencias y el mecanismo de enfriamiento de retiros: preestablecer direcciones de confianza para reducir el riesgo de pérdida de fondos en situaciones de emergencia.
Mantente al tanto de las noticias de seguridad: a través de empresas de seguridad, medios de comunicación, plataformas de intercambio y otros canales, conoce las últimas dinámicas de las técnicas de ataque y mantente alerta. Actualmente, varias empresas de seguridad están desarrollando una plataforma de simulación de phishing Web3, que simulará diversas técnicas típicas de phishing, incluyendo envenenamiento social, phishing de firma, interacción con contratos maliciosos, etc., y actualizará continuamente el contenido de los escenarios en combinación con casos reales. Esto permitirá a los usuarios mejorar su capacidad de reconocimiento y respuesta en un entorno sin riesgos.
Atención a los riesgos offline y la protección de la privacidad: la filtración de información personal también puede provocar problemas de seguridad personal.
Esto no es una preocupación infundada, desde el comienzo de este año, los profesionales/usuarios de la encriptación han enfrentado múltiples incidentes que amenazan su seguridad personal. Dado que los datos filtrados incluyen nombres, direcciones, información de contacto, datos de cuentas, fotos de identificación, los usuarios relevantes también deben estar alerta y prestar atención a la seguridad en el ámbito offline.
En resumen, mantén el escepticismo y valida continuamente. En caso de operaciones urgentes, asegúrate de que la otra parte se auto-identifique y verifica de forma independiente a través de canales oficiales, evitando tomar decisiones irreversibles bajo presión.
Resumen
Este incidente ha expuesto nuevamente que, frente a las técnicas de ataque de ingeniería social cada vez más sofisticadas, la industria todavía presenta deficiencias evidentes en la protección de datos de clientes y en la seguridad del activo. Es preocupante que, incluso si los puestos relevantes de la plataforma no tienen autoridad sobre los fondos, la falta de suficiente conciencia y capacidad de seguridad puede resultar en graves consecuencias debido a la divulgación accidental o a ser cooptados. A medida que la plataforma continúa expandiéndose, la complejidad del control de seguridad del personal también aumenta, convirtiéndose en uno de los riesgos más difíciles de abordar en la industria. Por lo tanto, mientras la plataforma refuerza los mecanismos de seguridad en la cadena, también debe construir sistemáticamente un "sistema de defensa contra la ingeniería social" que cubra al personal interno y a los servicios subcontratados, integrando los riesgos humanos en la estrategia de seguridad general.
Además, una vez que se detecte que el ataque no es un evento aislado, sino una amenaza continua organizada y a gran escala, la plataforma debe responder de inmediato, inspeccionando proactivamente las posibles vulnerabilidades, advirtiendo a los usuarios sobre la prevención y controlando el alcance del daño. Solo con una respuesta dual a nivel técnico y organizativo se puede realmente mantener la confianza y los límites en un entorno de seguridad cada vez más complejo.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Los ataques de ingeniería social apuntan a la plataforma de intercambio, con pérdidas anuales de 300 millones de dólares. Análisis completo de las medidas de respuesta.
Los ataques de ingeniería social se han convertido en una amenaza significativa para la seguridad del activo encriptación.
En los últimos años, los ataques de ingeniería social dirigidos a los usuarios de activos encriptados han aumentado considerablemente, convirtiéndose en uno de los principales métodos que amenazan la seguridad de los fondos de los usuarios. Desde 2025, han ocurrido con frecuencia incidentes de fraude por ingeniería social dirigidos a los usuarios de una conocida plataforma de intercambio, lo que ha suscitado una amplia atención en la industria. Según las discusiones en la comunidad, este tipo de incidentes no son casos aislados, sino un nuevo tipo de estafa con características de continuidad y organización.
El 15 de mayo, la plataforma de intercambio publicó un anuncio que confirmó las especulaciones anteriores sobre la existencia de "gente interna" dentro de la plataforma. Se informa que el Departamento de Justicia de EE. UU. ha iniciado una investigación sobre este incidente de filtración de datos.
Este artículo revelará los principales métodos de operación de los estafadores al organizar la información proporcionada por varios investigadores de seguridad y víctimas, y explorará las estrategias de respuesta desde las perspectivas de la plataforma y del usuario.
Análisis histórico
"Solo en la última semana, más de 45 millones de dólares han sido robados a usuarios de una plataforma debido a fraudes de ingeniería social", escribió el detective en cadena Zach en su actualización de redes sociales del 7 de mayo.
En el último año, Zach ha revelado en múltiples ocasiones que los usuarios de la plataforma han sido víctimas de robos, con algunas víctimas perdiendo hasta decenas de millones de dólares. Su investigación detallada publicada en febrero de 2025 muestra que entre diciembre de 2024 y enero de 2025, las pérdidas de fondos causadas por este tipo de estafas ya superaban los 65 millones de dólares. La plataforma se enfrenta a una grave crisis de "fraude social", ataques de este tipo que continúan comprometiendo la seguridad del activo de los usuarios a un ritmo anual de 300 millones de dólares. Zach también señaló:
Métodos de fraude
En este incidente, el sistema técnico de la plataforma no fue comprometido, los estafadores utilizaron los permisos de empleados internos para obtener parte de la información sensible de los usuarios. Esta información incluye: nombre, dirección, información de contacto, datos de la cuenta, fotos de la identificación, etc. El objetivo final de los estafadores es utilizar técnicas de ingeniería social para guiar a los usuarios a realizar transferencias.
Este tipo de ataque ha cambiado el enfoque tradicional de "phishing masivo" hacia un "ataque de precisión", considerado un fraude social "personalizado". La ruta típica del delito es la siguiente:
1. Contactar a los usuarios en calidad de "servicio al cliente oficial"
Los estafadores utilizan un sistema telefónico falso (PBX) para hacerse pasar por el servicio de atención al cliente de la plataforma, llamando a los usuarios y diciendo que su "cuenta ha sufrido un inicio de sesión ilegal" o "se ha detectado una anomalia en el retiro", creando un ambiente de urgencia. Luego envían correos electrónicos o mensajes de texto de phishing que parecen reales, que incluyen un número de orden falso o un enlace de "proceso de recuperación", guiando a los usuarios a realizar acciones. Estos enlaces pueden dirigir a interfaces clonadas de la plataforma, e incluso pueden enviar correos que parecen provenir de un dominio oficial, algunos correos utilizan técnicas de redirección para eludir la protección de seguridad.
2. Guiar a los usuarios para descargar una billetera autogestionada
Los estafadores utilizan el pretexto de "proteger el activo" para guiar a los usuarios a transferir fondos a una "billetera segura", ayudando a los usuarios a instalar una billetera de autocustodia y orientándolos para que transfieran los activos que originalmente estaban custodiados en la plataforma a la billetera recién creada.
3. Inducir a los usuarios a usar las frases mnemotécnicas proporcionadas por los estafadores
A diferencia de los tradicionales "engaños para obtener frases mnemotécnicas", los estafadores proporcionan directamente un conjunto de frases mnemotécnicas que ellos mismos generan, induciendo a los usuarios a utilizarlas como un "nuevo monedero oficial".
4. Los estafadores realizan el robo de fondos
Las víctimas, en un estado de tensión, ansiedad y confianza en el "servicio al cliente", son muy propensas a caer en la trampa. Desde su perspectiva, una nueva billetera "proporcionada por oficiales" es naturalmente más segura que la antigua billetera que "parece haber sido hackeada". El resultado es que, una vez que los fondos se transfieren a esta nueva billetera, los estafadores pueden transferirlos inmediatamente. Esto valida una vez más de manera contundente la idea de "No tienes las claves, no tienes las monedas".
Además, algunos correos electrónicos de phishing afirman que "debido a una decisión de demanda colectiva, la plataforma se trasladará completamente a una billetera autogestionada", y exigen a los usuarios que completen la migración de activos en un corto período de tiempo. Bajo la presión del tiempo y la sugestión psicológica de "instrucciones oficiales", los usuarios son más propensos a cooperar con la operación.
Según los investigadores de seguridad, estos ataques suelen ser planeados y ejecutados de manera organizada:
Análisis del flujo de fondos en la cadena
A través del sistema de análisis de lavado de dinero y seguimiento en la cadena, se analizaron algunas direcciones de estafadores y se descubrió que estos estafadores tienen una fuerte capacidad de operación en la cadena. A continuación se presentan algunas informaciones clave:
Los objetivos de ataque de los estafadores cubren múltiples activos que poseen los usuarios de la plataforma, y el tiempo de actividad de estas direcciones se concentra entre diciembre de 2024 y mayo de 2025. Los activos objetivo son principalmente BTC y ETH. BTC es actualmente el principal objetivo de las estafas, con múltiples direcciones que obtienen ganancias de cientos de BTC de una sola vez, con un valor unitario de varios millones de dólares.
Después de obtener los fondos, los estafadores utilizan rápidamente un proceso de lavado para intercambiar y transferir los activos, el modelo principal es el siguiente:
Los activos de tipo ETH a menudo se intercambian rápidamente a DAI o USDT a través de un DEX, y luego se distribuyen a múltiples nuevas direcciones, con algunos activos ingresando a plataformas de intercambio centralizadas;
BTC se transfiere principalmente a través de un puente cruzado a Ethereum, y luego se intercambia por DAI o USDT, evitando así el riesgo de seguimiento.
Varios direcciones de estafa permanecen en estado de "reposo" después de recibir DAI o USDT, y aún no han sido transferidas.
Para evitar la interacción de su dirección con direcciones sospechosas y así enfrentar el riesgo de que los activos sean congelados, se recomienda a los usuarios que utilicen un sistema de detección de riesgos de lavado de dinero y rastreo en la cadena antes de realizar transacciones, para evitar efectivamente amenazas potenciales.
Medidas de respuesta
plataforma
Los métodos de seguridad más comunes en la actualidad son más bien defensas a nivel "tecnológico", mientras que las estafas de ingeniería social a menudo eluden estos mecanismos, golpeando directamente las vulnerabilidades psicológicas y de comportamiento de los usuarios. Por lo tanto, se recomienda que las plataformas integren la educación del usuario, el entrenamiento en seguridad y el diseño de usabilidad, estableciendo así una línea de defensa de seguridad "orientada a las personas".
usuario
Implementar una estrategia de aislamiento de identidad: evitar el uso del mismo correo electrónico o número de teléfono en múltiples plataformas para reducir el riesgo de asociación. Se puede utilizar herramientas de verificación de filtraciones para revisar periódicamente si el correo electrónico ha sido filtrado.
Habilitar la lista blanca de transferencias y el mecanismo de enfriamiento de retiros: preestablecer direcciones de confianza para reducir el riesgo de pérdida de fondos en situaciones de emergencia.
Mantente al tanto de las noticias de seguridad: a través de empresas de seguridad, medios de comunicación, plataformas de intercambio y otros canales, conoce las últimas dinámicas de las técnicas de ataque y mantente alerta. Actualmente, varias empresas de seguridad están desarrollando una plataforma de simulación de phishing Web3, que simulará diversas técnicas típicas de phishing, incluyendo envenenamiento social, phishing de firma, interacción con contratos maliciosos, etc., y actualizará continuamente el contenido de los escenarios en combinación con casos reales. Esto permitirá a los usuarios mejorar su capacidad de reconocimiento y respuesta en un entorno sin riesgos.
Atención a los riesgos offline y la protección de la privacidad: la filtración de información personal también puede provocar problemas de seguridad personal.
Esto no es una preocupación infundada, desde el comienzo de este año, los profesionales/usuarios de la encriptación han enfrentado múltiples incidentes que amenazan su seguridad personal. Dado que los datos filtrados incluyen nombres, direcciones, información de contacto, datos de cuentas, fotos de identificación, los usuarios relevantes también deben estar alerta y prestar atención a la seguridad en el ámbito offline.
En resumen, mantén el escepticismo y valida continuamente. En caso de operaciones urgentes, asegúrate de que la otra parte se auto-identifique y verifica de forma independiente a través de canales oficiales, evitando tomar decisiones irreversibles bajo presión.
Resumen
Este incidente ha expuesto nuevamente que, frente a las técnicas de ataque de ingeniería social cada vez más sofisticadas, la industria todavía presenta deficiencias evidentes en la protección de datos de clientes y en la seguridad del activo. Es preocupante que, incluso si los puestos relevantes de la plataforma no tienen autoridad sobre los fondos, la falta de suficiente conciencia y capacidad de seguridad puede resultar en graves consecuencias debido a la divulgación accidental o a ser cooptados. A medida que la plataforma continúa expandiéndose, la complejidad del control de seguridad del personal también aumenta, convirtiéndose en uno de los riesgos más difíciles de abordar en la industria. Por lo tanto, mientras la plataforma refuerza los mecanismos de seguridad en la cadena, también debe construir sistemáticamente un "sistema de defensa contra la ingeniería social" que cubra al personal interno y a los servicios subcontratados, integrando los riesgos humanos en la estrategia de seguridad general.
Además, una vez que se detecte que el ataque no es un evento aislado, sino una amenaza continua organizada y a gran escala, la plataforma debe responder de inmediato, inspeccionando proactivamente las posibles vulnerabilidades, advirtiendo a los usuarios sobre la prevención y controlando el alcance del daño. Solo con una respuesta dual a nivel técnico y organizativo se puede realmente mantener la confianza y los límites en un entorno de seguridad cada vez más complejo.