Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Buscar Recurso: BlogRecurso: Seminario webRecurso: InformeRecurso: Eventoicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir
  • Twitter
  • Facebook
  • LinkedIn

Estafas de publicidad digital sobre Elon Musk en YouTube: una "moneda" falsa de SpaceX se promociona en anuncios de videos de criptomonedas

Estafas de publicidad digital sobre Elon Musk en YouTube: una "moneda" falsa de SpaceX se promociona en anuncios de videos de criptomonedas

Los estafadores van camino de robar casi USD 1 millón a usuarios desprevenidos a través de un popular protocolo financiero descentralizado, Uniswap. Los delincuentes aprovechan YouTube para promocionar una moneda falsa de SpaceX en los anuncios que aparecen antes de los videos de criptomonedas y durante su reproducción.

Antecedentes

A principios de mayo, los estafadores vulneraron cuentas de Twitter y de YouTube para promocionar una serie de estafas de criptomonedas antes de la aparición del fundador de Tesla y SpaceX, Elon Musk, en Saturday Night Live, y robaron más de USD 10 millones en tokens de Bitcoin, Ethereum y Doge. Las estafas que llevaron a cabo a través de YouTube fueron las más exitosas, y les permitieron robar más de USD 9 millones.

Tenga en cuenta que las palabras "tokens" y "monedas" se usan de manera indistinta para describir criptomonedas como Bitcoin, Ethereum, Dogecoin y muchas otras.

Desde fines de mayo, un grupo de estafadores robó más de USD 430 000 en criptomonedas a usuarios desprevenidos mediante la compra de espacios publicitarios en videos de criptomonedas de YouTube, con el objetivo de promocionar una moneda falsa de SpaceX (o token $SpaceX) que se aseguraba había sido creada por Musk. Al momento de la publicación de este artículo en el blog, los estafadores tenían una campaña en curso que, una vez terminada, podría aumentar potencialmente el monto total de criptomonedas robadas a casi USD 1 millón.

Análisis

El 22 de mayo aparecieron anuncios de YouTube, diseñados para sustraer criptomonedas a los usuarios, antes de videos sobre criptomonedas de creadores de contenido populares en el sector, o durante su reproducción. Los anuncios mostraban diversos videos no relacionados de Musk, quien en los últimos meses había atraído mucha atención por su apoyo a criptomonedas como Bitcoin y Dogecoin.

Análisis de la plantilla

Los anuncios tienen una duración de entre tres y cinco minutos y presentan una plantilla que incluye, en la parte superior, un tuit falso de Elon Musk que afirma que está lanzando su propia criptomoneda, llamada $SpaceX.

Dentro de la misma plantilla, hay una sección de descripción, con un encabezado con el logotipo de Tesla. La descripción dice: "Elon Musk lanza su propia criptomoneda, $SpaceX". Según el anuncio de la estafa, el objetivo de la moneda es "llevar a todos a Marte y hacer posible la vida humana allí". Por último, agregan que por cada transacción con la moneda $SpaceX se hará una donación "a las compañías de investigación espacial" para "ayudar a la misión de Elon".

El video incrustado en el anuncio de arriba es un fragmento de la entrevista a Elon en "Revolutionaries" de Computer History Museum y KQED de 2013. Los estafadores utilizan varios videos de Musk indistintamente en estos anuncios de YouTube.

Videos hospedados en cuentas de YouTube vulneradas

Estos anuncios están hospedados en cuentas de YouTube vulneradas.

Cuando aparecen, se puede ver el nombre del usuario asociado al anuncio.

Al navegar por el perfil del usuario, vemos que este usuario se unió a YouTube en agosto de 2011. Muchas de las cuentas que encontré se crearon hace entre diez y doce años. En este caso, no hay otros videos asociados con la cuenta, excepto el que se usa en el anuncio de la estafa, pero eso puede variar. Es probable que se trate de cuentas de YouTube inactivas, que los estafadores pudieron vulnerar para promocionar sus anuncios sospechosos.

Nos pusimos en contacto con YouTube para informarles nuestros hallazgos antes de la publicación, pero no recibimos respuesta.

La misma plantilla que se usó en la anterior campaña de estafas de YouTube Live

Estos anuncios aprovechan la misma plantilla que vi que se usaba a principios de mayo en las estafas que empleaban la imagen de Musk con la temática de SNL, incluyendo el logotipo de Tesla.

En los anuncios de YouTube sobre el supuesto lanzamiento de la moneda SpaceX, uno podría pensar que era más lógico que los estafadores intercambiaran el logotipo de SpaceX en lugar de mantener el logotipo de Tesla, pero parece que solo copiaron la plantilla directamente.

Usuarios dirigidos a múltiples sitios web

Los anuncios de YouTube en sí no contienen un enlace directo a un sitio web. En cambio, anuncian el sitio web en otra sección de la plantilla. Durante mi análisis, encontré al menos doce sitios web diferentes que se promocionan a través de estos anuncios falsos de YouTube, entre los que se incluyen los siguientes:

Dominio Registrador Fecha de registro
buyspacex.com NameCheap, Inc. Mayo de 21, 2021
buyspx.com NameCheap, Inc. Mayo de 27, 2021
getspx.com NameCheap, Inc. Mayo de 29, 2021
spxlaunch.com NameCheap, Inc. Mayo de 29, 2021
spacexbuy.com REG.RU LLC Mayo de 30, 2021
officialspx.com REG.RU LLC June 1, 2021
missionspx.com REG.RU LLC June 2, 2021
spacexsale.com REG.RU LLC June 3, 2021
salespacex.com REG.RU LLC June 9, 2021
buyspxcoin.com REG.RU LLC June 15, 2021
muskspx.com REG.RU LLC June 16, 2021
falconspacex.com REG.RU LLC June 17, 2021

Tenga en cuenta que es posible que esta no sea una lista exhaustiva de todos los dominios que se usaron en estas campañas.

Los sitios web incluyen instrucciones paso a paso para instalar MetaMask y usar Uniswap

Los sitios web que se usaron en esta campaña se diseñaron mediante la plataforma de blogs anónimos de Telegram, Telegra.ph.

Para lograr que los usuarios compren las monedas fraudulentas $SpaceX, los estafadores incluyen una guía paso a paso sobre cómo instalar en sus computadoras MetaMask, una billetera popular basada en navegadores, que utilizan millones de usuarios. Verifiqué que los estafadores incluyen un enlace a la extensión legítima de MetaMask para Google Chrome en lugar de una extensión falsa.

Desde allí, el sitio web indica a los usuarios que hagan clic en un enlace personalizado a Uniswap, una popular plataforma de intercambio descentralizado (DEX) del mundo de los protocolos de las finanzas descentralizadas (DeFi). Como protocolo DeFi, Uniswap permite que los titulares de criptomonedas intercambien (o canjeen) tokens en la plataforma sin que intervenga una entidad centralizada, de ahí su carácter descentralizado. Al mismo tiempo, la falta de una autoridad central es uno de los motivos por los cuales estas estafas pueden tener éxito.

Uniswap permite que los individuos creen sus propios tokens para intercambiar en la plataforma. En este caso, los estafadores incluyen un enlace a Uniswap para que los usuarios importen un contrato fraudulento del token $SpaceX que ellos crearon.

Al intentar importar el token $SpaceX, la interfaz de Uniswap muestra una advertencia de que "no aparece en las listas de tokens activos", pero solo advierte al usuario de que se asegure de que "este es el token que desea intercambiar".

La guía incluye varias capturas de pantalla sobre cómo los usuarios pueden intercambiar sus tokens de Ethereum a cambio de la supuesta moneda $SpaceX. También incluye una guía sobre cómo asegurarse de que las monedas sean visibles dentro de la billetera MetaMask.

Al menos tres monedas $SpaceX falsas en circulación

En los doce sitios web que encontré, observé tres contratos diferentes para las monedas $SpaceX. Durante esta investigación, siete redirigían al mismo contrato de tokens $SpaceX, al que me referiré como Alfa, mientras que dos sitios, spxlaunch.com y salespacex.com, redirigían a dos contratos de tokens $SpaceX independientes, a los que me referiré como Beta y Gamma. Sin embargo, como la campaña Alfa finalizó el 13 de junio, los sitios restantes redirigen ahora a la campaña Gamma.

Víctimas de un "rug pull": cómo los usuarios acaban teniendo tokens sin valor

Las estafas convencionales de criptomonedas piden a los usuarios que envíen criptomonedas a una dirección específica para "duplicar" su dinero, lo cual nunca sucede. Sin embargo, esta estafa es en realidad bastante funesta. Crea una sensación de legitimidad mediante el uso de una plataforma de DEX importante como Uniswap, un contrato inteligente de tokens real, y la confirmación visual de los tokens que aparecen dentro de la billetera MetaMask del usuario. Entonces, ¿de qué manera estafan a los usuarios mediante tokens falsos? Es un concepto que se conoce como "rug pull" (en inglés, quitar una alfombra de debajo de los pies).

Para poder incluir y facilitar el intercambio de la moneda fraudulenta $SpaceX en Uniswap, los estafadores deben proporcionar cierta liquidez.

En los tres contratos de tokens que encontré, los estafadores proporcionaron una liquidez total de 60 monedas Ethereum (20 para cada contrato) con un valor combinado de USD 146 300,44 en el momento del financiamiento.

En la medida en que los usuarios compran las monedas en Uniswap, aumentan la liquidez del contrato de $SpaceX. En algún momento, los estafadores que están detrás de esta operación eliminarán la liquidez del contrato, con lo cual les "quitarán la alfombra" a quienes posean las monedas $SpaceX, y las dejarán sin valor.

Sistemas trampa: usuarios atrapados con la compra de las monedas fraudulentas $SpaceX

Recientemente, un usuario que había comprado monedas $SpaceX asociadas con el contrato Alpha, dijo en el subreddit de Uniswap que no podía cambiar sus monedas de nuevo a Ethereum. Este es otro concepto conocido como "sistema trampa" en el ámbito de las criptomonedas. Es diferente del uso tradicional del término en el ámbito de la ciberseguridad, que se centra en atrapar a los agentes maliciosos. En este contexto, significa que se atrae a usuarios desprevenidos para que inviertan en esta moneda falsa $SpaceX, pero el contrato creado por los estafadores se diseña para evitar que los usuarios puedan cambiar sus monedas de nuevo a Ethereum. La única dirección que puede mover fondos fuera del contrato es el creador. Por lo tanto, incluso si los estafadores no "quitan la alfombra" de inmediato, los actuales titulares de monedas $SpaceX no podrán recuperar sus fondos de todos modos.

Los estafadores "quemaron" a propósito las monedas del contrato

Cuando se crearon estos contratos falsos de $SpaceX, los estafadores minaron mil millones de monedas (1 000 000 000) en cada contrato y agregaron liquidez al contrato por 200 millones (200 000 000) de monedas. Los estafadores también quemaron 800 millones (800 000 000) de monedas $SpaceX por cada contrato, enviando las monedas a billeteras de plataformas de intercambio populares como Vb, Binance y Huobi.

Dado que estas monedas fraudulentas $SpaceX no figuran en ninguna de estas plataformas de intercambio, las monedas que se envían a estas billeteras no se pueden devolver y se pierden para siempre, lo cual las elimina efectivamente de la oferta de monedas. Según entiendo, al quemar estas monedas, los estafadores reducen la oferta de monedas disponibles, lo cual aumenta el precio percibido de la moneda $SpaceX.

Comentarios falsos en las páginas de Etherscan

Etherscan, uno de los exploradores de blockchain más populares para la red Ethereum, suele ser el lugar al que acuden los usuarios de criptomonedas para obtener información, tal como la actividad relacionada con varios proyectos basados en Ethereum. En el caso de los contratos fraudulentos de $SpaceX, los estafadores llenaron la sección de comentarios de estas páginas con comentarios de redes sociales falsos.

La intención de inundar estas páginas con comentarios falsos es asegurar que cualquier publicación que denuncie la naturaleza fraudulenta de las monedas de $SpaceX se pierda entre tanta información.

Hasta ahora, los "rug pulls" de la moneda falsa $SpaceX han hecho ganar a los estafadores más de USD 430 000, con potencial para ganar casi USD 1 millón

De los tres contratos falsos de $SpaceX que encontré, dos ya habían llevado a cabo sus rug pulls. En el siguiente gráfico, se muestra un desglose de la liquidez que proporcionaron los estafadores, la cantidad de liquidez que retiraron de los contratos y la diferencia (ganancia) que obtuvieron con sus estafas.

Al momento de la publicación de este artículo en el blog, las campañas Alfa y Beta habían finalizado, y la campaña Gamma seguía activa. Estas cifras reflejan los datos recopilados hasta el 21 de junio de 2021, pero no incluyen los fondos adicionales que se enviaron al contrato Alfa y Beta después de la liquidación.

La campaña de tokens Alpha comenzó el 22 de mayo y concluyó el 13 de junio, y permitió que los estafadores obtuvieran una ganancia de más de USD 403 000. A través de la campaña de tokens Beta, que se realizó entre el 29 de mayo y el 9 de junio, los estafadores se aprovecharon de los usuarios desprevenidos y obtuvieron ganancias de alrededor de USD 28 000. La campaña de tokens Gamma, que inició el 9 de junio y estaba en curso al momento de la publicación de este artículo en el blog, ya ha registrado un alto volumen de actividad, que permitió que los estafadores ganaran un monto estimado de USD 543 000. Esto implica que los estafadores están dispuestos a ganar otra suma de seis cifras con esta campaña una vez que "quiten la alfombra", lo cual elevará el valor total de las criptomonedas que robaron a casi USD 1 millón.

Una advertencia: es probable que los estafadores envíen fondos adicionales a estos contratos para que parezcan más legítimos, por lo cual las cifras indicadas podrían estar parcialmente infladas por los propios fondos de los estafadores.

Los protocolos DeFi están llenos de "rug pulls" y sistemas trampa

Si bien los protocolos DeFi en Ethereum (como Uniswap y SushiSwap) o los de Binance Smart Chain (BSC) (como Pancakeswap) facilitan una nueva era de inversiones en blockchain, la descentralización de estas plataformas hace que los estafadores tengan vía libre. En el caso de las finanzas tradicionales que están centralizadas, como sucede con los bancos, es posible que los fondos robados se puedan recuperar y devolver a las víctimas. Sin embargo, en blockchain, los fondos robados se pierden y, en realidad, no hay recursos para recuperarlos. En el mundo de DeFi, es algo que los usuarios del protocolo deben sacrificar, desafortunadamente. Como resultado, los términos como "rug pulls" y "sistemas trampa" se convirtieron en parte de las conversaciones habituales de DeFi

El motivo por el que se destaca esta campaña en particular es que no se basó en la promoción a través de los canales de Telegram o las redes sociales, sino que aprovechó YouTube con éxito. Para ello, usó la infraestructura existente de YouTube Ads a fin de identificar su grupo demográfico objetivo de usuarios de criptomonedas y lograr que sus anuncios llegaran a miles de espectadores. Muchos de los nuevos inversionistas en criptomonedas acuden a los canales de YouTube en busca de noticias y orientación, por lo cual es ideal para promocionar una moneda falsa.

Cómo se pueden proteger los usuarios de criptomonedas de las monedas fraudulentas

Recuerde implementar DYOR: es posible que los entusiastas de criptomonedas estén familiarizados con la sigla DYOR, que significa Do Your Own Research (Haga su propia investigación). Es una frase común dentro de la comunidad por una buena razón. Es fundamental que los inversionistas potenciales hagan su propia investigación antes de invertir en cualquier activo, especialmente, en el ámbito de las criptomonedas.

Esté atento a las señales de advertencia al usar una DEX: si bien las DEX, como Uniswap y SushiSwap, operan de manera anónima, han puesto algunos obstáculos a los usuarios cuando interactúan con sus servicios.

Como mencioné anteriormente, Uniswap muestra una advertencia limitada acerca de que el token fraudulento no aparece en las listas de tokens activos. Además, agrega el mensaje "Unknown Source (origen desconocido) al mostrar la dirección del contacto. Los usuarios deberían ver esto como una señal de alerta antes de importar el contrato del token y cambiarlo por su criptomoneda. Aunque no todas las monedas de Uniswap aparecerán en una lista de tokens activos, los inversionistas deberían tener cuidado con un token cuando vean esta advertencia.

Tenga cuidado con las monedas falsas para proyectos reales: aunque la moneda $SpaceX no existe, los posibles inversionistas también deben tener cuidado con las monedas falsas para proyectos reales. Es muy fácil crear un contrato de tokens en la red Ethereum con el mismo nombre que un proyecto real.

Busque anuncios oficiales de los creadores de estos proyectos. Por lo general, comunicarán detalles sobre el lanzamiento de un contrato de tokens, así como también cuál es la dirección del contrato verificado antes de la implementación.

En caso de duda, es mejor no involucrarse: hay una demanda acumulada que busca capitalizar las ganancias de monedas nuevas y emergentes en el ámbito de las criptomonedas. Sin embargo, si tiene la más mínima duda sobre la legitimidad de una moneda o un proyecto, incluso después de DYOR, es probable que sea mejor no involucrarse. Las pérdidas potenciales que se derivan de la inversión en monedas y proyectos falsos pueden ser importantes, por lo cual es mejor perder una oportunidad potencial que encontrarse con tokens sin valor en la billetera.

Artículos relacionados

Únase al Equipo de respuesta de seguridad de Tenable en Tenable Community.

Artículos relacionados

¿Es usted vulnerable a los últimos exploits?

Ingrese su correo electrónico para recibir las últimas alertas de Cyber Exposure en su bandeja de entrada.

Solución de prueba Compre ahora
Tenable.io GRATIS DURANTE 30 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora.

Tenable.io COMPRE

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos

Seleccione su tipo de suscripción:

Comprar ahora
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año. Más detalles aquí.

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 30 DÍAS

Disfrute el acceso completo a nuestra oferta de productos más recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 30 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Versión de prueba Compre ahora

Probar Tenable Lumin

GRATIS POR 30 DÍAS

Con Tenable Lumin, visualice y explore su Cyber Exposure, dé seguimiento a la reducción del riesgo con el tiempo y compárela con la de sus competidores.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para averiguar cómo Lumin puede ayudarle a obtener información de toda su organización y gestionar el riesgo cibernético.