Lamentablemente, el criptomundo ha sido tierra bastante fértil para toda clase de estafas, dado que hace falta mucha educación sobre diversos temas, y la posibilidad de lucrar a costa de los usuarios es bastante grande. Esto llegó al punto en que muchas personas llegaron a considerar (o incluso aún consideran) a bitcoin y a las criptomonedas como estafas, sin saber diferenciar entre iniciativas inescrupulosas y proyectos legítimos.
Si bien las criptomonedas son utilizadas en su mayoría de forma legal, también se han convertido en atractivos tesoros para los criminales, quienes resultan bastante creativos a la hora de tender toda clase de trampas a los dueños desprevenidos.
Existen numerosas formas en que un estafador puede apoderarse de ellas,“en cualquier sistema donde los humanos desempeñen un papel integral, las vulnerabilidades debidas a la naturaleza humana penetrarán”.
A continuación, describimos las estafas más comunes, tomando en cuenta que la estafa es un tipo de engaño y los malwares y hackers pertenecen a otra categoría.
Las Ofertas Iniciales de Moneda (ICO) se convirtieron rápidamente en el método favorito de financiamiento para gran parte de las startups del criptomundo. Con ellas, un proyecto puede recaudar fondos mediante la creación de un nuevo token preparado para ser vendido al precio del mercado, cuyo valor se respaldará en el futuro con el valor del proyecto en cuestión, cuando este sea lanzado.
El problema surge de que literalmente cualquiera puede lanzar una ICO, pues apenas hace falta algún requisito. Esto da la oportunidad a muchos estafadores de armar ICO fraudulentas, respaldadas en proyectos que, en realidad, no planean concretar nunca, pues su intención es sólo escapar con la mayor cantidad posible de fondos.
Los ingredientes de una ICO falsa suelen ser excesiva publicidad, un proyecto vagamente descrito, anuncios demasiado buenos para ser verdad y administradores anónimos o irreales (suelen poner a personas famosas como parte del proyecto cuando no es cierto).
Anuncio de Pincoin ofreciendo ganancias de un 40% mensual.
Ejemplos de estos eventos son Confido, con pérdidas de 370 mil dólares para los compradores del token; Centra Tech, recaudó en su ICO más de 32 millones de dólares; y la que es quizás la mayor estafa en la historia de las criptomonedas: Modern Tech, presunta empresa que, mediante las ICO de los supuestos tokens de iFan y Pincoin, logró robar hasta 600 millones de dólares.
Por desgracia, un estudio de Statis Group demostró, además, que hasta un 80% de las ICO de 2017 fueron fraudulentas. Del mismo modo, otra investigación del Instituto de Investigación de Computación en la Nube y Macrodatos aseguró que entre los proyectos legítimos hasta un 92% fracasa. Las ICO legítimas y exitosas son escasas, así que debería invertirse sólo tras una exhaustiva investigación del proyecto y teniendo en cuenta de que se trata de una inversión de riesgo.
Vale la pena acotar, además, que también existen las ICO paródicas, tal como el Useless Token (Token Inútil), donde los mismos administradores advierten que no se debe esperar ningún retorno de vuelta y toda inversión se perderá. En este caso, no puede considerarse estafa, pues las ICO paródicas no suelen ocultar su naturaleza.
Se trata del simple intercambio de criptomonedas directamente entre las partes involucradas, sin la ayuda de algún intermediario de confianza, como una casa de cambio. El éxito o fracaso de dicho intercambio depende, por supuesto, de las circunstancias y las partes involucradas.
En las redes sociales y chats abundan los anuncios de intercambio, que ofrecen comprar o vender criptomonedas con diferentes métodos de pago. Algunos pueden ser legítimos, pero otros solicitarán que envíes primero los fondos y desaparecerán con ellos. Por ello, a la hora de comerciar con criptomonedas, es necesario recurrir a una parte confiable. Si no es un amigo o conocido, esta no tiene que ser necesariamente una casa de cambio como tal: algunos grupos desarrollan un sistema de reputación entre sus miembros y existen plataformas como LocalBitcoins, que ofrece su propio sistema de garantía, a pesar de que son los mismos usuarios los que negocian entre sí.
Otro método es donde alguna empresa ofrece contratos o acciones a clientes interesados en obtener ganancias con la minería (creación) de criptomonedas sin tener que preocuparse por comprar y mantener los equipos necesarios, dado que la empresa se hará cargo de ello. A cambio de estos contratos, el usuario puede obtener ciertas ganancias de modo regular, sin mantener los equipos: de ahí Cloud Mining (minería en la nube).
No se trata por sí mismo de una estafa, pues existen compañías que trabajan en Cloud Mining de forma legítima. Sin embargo, resulta muy sencillo para otros engañar a los usuarios para comprar estos contratos, ofreciendo ganancias irreales y supuestamente garantizadas, cuando ni siquiera poseen los equipos necesarios para minar.Este tipo de estafa puede incluso mezclarse con un esquema piramidal, prometiendo ganancias por referidos. Tal fue el caso de MiningMax, plataforma que aseguró a sus inversionistas poseer una granja de minería de diversas criptomonedas en Seúl, solicitó pagos por unirse e implementó un esquema de referidos. Cuando los nuevos usuarios no fueron suficientes para seguir sosteniendo la pirámide, esta colapsó y los administradores se quedaron con 250 millones de dólares por parte de unos 18.000 inversionistas de 54 países.
Aunque las casas de cambio ofrecen un servicio muy demandado, lo cierto es que son entes centralizados. Por tanto, una vez que transfieres allí tus criptomonedas, debes estar consciente de que, a partir de ese momento, la plataforma tiene la capacidad de controlar más allá de ti esos fondos. Y, si así lo quieren los administradores, nunca devolverlos.
Es por ello que se deberían utilizar casas de cambio (y, en general, todo tipo de empresa) ya reguladas, o, como mínimo, con cierto tiempo operando y ampliamente conocidas. Ya existen casos de plataformas de este tipo creadas sólo con el propósito de quedarse con los fondos de los usuarios. Algunas ofrecen bonos por unirse en principio mientras que plantean tarifas ocultas, y otras se limitan a no permitir los retiros una vez se den suficientes depósitos.
Captura de la cartera no oficial de MyEtherWallet en la AppStore.
No sólo las casas de cambio pueden ser falsas: también las carteras. En este caso, además, no basta con quedarse entre las carteras más conocidas, pues la versión que estemos descargando (en especial las versiones móviles) puede ser falsa.
Así, una aplicación no oficial de MyEtherWallet se las arregló no sólo para aparecer en la App Store, sino para ser una de las más descargadas de la tienda. Asimismo, hasta tres versiones de una presunta app de Poloniex fueron listadas en Google Play el año pasado, y dos de ellas fueron descargadas unas 5.500 veces antes de ser dadas de baja de la tienda. Esto, por supuesto, da a los estafadores una oportunidad única para robar credenciales y fondos: tus llaves pueden ser copiadas desde el momento de su creación para vaciarte la cartera después, o esta puede traer alguna “entrada trasera” por la cual acabarán saliendo tus criptomonedas.
Es importante, por tanto, no elegir una cartera al azar desde las tiendas móviles, sino investigar cuál podría ser la mejor opción para nosotros según el equipo que poseamos y las funciones y privacidad a las que aspiremos. Hecha esta elección, se debe recurrir siempre a la página oficial para la descarga.
Otra estafa es bastante similar al phishing, pues se trata de utilizar cuentas impostoras en las redes para engañar a los usuarios. La diferencia es que a través de estas cuentas se solicitan los fondos directamente en lugar de tan sólo la información confidencial, bajo la promesa de que se recibirá una recompensa mucho mayor después de transferido un porcentaje más bien pequeño en comparación.
El procedimiento consiste en que el cibercriminal se crea una cuenta idéntica a la de alguna celebridad, con su mismo nombre, fotografía y descripción; y allí publica que está dispuesto a regalar criptomonedas si en primer lugar le envían otra cantidad. Los usuarios de la red, fijándose en el nombre de la cuenta en lugar del usuario (que siempre se acompaña con @), suelen pensar que se trata realmente de esa persona. Así que envían los fondos e incluso comparten el post.
Comparación entre una cuenta falsa y la cuenta real de Elon Musk. Nótese que la falsa no tiene como usuario el @elonmusk y, además, está publicitada. Fuente: Captura.
La red favorita para esta clase de estafa es Twitter, aunque también ha hecho aparición en Facebook y Telegram.
Cabe mencionar que, en el mundo de las criptomonedas al menos, los únicos “regalos” verdaderos son los llamados faucets (páginas que ofrecen una mínima cantidad de criptomonedas a cambio de realizar pequeñas tareas) y los airdrops, donde los administradores de algún nuevo token envían un pequeño porcentaje a los poseedores de otro (en Ethereum es muy común) como medio de publicidad, sin pedir nada más a cambio.
Esquemas pump and dump, este es un traslado al criptomundo de la clásica estafa con acciones de menos de un dólar (penny stocks) en la bolsa de valores. La táctica consiste en inflar artificialmente el precio de una criptomoneda muy poco conocida mediante la compra masiva coordinada y la promoción con anuncios fraudulentos.
Una vez que el precio alcanza cierto nivel, se da una venta masiva para recoger ganancias, que vuelve a hacer caer el valor de la criptomoneda. De ahí su nombre: “infla y desecha”. Los que se ven más afectados por esta práctica son quienes compraron el token en su precio inflado, creyendo que seguiría aumentando o que esta sería una señal para confiar en el proyecto. Por ello, en el mundo de los mercados regulados, este esquema es ilegal.
Ahora, en el mundo de las criptomonedas, dados los vacíos legales existentes, los grupos de pump and dump en chats como Telegram no se molestan en ocultarse e incluso invitan a unirse a las compras y ventas coordinadas de determinados tokens.
Consisten en la inversión en una nueva plataforma o proyecto en donde se prometen mayores ganancias mientras más nuevos participantes se capten. Aunque se utiliza un sistema de referidos, cabe mencionar que estos también pueden ser usados de forma legítima cuando se recomienda algún producto o servicio y se gana comisión por ello. Sin embargo, la idea de los esquemas piramidales es que los últimos participantes produzcan las ganancias de los primeros, como en una pirámide. Así que cuando dejan de haber suficientes participantes nuevos, la pirámide colapsa y los administradores desaparecen con los fondos ya recogidos.
Esquemas piramidales ,dentro del criptomundo, podemos distinguir dos tipos de esquemas piramidales:
Con presuntas criptomonedas
En este tipo, junto al sistema de referidos, se involucra el comercio de una presunta criptomoneda nueva, usualmente centralizada por la empresa que promueve el esquema. Tal criptomoneda en realidad no posee valor orgánico, sino que este le es dado por los mismos miembros de la pirámide, quienes la compran bajo la promesa de que en un futuro será útil como método de pago, como combustible para una nueva plataforma blockchain que se pretende desarrollar o que valdrá miles o millones de veces más. Esto, por supuesto, es falso.
El precio de dicha moneda (si es que existió alguna vez) se desploma cuando la pirámide lo hace, acarreando grandes pérdidas a los inversionistas. Tal fue el caso de BitConnect a mediados de este año: sus administradores prometieron lanzar una casa de préstamos que utilizaría la criptomoneda BCC como combustible, mientras que los usuarios seguirían obteniendo ganancias por referidos y dinero invertido. Ahora ya no es comerciada en ninguna casa de cambio. Por otro lado, sólo en China fueron identificadas más de 100 estafas con criptomonedas falsas ligadas a esquemas piramidales.
Sin criptomonedas nuevas
En muchos casos, los estafadores se limitan a invitar a todo el que puedan a invertir criptomonedas ya existentes en su iniciativa. Crean así una red donde se transmite confianza a los más viejos inversionistas, ya que estos reciben al menos parte de los intereses prometidos (gracias a los nuevos inversionistas), por lo que siguen buscando referidos que mantienen la pirámide en pie durante un tiempo.
Este tipo de estafas suelen propagarse por todas las redes sociales, pero son bastante comunes en los grupos especializados de Facebook, donde distintos individuos realizan anuncios de inversión demasiado buenos para ser verdad, prometiendo ganancias irreales, asegurando que no existe riesgo, que el proyecto es 100% real y que a ellos mismos les ha dado excelentes resultados.
El phishing consiste en la suplantación de identidad de una autoridad, empresa o incluso de alguna persona, con el fin de engañar a la víctima para que esta revele su información confidencial. De esta forma, el atacante podrá acceder a sus cuentas o carteras y robar los fondos.
Podemos distinguir varios tipos de phishing usados en el criptomundo:
Sitios clonados
Este es el tipo más común. Aquí los estafadores preparan un sitio web idéntico al legítimo, que puede ser desde una casa de cambio o cartera en línea hasta la página oficial de alguna Oferta Inicial de Moneda (ICO), y lo propagan por distintos medios, incluyendo correo electrónico, chats y hasta anuncios de Google que pueden ser confundidos con la página original en los resultados de búsqueda.
Sitio clonado de una cartera difundido mediante anuncios.
No es inusual que, en el caso del correo y los chats, se acompañe el link del sitio fraudulento con alguna historia falsa sobre la compañía necesitando que el usuario entre a su cuenta. Así, cuando la víctima escribe sus credenciales para entrar al supuesto sitio, lo que está haciendo en realidad es dárselas al atacante.
La forma más efectiva para evitar esta estafa es observar muy bien la URL de cada página en donde poseamos fondos antes de introducir cualquier credencial. En el phishing, la URL cambia siempre en algún carácter, dado que el dominio (nombre) de la empresa o proyecto ya está tomado y no es posible que existan dos exactamente iguales.
En ocasiones, los estafadores se ahorran la molestia de crear el sitio falso y simplemente se hacen pasar por el equipo de soporte de alguna plataforma legítima, incluyendo casas de cambio y carteras. De esta forma, lo único que imitan son los logos y la dirección de correo de la empresa dentro del mensaje que envían a sus víctimas para anunciarles de algún presunto inconveniente y solicitarles su información privada con el falso propósito de ayudarlos.
El soporte fraudulento solicita acceso a la billetera virtual de la víctima y transfiere la moneda virtual de la víctima a otra billetera para una retención temporal durante el mantenimiento. La moneda virtual nunca se devuelve a la víctima, y el criminal cesa toda comunicación. Los delincuentes que tienen acceso al dispositivo electrónico de la víctima utilizan la información personal y la tarjeta de crédito de la víctima para comprar y transferir dinero virtual a una cuenta controlada por el delincuente.
Es importante recordar en estos casos que, tanto las empresas financieras tradicionales como las plataformas de criptomonedas, nunca solicitan tus credenciales, bajo ninguna circunstancia. Simplemente, porque ellos ya las poseen.
Estafas telefónicas o vishing (voice phishing)
En este caso, los estafadores no se ponen en contacto directo contigo, sino con tu compañía telefónica. Tras averiguar tu número telefónico e inclusive tu número de identificación y dirección gracias a alguna factura robada o porque simplemente en algún momento publicaste esos datos, el atacante se comunica con la compañía para transferir tu línea a una nueva tarjeta SIM bajo su control.
Debido a que la seguridad de varias empresas telefónicas suele ser bastante débil en estos casos, la operadora le pedirá muy pocos datos al atacante para confirmar su identidad. De tener éxito, el criminal podrá reiniciar todas las contraseñas del usuario legítimo utilizando la autenticación de dos pasos, es decir, el código que llega al teléfono y que usualmente sirve como capa extra de seguridad. De esta forma, las carteras en línea podrían ser vaciadas en cuestión de minutos, mucho antes de que el dueño legítimo pueda hacer algo.
También puede ocurrir que la estafa telefónica se dirija a ti. De esta forma, alguien podría contactarte haciéndose pasar por alguna empresa, contarte alguna historia falsa y no sólo pedir tus credenciales, sino instarte a depositar fondos en alguna cartera.
Estafas de salida (exit scams)
Se dan cuando cierta compañía o plataforma que hasta ese momento había sido confiable continúa recibiendo fondos de sus usuarios, pero no otorga más productos a cambio o no permite retiros. Poco tiempo después, los administradores desaparecen con todo el dinero y el sistema deja de funcionar.
Suelen describirse como estafas de salida las ICO fraudulentas, pero esto no es muy exacto, dado que estas nunca ofrecieron realmente un producto o servicio a sus inversionistas. Estafas de salida como tal pueden darse sobre todo en casas de cambio y mercados, pues la característica esencial de este tipo de estafa es que, en principio, no planearon ser una estafa: esto se da, sobre todo, a raíz de problemas con el negocio.
ANTES DE LANZARTE A LA AVERNTURA DE LAS CRIPTOMONEDAS:
No importa cuál sea el proyecto: si vas a invertir en él, debes saber hasta el más mínimo detalle, desde su funcionamiento hasta sus administradores. Si tiene un Libro Blanco, no omitas leerlo. Cuando un Libro Blanco es sólo una copia de cualquier otro, lo más seguro es que el proyecto se trate de una estafa o simplemente no tenga futuro alguno.
Ahora, si se trata de un servicio, investígalo también. Busca reseñas, quejas o recomendaciones. Además, mantente actualizado con las noticias al respecto: muchas casas de cambio al borde de la quiebra tras un hackeo masivo eligen quedarse con los fondos de sus usuarios, por ejemplo.
No creas todo lo que lees
Aun si luce legítimo, deja espacio para la duda y presta atención a los detalles. En el caso de phishing, la ortografía suele fallar, aparte de la URL. Si te garantizan ganancias astronómicas en muy poco tiempo, ten por seguro que están mintiendo. El mercado de criptomonedas es volátil y nada está garantizado.
Si lees una noticia muy positiva, no la creas hasta no dar con la fuente original y revisa si esta es confiable o no. Las redes sociales no suelen serlo. Revisa las páginas oficiales de las empresas u organismos involucrados.
Mantén fuera de vista tus llaves privadas
Las llaves privadas de tus carteras no deberían estar en digital, y menos deberían mostrarse a cualquiera que solicite verlas por cualquier motivo. Los servicios legítimos de casas de cambio y carteras nunca te solicitarán esta información. Si se te presentara algún inconveniente, el equipo de soporte te orientará sin necesidad de solicitarte ningún fondo y ningún dato más allá del problema que estés presentando.
No dejes fondos en línea
Al menos, no durante mucho tiempo. Si vas a comerciar con criptomonedas en alguna casa de cambio o a depositar en algún mercado, asegúrate de hacerlo sólo cuando sea necesario y no dejes allí ningún remanente. Estas plataformas no son carteras: tus fondos pueden estar en riesgo allí, ya sea por algún hackeo o por una estafa de salida eventual.
Utiliza el sentido común
Si algo se ve demasiado bueno para ser verdad, es que es demasiado bueno para ser verdad. Frases claves para identificar estafas son “100% garantizado”, “100% real”, “ganancias diarias”, “No scam”, “El nuevo Bitcoin”, “blockchain te hará millonario”, “tecnología que nadie conoce”, “1000 monedas gratis por unirse”, “inversión mínima”, “ganar criptomonedas fácilmente”, “estoy regalando criptomonedas”, “multiplica tus bitcoins”, “libre de riesgo” o “ganar sin inversión”.
Ejemplo de anuncio sospechoso en Facebook: «¿Quieres empezar a ganar $4.960 en Bitcoin cada semana? Con $400 de inversión, es un paseo en el parque. Mensaje privado para información». Fuente: Captura de Hackernoon.
Nadie regala dinero a desconocidos sólo porque sí, ninguna inversión está garantizada y si alguien debe insistir en que algo funciona y es “100%” real, seguramente es porque no lo es. Asimismo, ningún negocio funciona sin inversión inicial, así que “ganar sin inversión” en realidad implica un sistema de referidos (pirámide) o costes ocultos posteriores.
Hazte siempre las preguntas estándar. Si algo parece sospechoso, no otorgues ni información ni dinero hasta no investigar a fondo.