En el mundo NFT y cripto, el precio a pagar por ser dueños de nuestras wallets es tener que estar alerta y prestar mucha atención a posibles scams. En este post, reunimos las más comunes para que no caigas en ellas.
1. El DM en Discord
El DM en Discord es una de las scams más comunes de ver: alguien que parece que pertenece a un proyecto te envía un DM en Discord.
Siempre hay un link en el que clicar y lo más probable es que si lo haces, haya una copia exacta de la web del proyecto y si conectas tu wallet, lo pierdas todo. En este ejemplo, vemos que el enlace de Opensea acaba en .fo en lugar de .io.
Para evitar esto, podemos limitar quién nos envía mensajes en esta aplicación, en las opciones, clicando en Privacidad.
Después, deseleccionamos la opción para que nos puedan enviar DMs usuarios de servidores en los que estamos. Eso sí, acuérdate de volverlo a activar para servidores específicos en los que te interese que sea así (normalmente los más pequeños y privados).
2. El email falso
El mundo cripto, al ser un ecosistema nuevo, está viendo cómo se repiten scams que al comienzo de internet funcionaban muy bien. Una de ellas es el phishing. El correo que ves más abajo es legítima y es de una compra a Lassofilms. Sin embargo, muchas veces recibiremos correos iguales que el de abajo provinientes de un dominio como opensea .tl o similares.
Muchas veces nos enviarán un correo diciendo que una de nuestras piezas más valiosas se vendió por una cantidad pequeña, desatando el pánico en nosotros y haciendo que cliquemos en el link. Este tipo de emails juegan con la urgencia y el pánico.
Para evitarlo, procura siempre ir al navegador y loguearte desde el link que conoces del marketplace.
Aquí podemos ver otro ejemplo en el que le enviaron a Lucas León un email supuestamente de Foundation. Sin embargo, el dominio acababa en .art en lugar de .com
3. Amigo de Discord
La suplantación de identidad también es una de las scams más típicas del mundo NFT. Alguien copia todo el perfil de un amigo tuyo con el que saben que tienes relación. Te mandan un mensaje y se aprovechan de tu confianza para pedirte dinero o algún tipo de información privada.
En este ejemplo, vemos como alguien suplantó a Matty (DCLblogger) para pedir a un amigo suyo que le vendiera BTC a cambio de ETH. También hemos visto casos de amigos hispanohablantes que, por alguna «razón desconocida», nos hablan en inglés y no tienen ni idea de español.
Para evitar esto, comprueba muy bien el nombre de usuario de quien te habla en Discord y otras redes sociales.
4. DM en Twitter
Este tipo de scam afecta mayormente a artistas que venden su arte como NFTs. Un coleccionista te envía un DM en Twitter diciendo que te comprará tu pieza si tú realizas algún tipo de acción primero (enviarle criptomonedas o clicar algún link).
Obviamente, ningún coleccionista te pedirá que le envíes dinero para pagar las gas fees o algo parecido. Por eso, desconfía siempre de este tipo de mensajes.
En esta imagen podemos ver cómo un «coleccionista» le envió un mensaje a Fran Rodríguez siguiendo este modelo de scam.
5. Cuentas falsas en Twitter
En ocasiones, se hackean cuentas con el símbolo de «verificado» en Twitter y se les cambia el nombre para que mucha gente caiga en una estafa. Una de las más típicas que hemos visto es suplantar la cuenta de Elon Musk o de exchanges de cripto. Incluso el propio Elon Musk fue hackeado en su día por un error interno de Twitter.
¿Cómo podemos darnos cuenta de que es un scam?
-
Número de respuestas e interacción baja: aunque no es totalmente indicativo, si un tweet tiene una interacción muy baja respecto a otros tweets, podría ser porque es un scam.
6. Google Ads
En Google Ads puedes escribir el link que quieras. De hecho, puedes perfectamente hacer anuncios de cualquier web, sea scam o no.
Muchos estafadores compran dominios muy parecidos a los de las principales plataformas como Opensea. El original es Opensea.io, pero puedes ver Opensea .tl, .lo, etc. Si clicas, verás una web exactamente igual que la que esperas encontrar, pero se trata de una estafa.
Hace un tiempo, hubo una scam así con Metamask que hizo que muchísima gente se descargara un software malicioso. Esto resultó en muchas wallets hackeadas.
Para evitarlo, intenta nunca clicar en los anuncios y siempre ver el nombre de dominio y asegurarte que es el que debería ser.
7. NFTs Falsos: copyminting
Una de las scams que más se asemejan a aquéllas del mundo físico es el copyminting. Esto es generar una colección de NFTs que parece la real pero se trata de copias falsas. Esto lo hacen escribiendo un nombre parecido en marketplaces como Opensea y usando la imagen del original para mintear.
Esto es algo que, como nos contó en la entrevista, le ocurrió varias veces a Pequelord. Él nos recomendó que, si eres artista, compres un dominio (Tucolección .com) que vaya directamente a tu colección en un marketplace para que la gente pueda comprar desde él.
Para no caer en este tipo de scam como comprador, puedes investigar utilizando Etherscan y viendo qué wallet está detrás del minteo o acceder directamente desde los links del perfil del artista en cuestión.
8. Hackeo de cuenta en exchange
Aunque esto es algo que quizás es más del mundo cripto en general, puede afectar perfectamente a la gente del mundo NFT.
En ocasiones, se ha podido hackear la cuenta de usuarios de ciertos exchanges porque se ha podido acceder (mediante phishing u otros métodos) a la cuenta de email e incluso a los sms del número de teléfono. Esto es posible porque existe un mercado negro que permite la compra de tarjetas SIM duplicadas.
Por esto mismo, hay veces que ni el 2FA (autenticación de 2 factores) puede salvarnos.
Lo que podemos hacer es tener una coldwallet como Ledger o Trezor o, como mínimo, guardar nuestras criptomonedas en nuestra wallet de Metamask.
9. Airdrops
En muchas ocasiones, se crean airdrops desde cuentas falsas que te invitan a loguearte en ciertas plataformas falsas con tu wallet de Metamask. Una vez lo hacemos, tendrán acceso a nuestra wallet y a todos sus activos.
En este caso, podemos ver cómo hicieron una cuenta muy parecida a la de UniSwap con muchísimos seguidores. Sin embargo, el handle real de Uniswap es @Uniswap y el link es Uniswap.org. Aquí podemos ver que ninguna de estas cosas se cumplen en la imagen.
10. Airdrops 2.0
Hay otra versión mucho más peligrosa de los airdrops, ya que parece inofensiva y puede hacernos perderlo todo.
Básicamente, existen tokens ERC-20 («criptomonedas») en Ethereum y otras blockchains, que pueden vaciarnos nuestras wallets.
El modo en el que nos engañan es: vemos nuestra wallet, vemos que hemos recibido un token y que además tiene un gran valor ($100.000) y al ir a exchanges descentralizados como Uniswap y firmar el smart contract para poder operar con estos tokens y venderlos, das permiso para vaciar tu wallet.
¡Mucho cuidado con los tokens que no conocemos!
11. Coldwallet hackeada
En ocasiones, al comprar tu coldwallet como Ledger o Trezor de un proveedor no oficial (Amazon o eBay), puede que en realidad te estés haciendo con una edición hackeada.
Esto lo pueden hacer de varias formas y no siempre es culpa del propio vendedor.
Por ejemplo, alguien puede comprar un coldwallet en Amazon, hackearlo y devolverlo. El vendedor, al ver que es solo una devolución, se lo vuelve a vender a otro cliente.
También puede darse el caso de que veas una gran oferta porque el monedero físico lleva software malicioso dentro.
Siempre compra tu dispositivo del proveedor oficial.
12. Minteos falsos
Algo que dio mucho de qué hablar en el ecosistema son los minteos falsos. Esto es, hacer que un NFT aparezca como que fue minteado desde la wallet de alguien famoso como Beeple (al menos de cara a plataformas como Opensea).
Esto es posible porque puedes crear un NFT que se envíe automáticamente a la wallet de alguien y vuelva sin su permiso. Opensea interpreta que, al ser la primera wallet por la que pasó, fue esa persona la que lo minteó, dando lugar a malentendidos.
Para evitar esto, podemos ver en Etherscan el historial de este NFT.
13. Colaboración falsa
Algo que se da mucho también y que ha sido una razón por la que varios artistas han perdido mucho dinero son las colaboraciones falsas.
Esto consiste en que alguien, de una empresa aparentemente con seguimiento y reputación, te habla porque les gustaría que hicieras arte para un NFT que van a lanzar. Aunque al principio pueda parecer legítimo, te envían un archivo «de muestra» de lo que quieren y en realidad se trata de un archivo que hará que lo pierdas todo. En esta imagen de Xabier Iglesias, vemos cómo le intentaron engañar.
Para evitar este tipo de scams, intenta nunca jamás descargar archivos de muestra. Por ejemplo, puedes visualizarlos dentro de alguna plataforma como Google Drive o directamente en Youtube. Normalmente, vienen comprimidos a propósito para que tengas que descargarlos en tu ordenador.
14. NFTs regalados y peligrosos
La última de las scams, aunque no se sabe gran cosa de ella. Se ha ido difundiendo el rumor de que hay NFTs que te envían a tu wallet y que si interaccionas con ellos, pueden hacer que te hackeen la wallet.
Aunque no se sabe hasta qué punto esto puede ser así, es mejor evitar averiguarlo y no interactuar con el NFT en Opensea. En ocasiones, veremos que el NFT en cuestión ha sido listado por un dineral y estaremos tentados venderlo. Pero, al igual que en el airdrop 2.0, esto es una táctica más para engañarte.
Normalmente, estarán minteados en la blockchain de Polygon o similares, ya que es mucho más barato enviar NFTs de forma masiva.
En la imagen, vemos a la izquierda un «Classic Kitty«, un NFT que varias personas recibimos y que no sabemos quién está detrás. Por ello, lo ocultamos, pero parece que Opensea lo acabó bloqueando del marketplace.
15. Falso precio en Opensea
Una scam que se dio durante un tiempo y todavía tiene sus víctimas es la de hacer una oferta a alguien en Opensea en una criptomoneda de mucho menos valor, haciéndole creer a la persona que es ETH.
Aunque Opensea ha tomado medidas para que esto no sea tan fácil, hace un tiempo, el scammer en cuestión se ponía el símbolo de ETH de imagen de perfil y así lograba engañar al vendedor, quien por la prisa y la emoción de la venta, aceptaba la oferta al ver el número (ej: 15) junto al símbolo.
Nota final
Como vemos, muchas de estas scams se valen de la ingeniería social para que cliques en un link y te loguees con tu wallet donde no deberías. Para evitar caer en ello, siempre intenta no descargar archivos ni clicar links y no entrar en pánico si ves un mensaje de algo que no debería pasar.
Además, puedes leer nuestra Guía para mantener tu wallet segura, usar nuestros Recursos de ciberseguridad (agradecimientos a Limbo Mask y Div Security y escuchar la Charla NFT que tuvimos con Limbo Mask sobre ciberseguridad.
¿Conoces alguna más? ¡Cuéntanosla en un comentario!
Post basado en el tweet de DCL Blogger.