Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha identificado un preocupante incremento en ataques dirigidos a plataformas de criptomonedas, lo que marca un cambio significativo en las tácticas de los ciberdelincuentes.
Hace dos días lograron vulnerar una billetera Ethereum fuera de línea y sustrajeron 1.500 millones de dólares de la plataforma de intercambio Bybit. Este ataque representa un cambio en la ciberdelincuencia dentro del ecosistema cripto, donde los atacantes, en lugar de explotar vulnerabilidades en el código, ahora manipulan debilidades humanas mediante ingeniería social y la alteración de interfaces de usuario (UI).
Un nuevo paradigma en la seguridad de criptomonedas
Un estudio reciente de Check Point Research revela que el ataque a Bybit no es un incidente aislado, sino parte de una tendencia creciente en la que los atacantes explotan la función execTransaction del protocolo Safe para llevar a cabo ataques sofisticados. En julio de 2024, el sistema de inteligencia de amenazas de Check Point Software ya había identificado este patrón, y el ataque a Bybit confirma la evolución de estas tácticas hasta convertirse en una amenaza generalizada para toda la industria.
Los ciberdelincuentes emplearon métodos innovadores para engañar a los firmantes de una cartera fría con múltiples firmas (multisig) y aprobar transacciones fraudulentas. Entre las principales tácticas se incluyen:
- Ingeniería social: identificación de empleados de Bybit con capacidad para firmar transacciones.
- Manipulación de UI: uso de interfaces falsas para ocultar transacciones maliciosas.
- Explotación lógica: empleo de indicaciones engañosas para evadir las medidas de seguridad.
Lecciones clave según Check Point Research
- Las carteras frías ya no son infalibles: incluso los monederos Ethereum fuera de línea pueden ser vulneradas mediante la manipulación de la UI.
- Las firmas múltiples (multisig) pueden ser explotadas: los atacantes utilizaron la función execTransaction del protocolo Safe, un vector de ataque que Check Point Research había alertado en julio de 2024.
- Es necesaria una seguridad más robusta: la industria cripto debe adoptar monitoreo en tiempo real de transacciones y análisis de comportamiento para detectar fraudes antes de que los fondos sean sustraídos.
Recomendaciones para empresas
Check Point Research recomienda adoptar estrategias de seguridad avanzadas para mitigar riesgos:
- Medidas de seguridad integrales: las empresas que poseen activos criptográficos significativos deben integrar productos de seguridad tradicionales, como prevención de amenazas en endpoints y seguridad del correo electrónico, para evitar que el malware infecte máquinas sensibles y se propague por toda la compañía. Esto es crucial para protegerse contra ataques sofisticados que explotan vulnerabilidades humanas y manipulación de la interfaz de usuario.
- Prevención en tiempo real: la industria necesita un cambio de paradigma, pasando de mejoras de seguridad incrementales a prevención en tiempo real. Así como las redes corporativas y la nube utilizan firewalls para inspeccionar cada paquete, Web3 requiere inspección en tiempo real de cada transacción para garantizar la seguridad. Este enfoque puede prevenir actividades maliciosas antes de provocar daños.
- Implementar seguridad de Zero Trust:
- Cada dispositivo de los responsables de firma debe ser tratado como potencialmente comprometido.
- Usar dispositivos de firma dedicados y aislados del resto de la red (air-gapped) para la aprobación de transacciones multisig.
- Requerir que los responsables de firma verifiquen los detalles de la transacción a través de un segundo canal independiente.
‘El ataque a Bybit no es una sorpresa; el pasado julio identificamos exactamente la misma técnica de manipulación que los atacantes utilizaron en este robo récord. Lo más alarmante es que incluso las carteras frías, que alguna se consideraban la opción más segura, ahora son vulnerables. Este ataque demuestra que un enfoque de prevención, asegurando cada paso de una transacción, es la única forma efectiva de detener a los ciberdelincuentes antes de que lleven a cabo ataques de alto impacto en el futuro’, según Oded Vanunu, jefe de investigación de vulnerabilidades en productos en Check Point Research.
