El profesional de la ciberseguridad Christian Seifert dio un ejemplo de cómo estafadores pueden abusar de las medidas de Discord contra los enlaces maliciosos.
Con millones de dólares en activos perdidos por ataques de phishing tras firmar permisos maliciosos, la amenaza de perder criptoactivos por enlaces dudosos es muy real. Cuando estos se combinan con plataformas que permiten enlaces ocultos, los usuarios se exponen a un tipo de riesgo diferente.
El 4 de septiembre, el proveedor de seguridad Web3 Pocket Universe compartió cómo los estafadores pueden ocultar enlaces de drenaje de monederos en cualquier texto de la plataforma de mensajería instantánea Discord. Si bien algunos usuarios informan que la función sólo se ha habilitado para los usuarios de Discord recientemente, la capacidad de incrustar enlaces en cualquier texto ha estado disponible en muchas plataformas sociales diferentes desde hace un tiempo.
Cointelegraph se puso en contacto con varios profesionales de la ciberseguridad para saber más sobre cómo los usuarios pueden protegerse de estos intentos y cómo las plataformas pueden mejorar su seguridad para que los usuarios no sufran este tipo de ataques.
Christian Seifert, que trabaja como investigador residente en la firma de seguridad Web3 Forta Network, dijo que este tipo de ataque ha sido el pan de cada día de los hackers desde que se creó Internet. Así lo explica:
«Sin importar lo que cree una plataforma, habrá un hacker dispuesto a encontrar la forma de piratearla. Los hipervínculos con texto son una característica admitida como parte de HTML y han sido fuente de ataques de phishing desde los primeros días de Internet».
Según Seifert, la seguridad requiere un planteamiento de defensa en profundidad. «Tanto las plataformas como los usuarios deben trabajar para protegerse», afirma. Por parte de los usuarios, el profesional de la seguridad destacó que existen plugins que pueden utilizar para protegerse de este tipo de estafas.
En lo que respecta a Discord, Seifert señaló que la plataforma proporciona información sobre el verdadero destino de la URL después de que el usuario haga clic en ella. Sin embargo, la plataforma también permite a los usuarios «confiar» en un dominio en el futuro. Según Seifert, los estafadores pueden abusar de esta posibilidad. Lo explica así:
«Imaginemos un dominio como foo.bar, en el que el usuario confía. Un estafador puede crear un enlace potencialmente malicioso que realice alguna acción en este dominio, como una solicitud ‘oauth’ al estafador, como foo.bar/oauth/scammer-account».
El profesional de la ciberseguridad dijo que un problema con la implementación actual de la plataforma es que los enlaces y el texto pueden ser engañosos y no ajustarse a las expectativas de los usuarios. «Si un enlace de texto se parece claramente a un dominio o URL y no coincide con la verdadera URL de destino, Discord debería desautorizar dichos enlaces», añadió.
Mientras tanto, Hugh Brooks, director de operaciones de seguridad en la firma de seguridad blockchain CertiK, se hizo eco de algunos de las observaciones de Seifert. Según Brooks, los usuarios y las plataformas tienen la responsabilidad colectiva de vigilar a los actores maliciosos. Explicó que es esencial que las plataformas revisen y perfeccionen continuamente sus dispositivos de seguridad y que los usuarios se mantengan vigilantes e informados.
En cuanto a los usuarios, Brooks dijo que deben ser proactivos y cautelosos cuando se trata de enlaces, especialmente cuando se les piden firmas y permisos. El ejecutivo instó a los usuarios a verificar la autenticidad de la dirección del sitio antes de darle acceso a los monederos de criptomonedas. Brooks compartió que:
«Una buena práctica es cotejar las direcciones web con listas de alerta de phishing reconocidas. PhishTank, Google Safe Browsing y OpenPhish son recursos valiosos en este sentido, junto con extensiones del navegador como HTTPS Everywhere y bloqueadores de anuncios como uBlock».
Brooks explicó que estas herramientas pueden alertar a los usuarios en tiempo real cuando están a punto de visitar sitios web conocidos de phishing o maliciosos. «Además, con solo pasar el ratón por encima de un enlace URL, se mostrará la dirección web real, lo que permitirá a los usuarios confirmar su legitimidad antes de continuar», añadió.
Por parte de la plataforma, el profesional de la ciberseguridad dijo que hay medidas que se pueden implementar, como poder recibir sólo mensajes de contactos de confianza. Brooks dijo que un buen ejemplo de esto es «Facebook Protect» de Meta, que permite a los usuarios tener características de seguridad reforzadas para sus cuentas.
«Como dice el refrán, lo único constante es el cambio. Las plataformas deben a sus usuarios y a su continua relevancia hacer de la seguridad una prioridad. Esto implica no sólo actualizar las medidas de seguridad, sino también fomentar una cultura de vigilancia y concienciación entre los usuarios«, añadió.
notiveraz