Las estafas y los escándalos son sucesos habituales en el sector de las criptomonedas. Todas las mañanas, cuando abrimos nuestro periódico sobre criptomonedas (algunos lo llaman Twitter) estamos casi seguros de que vamos a encontrar al menos una noticia relacionada con hackeos, rug pulls, ataques de phishing, operaciones de lavado, monederos comprometidos y todo tipo de eventos similares.

No es algo que nos sorprenda, puesto que la mayoría de las cadenas de bloques y criptomonedas se apoyan en el pilar de la descentralización, lo cual implica un cierto grado de ausencia de regulación. Es decir, a pesar de que los gobiernos y las autoridades se esfuerzan por desarrollar soluciones para salvaguardar las transacciones de los inversores y usuarios lo hacen sin que exista una entidad central que pueda regular o controlar un mercado con estas características de descentralización. Esto hace que las personas deban asumir un mayor grado de responsabilidad, sean más conscientes y estén mejor informadas sobre las prácticas seguras que deberían seguir antes de participar en el sector de las criptomonedas y los NFTs. Para aquellos que creen firmemente y profesan la visión de un futuro descentralizado, ésta es una responsabilidad que están obligados a aceptar.

Con la explosión en popularidad de los NFTs durante 2021, hemos visto como un mayor número de estafadores han empezado a dirigir ataques a usuarios y titulares de NFTs de gran valor. Algunos propietarios han llegado a perder NFTs valorados en más de 2.3 millones de dólares debido a enlaces que los llevan a caer en ataques de phishing, mientras que otras personas han perdido 2.7 millones de dólares en Ether en rug pulls.

Aunque parezca que nos encontramos frente a un conjunto interminable de métodos a través de los cuales los estafadores engañan a los propietarios de NFTs, hemos recopilado una lista de prácticas seguras que puedes seguir para evitar ser víctima de estas estafas. También hablaremos de algunas estafas famosas que han ocurrido en el sector de los NFTs durante el año pasado, además señalaremos algunos tipos de estafas que observamos habitualmente en el sector. Si quieres saber cuáles son, sigue leyendo este artículo.

¿Qué son los NFTs?

Antes de empezar, hablemos de lo que son los NFTs.

El acrónimo “NFT” significa token no fungible y se refiere a una pieza única de datos alojada en la dirección de un contrato inteligente en una cadena de bloques que no es intrínsecamente intercambiable por otro token. Estos NFTs son utilizados como representaciones digitales de derechos específicos otorgados a los propietarios por el creador de estos. La popularidad de los NFTs ha aumentado mucho durante los últimos años y algunos proyectos incluso les otorgan a sus propietarios una amplia gama de utilidades.

Dicho esto, veamos algunas estafas populares que han ocurrido en el sector de los NFTs durante el año pasado.

Estafas famosas de NFTs

Aunque hubo una gran cantidad de estafas de NFTs el año pasado, estas dos en particular que vamos a mencionar nos llamaron mucho la atención. Puede que no sean las estafas más grandes o más increíbles del sector, pero sin duda tuvieron un desenlace interesante. Sigue leyendo para descubrir qué ocurrió exactamente.

CreatureToadz

CreatureToadz es un proyecto de NFTs desarrollado por Skirano.eth. Este proyecto está basado en dos de las comunidades con mayor éxito del sector de los NFTs: Creature World y CrypToadz por GREMPLIN.

NFTs de la colección CreatureToadz vía OpenSea

Cuando pensamos en estafas de NFTs, la mayoría pensamos en páginas web con enlaces de phishing y en rug pulls. La suplantación de identidad por medio de ataques de phishing, en particular, es muy común, y la mayoría de los proyectos te piden que siempre entres a sus canales oficiales de redes sociales para encontrar los enlaces legítimos. ¿Pero qué ocurre cuando esas mismas cuentas de redes sociales se ven comprometidas? Eso es precisamente lo que ocurrió con CreatureToadz.

El 20 de octubre de 2021, los miembros del Discord de CreatureToadz recibieron repentinamente una notificación en el canal oficial sobre un "lanzamiento oculto". En ella se instaba a los usuarios a empezar a acuñar inmediatamente NFTs en la página web mencionada en el mensaje. Los inversores llevados por el FOMO confiaron en que el contenido del mensaje era legítimo, ya que lo había publicado un moderador del Discord oficial del proyecto.

En cuestión de 45 minutos, el estafador había recaudado un total de 88 ETH proveniente de más de 580 transacciones a través de la página web con la que realizó el ataque de phishing. Para entonces, el equipo de CreatureToadz había conseguido recuperar el control del Discord e instó a los inversores a dejar de realizar acuñaciones usando el sitio publicado por el estafador. El equipo tuiteó inmediatamente un mensaje de disculpa a la comunidad y se ofreció a compensar completamente a las víctimas de la estafa.

Más tarde, el equipo se preguntó cómo un estafador había sido capaz de obtener acceso al Discord oficial del proyecto. En un Twitter Space organizado el mismo día por Andrew Wang, un inversor y periodista especializado en NFTs, la identidad del hacker se logró vincular a una cuenta de Twitter conocida como HEERR. Mientras se realizaba el anuncio en Twitter Space , los asistentes se dieron cuenta de que el hacker estaba conectado en directo la discusión. Esto hizo que los participantes señalaran al hacker y le pidieran que devolviera los fondos robados.

Poco después  el hacker reveló ser un estudiante de secundaria de 17 años que había realizado el ataque como una broma para mostrar las vulnerabilidades de las comunidades de NFTs que se comunicaban a través de Discord. Esto dio lugar a una acalorada discusión durante la transmisión en vivo, ya que la gente intentó convencer al hacker de que devolviera los fondos robados. Finalmente, el hacker prometió devolver los fondos a la comunidad enviándolos al equipo de CreatureToadz, que reembolsó los fondos a cada uno de los monederos afectados de forma individual.

A pesar de este final aparentemente afortunado, los participantes de este ecosistema de NFTs quedaron marcados por este encuentro, ya que más proyectos similares hicieron saber a su comunidad que nunca harían lanzamientos ocultos fuera de las fechas de lanzamientos anunciadas en sus hojas de ruta. Aun así, CreatureToadz no fue el primero, y desde luego no ha sido el último proyecto en caer en este tipo de estafas.

Holy Primes

Es posible que la mayoría de nosotros estemos familiarizados con la expresión "manipulación pump and dump". Se trata de una estafa habitual en el sector de las criptomonedas y de las altcoins, en la que algunos grupos de personas deciden colectivamente aumentar la presión de compra de un token, para luego venderlo en máximos una vez que más personas invierten en ese token. Esta manipulación en el precio suele ser el resultado de un esfuerzo coordinado y no se basa en la obtención de ninguna utilidad o desarrollo fundamental. Estos esquemas se ven generalmente en los mercados más líquidos. No obstante, este proyecto en concreto que vamos a discutir se vio afectado por un plan de manipulación pump and dump en el mercado de los NFTs, un mercado ilíquido.

Anuncio en Discord de un plan de manipulación pump and dump por parte de NFTLlama. Imagen vía Twitter

Holy Primes es una colección de NFTs desarrollada por Pokilo.eth que muestra imágenes de calculadoras con números primos. El proyecto que comenzó como una broma ha introducido alguna utilidad para que sirva de pase para la acuñación de colecciones de nuevos artistas. A pesar de esto, hemos incluido este proyecto en esta lista debido a un tuit publicado por NFTLlama en septiembre de 2021. El tuit pedía realizar un esfuerzo colectivo para comprar y elevar el precio base de esta colección a al menos 3 ETH. El tuit era muy transparente en cuanto a lo que se quería conseguir: convertirse en el equivalente a AMC/Gamestop en el mundo de los NFTs y que el logro fuera publicado en la revista Forbes. Debido a este tuit, muchos inversores entraron en FOMO esperando que el precio mínimo subiera a 15 o 20 ETH antes de que empezara a caer. No obstante, la colección comenzó a devaluarse en cuanto el precio alcanzó los 3 ETH. En el momento de escribir este artículo, el precio base del proyecto se sitúa aproximadamente en 0.03 ETH, y muchos de los que participaron en la manipulación de precio han perdido gran parte de su inversión.

Aunque hemos incluido este proyecto en la sección de estafas, viendo lo transparente que fue NFTLlama con lo que quería lograr, muchos pueden no considerarlo como una estafa, ¿verdad? Los inversores eran conscientes de que participar en esta manipulación conllevaba un gran riesgo, pero apostaron voluntariamente por la posibilidad de ganar dinero rápido al subirse al hype. Aunque no hubo ninguna distorsión de los hechos, y a pesar de que este tipo de acciones grupales no es ilegal en un mercado no regulado como el de los NFTs, quisimos incluir este incidente en el artículo para que puedas conocer diferentes esquemas y trampas en los que puedes caer si no tienes cuidado. Si eres parte del sector de los NFTs, te encontrarás con muchos más proyectos y esquemas grupales de manipulación de precios, pero la mejor práctica que puedes seguir para mantener tu dinero a salvo es no participar en ellos.

Tipos de estafas de NFTs

Ahora que hemos visto unos cuantos ejemplos reales de estafas que han ocurrido en el ámbito de los NFTs, veamos algunos de los métodos de estafa más comunes.

Estafas de phishing

Dicen que imitar es la mejor forma de halagar, bueno, quizá no tanto en este caso. Las estafas de suplantación de identidad, también conocidas como ataques de phishing, se refieren a ataques en los que se engaña a inversores y a usuarios para que visiten e interactúen con páginas web falsas que son muy parecidas a las originales. Este método es uno de los más antiguos y comunes en la historia de Internet. Puedes perder dinero en esta forma de ataque si intentas acuñar NFTs en una página web falsa (a la que envías tu ETH sin recibir un NFT a cambio) o si ingresas la frase de recuperación (o frase semilla) de tu monedero en un MetaMask falso o en algún otro sitio web/pop-up de monederos en caliente.

Estafas de manipulación pump and dump

Ah, estamos en la era del marketing con influencers. ¿Qué puede salir mal? Probablemente Lil Uzi Vert pueda apoyarte y cuidar de tus inversiones, ¿verdad?

Error.

Si eres parte del sector de los NFTs, es mejor que siempre hagas una investigación minuciosa sobre el proyecto y su equipo en el que quieras invertir. Dicho esto, aunque creas que los influencers tienen las mejores intenciones al promover un proyecto, esto no siempre resulta ser cierto. Por ejemplo, basta con recordar todas las manipulaciones pump and dump que hemos visto en el sector durante el último año por parte de influencers de alto perfil en proyectos como Save the Kids, Dink Doink, y CxCoin.

A la mayoría de los influencers se les ofrecen grandes sumas de dinero para promocionar un proyecto de NFTs o de criptomonedas, e incluso aunque el equipo detrás del proyecto parezca poco confiable, la cantidad de dinero que les ofrecen puede ser demasiado buena como para dejarla pasar. Así que, independientemente de lo fanático que puedas ser, te conviene mirar con más detenimiento los proyectos que son anunciados por influencers. Si todavía necesitas que te convenzan y necesitas saber si tu influencer favorito podría estar participando en una trama de manipulación pump and dump, sólo tienes que ver unos cuantos vídeos de Coffeezilla. Seguro que sales convencido.

Catfishing

Así es, ¡Catfishing! Una práctica habitual que hemos visto en las aplicaciones de citas en la que la gente se hace pasar por alguien que no es para engañarte. Nos atrevemos a decir que en realidad encontrarás más trampas de tipo catfish en tus mensajes directos de Discord que en el perfil que tengas en una aplicación de citas. Estos mensajes directos  pueden ser parecidos a los mensajes de un miembro del equipo de un proyecto de NFTs en particular o incluso a un bot de Discord que puede ofrecerte entrar a una lista blanca exclusiva u oportunidad de acuñación..

Estafa de phishing a través de mensajes directos de Discord, se trata de un estafador que se hace pasar por un bot de Discord. (Aviso: nada en este artículo o imagen debe interpretarse como un respaldo a ningún proyecto)

Si alguna vez respondes a uno de estos mensajes, te encontrarás con que te piden casualmente que reveles la frase de recuperación (frase semilla) de tu monedero o puede que te dirijan a un enlace de phishing parecido a la página web del proyecto original. Lamentablemente este método es tan común en el sector que la mayoría de los miembros de los proyectos añaden la palabra "Nunca te escribiremos un mensaje directo" a su nombre para que se entienda el mensaje.

Rug Pulls

Imagina que vas en tu coche por la autopista y de repente las ruedas salen volando. Eso es lo que sienten la mayoría de los inversores de NFTs que han sufrido un rug pull. Un rug pull se produce cuando el equipo que está detrás de un determinado proyecto de NFTs decide repentinamente abandonar el proyecto después de su lanzamiento y retirar de la tesorería todos los fondos destinados al desarrollo a futuro del proyecto.

Recientemente tuvo lugar un rug pull valorado en unos 1.3 millones de dólares en un proyecto de NFTs llamado "Big Daddy Ape Club" en la red de Solana. Este rug pull en particular resulta ser no sólo el rug pull de NFTs más grande en la red de Solana, sino también que también fue uno de los más brutales. Mientras que la mayoría de los rug pulls dejan a los inversores en posesión de algún NFT, los inversores del proyecto "Big Daddy Ape Club" nunca recibieron sus NFTs a pesar de haber pagado las comisiones de acuñación.

Big Daddy Ape Club vía Decrypt

Para colmo de males, la mayoría de los inversores confiaron en el proyecto, ya que incluso habían sido verificados por una empresa de verificación de identidad descentralizada llamada "Civic". La empresa de verificación de identidades está trabajando ahora con las agencias de seguridad para localizar a los estafadores. Esto demuestra que, por mucho que confíes en los checks de verificación, en ausencia de un escrutinio normativo directo, tienes que reforzar tus propias medidas de verificación y ser muy crítico con la actividad sospechosa que observes en los grupos de Discord de estos proyectos.

Estafas a través de pujas

Si alguna vez has visitado OpenSea o alguno de los muchos mercados de NFTs, habrás notado que los usuarios pueden hacer ofertas por NFTs, aunque no estén en venta. Esta función permite a los propietarios aceptar una oferta sin poner a la venta sus NFTs. Aunque esto puede ahorrarles algunas comisiones de gas y ofrecer más flexibilidad para la negociación de los tokens, los estafadores han empezado a utilizar esta función para atacar y arrebatar los NFTs a precios ridículamente bajos. Por ejemplo, pueden hacer una oferta inicial de 5 ETH, que luego cambian por 5 USDC u otra criptomoneda de menor valor antes de que aceptes la oferta.

Dado que las víctimas de este tipo de estafas suelen perder sus NFTs por descuido o falta de atención, es importante tener en cuenta que siempre hay que comprobar dos veces la puja y el token ofrecido como pago antes de aceptar la oferta.

Software malicioso

Hemos visto muchos hackeos de MetaMask durante los últimos dos años, y todavía nadie puede entender cómo exactamente los hackers consiguen acceder a estos monederos. Las víctimas de estas estafas aseguran que nunca visitaron alguna página web de phishing ni revelaron su frase de recuperación a nadie. Entonces, ¿cómo pudo ocurrir esto exactamente?

Vídeo del hackeo del MetaMask de CryptoJordin vía YouTube

Eso es exactamente lo que explica un YouTuber llamado CryptoJordin. En algún momento de diciembre del año pasado, fue víctima de un ataque a su MetaMask y se encontró con que todos sus fondos habían sido sacados de su monedero. Desconcertado y decidido a averiguar quiénes eran los culpables y cómo habían vaciado sus fondos, grabó una serie de vídeos que documentan su investigación. Su investigación revela que los atacantes habían conseguido instalar un malware en su ordenador a través de un enlace para compartir archivos en su correo electrónico, haciéndose pasar por un patrocinador de productos de videojuegos. Este software malicioso infectó rápidamente y recopiló los datos de todos sus dispositivos conectados a su red de WiFi. Esto permitió a los hackers acceder de forma remota y hackear cualquier dispositivo en su casa. Por mucho que los monederos hardware sean alabados por su seguridad, incluso ellos habrían sido vulnerables a este particular ataque.

Hackeos en Discord y redes sociales

Hace poco las cuentas de redes sociales de muchos influencers del sector de las criptomonedas fueron hackeadas, y en ellas se publicaron vídeos promocionales de algunos proyectos estafa. Aunque ese hackeo ocurrió en YouTube, la mayor parte de este tipo de actividades de hackeo suele estar dirigida a proyectos de criptomonedas y NFTs en Discord. Los hackers obtienen acceso y control del servidor oficial de algún proyecto, comprometiendo las cuentas de los miembros del equipo o publicando enlaces en el canal de anuncios al obtener acceso a la función webhook de Discord. Algunos proyectos como CreatureToadz, Monkey Kingdom y Fractal han sido víctimas de este método de ataque.

Lista de prácticas seguras

Ahora que hemos visto algunos de los tipos de estafas más comunes en el sector de los NFTs, veamos una serie de pautas de seguridad que debemos seguir al participar en este ecosistema.

1. DYOR, haz tu propia investigación

Así es, la práctica número uno a seguir es hacer tu propia investigación . La mayoría de los participantes en el sector de los NFTs se limitan a seguir a muchos influencers sin tomarse el tiempo de investigar y tomar decisiones informadas sobre un proyecto. Por muy entretenidos que sean los vídeos de YouTube, estos no sustituyen a la investigación que puedas hacer sobre los miembros del equipo de un proyecto, su actividad, la utilidad propuesta del proyecto, o si el arte o ser parte de la comunidad te conviene o no.

2. Evita los equipos anónimos o con pseudónimos

Como regla general, nos parece seguro mantenerse alejado de los proyectos con fundadores o equipos que sean anónimos o que usen pseudónimos. Con este tipo de fundadores o equipos nunca puedes saber quiénes son o si ya han formado parte de otros rug pulls o estafas. En primer lugar, estos datos te permiten estar más informado y predecir las acciones futuras del equipo. En segundo lugar, en el caso de que los fundadores anónimos hayan estado involucrados en estafas en el pasado, y si esta información sale a la luz unos días después del lanzamiento, el proyecto puede verse completamente afectado y puede que nunca se recupere de la mala publicidad asociada al fundador.

3. Comprueba la actividad en las redes sociales

Sin duda, una de las mejores métricas para predecir la legitimidad de un proyecto de NFTs es observar la naturaleza de su actividad en las redes sociales. Comprueba si sus campañas en redes sociales se basan demasiado en el uso de marketing con influencers y si hay rastros de discusiones sobre planes futuros y otra información de utilidad para los titulares de los NFTs del proyecto. Además, aunque el recuento de seguidores puede indicar el nivel de interés que existe para el proyecto, el verdadero indicador para calcular el interés lo podrás ver en el apoyo que cada una de sus publicaciones recibe de la comunidad.

4. Utiliza un monedero distinto para las acuñaciones

Siempre nos ha parecido buena idea utilizar un monedero diferente a tu monedero habitual para acuñar NFTs en páginas web de nuevos proyectos. Algunas personas pueden incluso recordarnos que no debemos poner todos nuestros huevos en la misma cesta. Además, cuando hayas acuñado un NFT con éxito, podrás transferirlo a tu monedero principal para guardarlo y poder dormir tranquilo sabiendo que hiciste lo correcto.

5. Comprueba dos veces la página web de acuñación y compárala con los canales oficiales

Comprueba siempre la dirección URL de la página web antes de conectar tu monedero a ella. Si no sigues este paso, podrías acabar siendo víctima de una estafa.

6. Compruebe la dirección del contrato de la colección NFT

Si estás navegando en un mercado secundario y encuentras un NFT de una colección famosa a precios de ganga, probablemente estés ante un fraude. Así que, antes de entrar en modo FOMO y hacer click en el botón de compra, comprueba la dirección del contrato de los NFTs que quieres comprar y compara con la dirección del contrato que aparece en la página web oficial del proyecto.

7. Utiliza un monedero hardware

No hace falta mencionar que los monederos hardware son considerados una de las mejores opciones para salvaguardar tus criptomonedas. Te protegerán contra la mayoría de los actores y ataques maliciosos, ya que almacenan la clave privada en el dispositivo del monedero en lugar de en el ordenador. Esto dificulta que los atacantes aprueben las transacciones sin tener acceso a tu monedero hardware. Esto puede evitar que tus NFTs sean transferidos sin tu permiso. Algunos de los mejores monederos hardware del sector son los desarrollados por Trezor y Ledger.

8. Nunca des tus claves privadas ni tu frase de recuperación

Not your keys, not your crypto. O lo que es lo mismo, si no tienes las claves privadas no son tus criptomonedas. La única vez que tendrás que introducir tu frase semilla en algún sitio es cuando hagas una copia de seguridad de tu monedero o si vas a restaurar un monedero antiguo en un nuevo dispositivo o navegador. Nadie te pedirá NUNCA tus claves privadas o tu frase de recuperación. Si alguien te manda un mensaje directo pidiéndote tu frase de recuperación para enviarte un NFT o poner tu monedero en la lista blanca, puedes estar seguro de que se trata de una estafa con la esperanza de robar los activos de tu monedero. Además, vigila cualquier ventana emergente aleatoria que diga ser MetaMask y te pida que vuelvas a confirmar tu frase de recuperación; a buen seguro se trata de  una estafa.

9. Nunca hagas click en enlaces sospechosos

Sé siempre cuidadoso con las páginas que visitas en Internet con el dispositivo que utilizas para acceder a tus criptomonedas y cuentas. Tu dispositivo podría infectarse con un virus o un software malicioso que pueda dirigirse a tu MetaMask o vigilar tu actividad financiera al acceder a páginas web y enlaces sospechosos. Si es posible, te sugerimos que utilices un dispositivo diferente con una conexión a internet independiente para realizar tus transacciones con criptomonedas.

10. Desactiva los mensajes directos en Discord

Si estás planeando unirte a una gran cantidad de servidores de Discord para asegurarte el acceso a una lista blanca o para participar en una comunidad, te sugerimos que desactives la opción de recibir mensajes directos de desconocidos de forma selectiva en ciertos servidores, o mejor, completamente. Esto reduciría tus posibilidades de ser víctima de enlaces de phishing y ataques de catfishing en Discord.

11. Si parece demasiado bueno para ser verdad, probablemente lo sea.

La última práctica segura de esta lista es dudar de todo hasta que se demuestre lo contrario. Si algo parece demasiado bueno para ser verdad, la mayoría de las veces, probablemente lo sea. Así que asegúrate de verificar toda la información con la que tengas contacto.

Conclusión

Si has comprendido mejor qué esperar del ecosistema NFT y cómo protegerte cuando participes en él, entonces este artículo habrá cumplido su objetivo. Ten cuenta que los estafadores están innovando constantemente creando nuevas formas de atacar y robar activos a los participantes del sector de las criptomonedas y los NFTs. Así que la única forma real de estar a salvo es ser proactivo e informarse sobre las últimas medidas de seguridad que hay que seguir mientras el ecosistema sigue evolucionando. Hasta entonces, como se dice en la comunidad de los NFTs – WAGMI (lo vamos a lograr).

Aviso: Estas son las opiniones del autor y no deben ser consideradas como consejos de inversión. Los lectores deben hacer su propia investigación.

El artículo NFT Scams: How to Avoid them and Keep SAFE! fue publicado por primera vez en Coin Bureau.