logo
logo
Menu
Redes Sociales

Evitando los peligros de Discord

5 minutos

Disponible en:

Sep 19th, 2023 - 23:23 pm

JonHQJonHQ
Translated By:
bc1xbt.ethbc1xbt.eth
SHARE

¿Por qué es tan peligroso Discord?

Estoy seguro de que todos ustedes han escuchado las mismas cosas una y otra vez en Web3. "¡Discord es horrible!", "Nuestro proyecto nunca usará Discord debido a los riesgos de seguridad", o mi favorito personal: "Simplemente desactiva los mensajes directos, idiota".

Los influencers en Twitter suele hablar vagamente, en general, sin decirte POR QUÉ actúan de esa manera. No te dicen POR QUÉ los mensajes directos son tan peligrosos. Así que, afortunadamente, a través del poder de la ciencia, hemos extraído el cerebro de uno de estos estafadores peligrosos de Web3 y vamos a echar un vistazo a sus objetivos, su proceso de pensamiento, para que puedas entender que el consejo real no es desactivar los mensajes directos, sino nunca estar solo con un estafador.

#1: Un error común … Los mensajes directos …

Desactivar tus mensajes directos en Discord es un buen consejo, pero sin justificarlo conduce a la confusión y a los peligros.

Estos mismos, por lo general, no te dirán que desactives las solicitudes de amistad, ya que están en camino de comentar "gm" en Twitter por el día 300 consecutivo en un extraño ritual tipo danza de la lluvia intentando revivir el mercado alcista.

Para saber cómo defenderte de los estafadores, a menudo es muy útil pensar como un estafador. Así que echemos un vistazo dentro del cerebro del estafador y examinemos el proceso de pensamiento:

En algún lugar dentro del cerebro del estafador: Sabemos el objetivo, queremos acceder a una billetera, y hay varias formas de lograrlo, pero hay casi una cosa universal que necesitamos lograr... Necesitamos que la víctima esté sola.

Así es, si podemos conseguir que la víctima esté sola en algún lugar con nosotros, podemos convencerlos de que cualquier estafa que estemos ejecutando es legítima. Si hablamos en un lugar público, algún entrometido de Web3 entrará y gritará que estamos ejecutando una estafa. No podemos permitir eso.

Los mensajes directos de Discord funcionarán extremadamente bien para esto. Pero, ¿qué pasa si una víctima tiene sus mensajes directos cerrados? Bueno, hay formas de evitarlo…

  1. !Mensajes de Twitter!: Sí, es correcto, los mensaje de Twitter tampoco son seguros. Aunque hay un poco más de seguridad, ya que puedes verificar seguidores mutuos, etc., todo eso se puede falsificar con una cuenta experimentada, o peor aún, ¡podría ser una cuenta de Twitter comprometida!
  2. Solicitudes de amistad de Discord: Cualquiera que sea tu amigo en Discord puede atravesar tu configuración de "desactivar los mensajes directos". Así que en lugar de enviarte un mensaje directo... simplemente envían una solicitud de amistad. Además, pueden pedirte amablemente que los agregues como amigo en un marketplace (¡los comerciantes legítimos también lo harán!).
  3. Servidores de Discord con bajo volumen: Si hablas en un canal, hilo o servidor de uso poco frecuente, hay menos posibilidades de que alguien más se involucre.
  4. Hilos privados o tickets de soporte: Existe la posibilidad de que un estafador abuse de un ticket de soporte o un hilo privado para llevar a la víctima a un lugar donde estén solos.
  5. Este último puede ser increíblemente mortal... tus amigos existentes. Los estafadores, si comprometen la cuenta de Discord de tu amigo, pueden convencerte de que envíes dinero o participes en una mint... o hagas cualquier cosa, porque confías en tu amigo... NO CONFÍES EN NADIE. Sospecha de cada interacción que tengas, incluso si tu mejor amigo en el mundo está hablando contigo.

Entonces, la lección que hemos aprendido anteriormente es ser extremadamente cuidadoso al hablar con alguien en un lugar privado. No importa la plataforma, Twitter, Telegram, Discord, incluso tal vez Tinder. Los estafadores podrían haberte encontrado allí, y en lugares privados, la estafa puede comenzar sin interferencia externa.

#2 Cómo encontrar a la víctima…

Hay una frase muy común que los estafadores han estado usando durante siglos: "nace un tonto cada minuto".

Esto es muy cierto en Web3. Con un espacio tan nuevo como este, y también siendo el punto de entrada a las criptomonedas para muchas personas, Web3 es un entorno rico en objetivos. También considera el hecho de que todo lo que se necesita son dos clics en un sitio web malicioso para obtener miles de dólares en recompensas.

Así que veamos quiénes son los mejores objetivos y cómo evitar convertirte en uno de ellos.

En el interior del cerebro del estafador: Ok, necesitamos un objetivo grande. No estamos apuntando a todos. Queremos NFT de alta calidad, queremos tokens DeFi, queremos ETH. Cosas que son fáciles de vender, fáciles de mover. También necesitamos personas que sean nuevas, blancos más fáciles...

Entonces, los estafadores a menudo buscarán a personas que estén mostrando grandes sumas de dinero almacenadas en un solo lugar. Personas que publican capturas de pantalla de una gran cantidad de ETH en su Metamask, personas con una billetera ENS pública que tiene un montón de Bored Apes en ella y, por supuesto, personas que son objetivo en función de la imagen de su perfil.

Incluso si usas un Ledger, si lo usas con regularidad y firmas transacciones con él a menudo, eres un objetivo importante.

Puedes participar en el comportamiento mencionado anteriormente, pero si lo haces, tienes un mayor riesgo de ser blanco de ataques; por lo tanto, toma más precauciones y mantente al día con las estafas actuales.

Además, estos estafadores observarán los canales de Discord y apuntarán a personas que hagan preguntas de principiantes, publiquen que son nuevos o, aún peor, anuncien que acaban de ser estafados.

Personas que acaban de ser estafadas vuelven a ser objetivo, a veces por nuevos estafadores, que utilizan el miedo y la incertidumbre que nubla el juicio de la víctima para dirigirla a un sitio web falso como revoke.cash, o un servicio falso para ayudarlos a 'recuperar' sus fondos. Las criptomonedas y, por extensión, los NFT, son irreversibles. Puedes rastrear dónde van los fondos y tal vez recuperar una parte de ellos de un exchange centralizado, pero generalmente solo una fracción de lo que se robó.

Los servidores de Discord, al comunicarse con el cliente de Discord, proporcionan mucha más información de la que se muestra. Los atacantes pueden abusar de la información proporcionada para obtener información como una lista completa de miembros en un servidor de Discord, los roles que tienen todos, los servidores mutuos en los que podrían estar. Con cada servidor de NFT teniendo algún rol de holder, los atacantes pueden saber fácilmente que tienes un NFT que es valioso y generar largas listas de objetivos de alto valor.

Siempre hay que suponer que los estafadores operarán con más información que tu, al abusar de la plataforma de Discord, sabrán mucho acerca de ti sin que tu tengas la misma ventaja.

Pero, en esencia, con la cantidad de objetivos que hay y con algunos estafadores utilizando intentos de estafa automatizados basados en bots, cada usuario en Web3 es un objetivo.

#3 Cómo hacer que realmente se lo crean… Confianza…

Ahora que un objetivo está en una habitación, solo con un estafador... ¿cómo se logra que funcione una estafa?

Simplemente llevarte a un sitio web que drena billeteras no funciona la mayoría de las veces... ¿cómo puede el estafador maximizar la posibilidad de que una víctima, se convierta en víctima?

Dentro del cerebro del estafador: Hay algunas formas en que podemos hacer que hagan clic en nuestro enlace fakemint.com... pero primero debemos establecer algunas cosas. Necesitamos que confíen en nosotros de alguna manera, afortunadamente tenemos algunos trucos que podemos usar para asegurar esa confianza...

El primer truco en el arsenal de un estafador es establecer confianza. Hay varias formas en que un estafador hará esto. Las estafas pueden ser cortas o largas. Discord puede ayudar a un estafador a establecer erróneamente la confianza de varias maneras:

Suplantación de identidad: Discord acepta una amplia cantidad de caracteres en un nombre de usuario. Debido a esto, los estafadores pueden suplantar el nombre de usuario de una persona en Discord, con los mismos números #1111 al final, con una precisión perfecta.

Las cosas que los estafadores no pueden suplantar son los mensajes directos mandados previamente o las notas privadas que escribas en el perfil de una cuenta de Discord. Así que siempre verifica que la persona con la que estás hablando sea realmente ella. Si alguna vez tienes dudas, habla con ellos en una línea de comunicación secundaria, tal vez a través de Twitter. Más sobre la suplantación de identidad aquí:

🚨🚨🚨 Consejo de seguridad de Discord🚨🚨🚨 

He estado pensando mucho en los ataques de suplantación de identidad en los últimos días.

Es común que se hagan pasar por miembros del equipo para intentar estafar a usuarios normales.

Vamos a profundizar un poco. Gracias a @crystalgroves por avisarme de esta suplantación de identidad: pic.twitter.com/kQ7GKb0OgK

— Jon_HQ (@Jon_HQ) May 30, 2022

Cuentas Comprometidas: No es necesario suplantar a una persona si puedes obtener acceso a su cuenta real. Las cuentas de Discord son extremadamente fáciles de comprometer. Sin entrar en demasiados detalles, todo lo que un atacante necesita es acceso a una cadena de caracteres normalmente no cifrados, llamado Token de Discord, para poder enviar y recibir mensajes como esa cuenta de usuario. 

Si tu Token de Discord se ve comprometido en algún momento, simplemente restablece tu contraseña para invalidarlo y generar uno nuevo. Las diversas estafas que los atacantes utilizan para obtener acceso a tu Token de Discord da para un artículo en sí mismo, pero generalmente involucran a una víctima ejecutando un archivo EXE malicioso, javascript, marcador, extensión de Chrome o tocando algo dentro de las herramientas para desarrolladores. Con la cantidad de hackeos de cuentas de Discord que ocurren, ¡no confíes en nadie, incluso en las cuentas reales de personas!

Esto también se aplica a los servidores reales de Discord. Cientos de proyectos de NFT han tenido su servidor de Discord comprometido y se han publicado enlaces maliciosos en los canales de anuncios oficiales. Sé sospechoso de todos los mensajes que leas en Discord. Más sobre el phishing del Token de Discord aquí:

¿Sabías que el promedio de servidores de Discord de NFT tiene más de 12 usuarios con permisos de Moderador o Equipo? Un hilo informativo 🧵 pic.twitter.com/mOYcYXMOrp

— Jon_HQ (@Jon_HQ) March 2, 2022

Validación falsa: Los estafadores se representarán bien, afirmarán ser de un proyecto NFT del que has oído hablar, te enlazarán a la cuenta de Twitter del proyecto, que tendrá 70,000 seguidores en Twitter... pero será una cuenta de Twitter falsa. Siempre investiga a las personas y proyectos por ti mismo, no confíes en las cuentas de Twitter vinculadas o los enlaces en un perfil para encontrar el proyecto.

Enlaces maliciosos que se esconden como enlaces legítimos: Hay algunos trucos que los estafadores pueden usar para permitirte ver el enlace correcto en el cliente de Discord, pero serás redirigido a un sitio web diferente cuando hagas clic en él. Siempre verifica dónde acabas en un sitio web si tienes que hacer clic en un enlace, o mejor aún: escribe cualquier URL importante en tu navegador tú mismo.

#4 Como lograr que hagan clic…

Ahora, el objetivo final del estafador es persuadir a la víctima para que ignore las molestas advertencias sobre no hacer clic en enlaces ni descargar cosas y, en realidad, caiga en la estafa. Veamos qué pasa en la mente del estafador:

Dentro de la mente del estafador: ¡Las víctimas vacilan en hacer clic en los enlaces que les enviamos! Necesitamos que dejen de PENSAR. Necesitamos evocar sus emociones, hacer que sientan que tienen que hacer clic... Afortunadamente, hay un par de formas de lograrlo.

El FOMO (Miedo a Perderse Algo) no se aplica solo a proyectos legítimos que olvidas mintear; también puede utilizarse con fines maliciosos.

Los estafadores manipularán tus emociones en su beneficio. Aquí tienes algunos de sus trucos:

Ofertas de tiempo limitado: Siempre desconfía de las ofertas que vienen con un límite de tiempo. Por ejemplo, alguien podría ofrecer intercambiar un NFT de un mono, pero afirmar que tienen otro comprador que lo quiere de inmediato. El estafador intenta presionarte para que saltes pasos como verificar en qué contrato se minteó el falso NFT de mono. Si ALGUIEN intenta apresurarte a hacer algo rápidamente, haz lo contrario y ralentiza para verificar todo.

Ofertas gratuitas: Si algo suena demasiado bueno para ser verdad, probablemente lo sea. Si alguien te envía algo "gratis" pero requiere que deposites fondos primero para retirarlo, es probable que sea una estafa. A las personas les gusta recibir cosas gratis y sentirse ganadoras, y los estafadores explotan este deseo para engañar a las víctimas.

Miedo: Los estafadores pueden enviar mensajes diseñados para asustarte, como afirmar que otro estafador ha obtenido acceso a tu billetera y urgirte a visitar un sitio web para revocar su acceso. Cuando las personas tienen miedo, tienden a no tomarse el tiempo para verificar si un sitio web es legítimo. Si recibes un mensaje que te asusta, respira profundamente, ralentiza y evalúa cuidadosamente la situación.

Cansancio: Aunque no es exactamente una emoción, las personas son más susceptibles a las estafas cuando están cansadas, especialmente tarde en la noche. Los estafadores observarán tus patrones de sueño y tratarán de explotar tu vulnerabilidad cuando estés en tu momento más débil. Ten precaución al usar las redes sociales tarde en la noche. Las actualizaciones de estado de Discord pueden revelar cuándo estás en línea, lo que permite a los estafadores seguir tu horario de sueño.

En Resumen…

En este punto, probablemente estás notando que muchas de las metodologías y lecciones aprendidas arriba no se aplican solo a Discord, y tienes toda la razón.

Discord es un medio de comunicación, al igual que Twitter, Telegram y muchos otros sitios en línea. Cualquier lugar donde otra persona pueda hablar contigo puede llevar a una estafa. Pero para revisar las cosas que hacen que Discord sea especialmente peligroso:

  1. Las cuentas son fáciles de suplantar.
  2. Las cuentas son fáciles de comprometer.
  3. Los enlaces maliciosos pueden disfrazarse fácilmente.
  4. Las personas pueden ser contactadas fácilmente a través de mensajes directos privados.
  5. Las listas de miembros son fácilmente accesibles, lo que proporciona una gran cantidad de objetivos.
  6. Las actualizaciones de estado en Discord pueden revelar horarios de sueño.
  7. La capacidad de enviar archivos maliciosos directamente.

Ten precaución en cada plataforma que utilices para hablar con otros, siempre verifica dos veces y nunca te apresures en nada. ¡Cuídate en línea!

¿Tienes alguna pregunta o quieres aprender más sobre la seguridad en la web3 y mantenerte al día con la información más actualizada sobre seguridad, estafas y tácticas? Únete a nosotros en nuestro servidor de Discord en https://discord.gg/boringsecurity.

© 2025 Boring Security
Artículos
Apoyanos
Contribuyentes
Services
Tienda
PMF
Claim NFT
Our Classes
OpenseaEtherscanTwitterDiscord