Reclutamiento de Imitadores de Voz para Ataques a Ejecutivos de Criptomonedas
Los ciberdelincuentes están reclutando equipos de imitadores de voz profesionales para atacar a ejecutivos de criptomonedas de alto nivel en EE. UU. mediante sofisticados ataques de ingeniería social basados en teléfono. Estos operativos pueden ganar hasta $20,000 mensuales en lo que los investigadores denominan campañas de «vishing». Un nuevo informe de GK8 de Galaxy, revisado por Decrypt, revela cómo los actores de amenazas han ido más allá de los correos electrónicos de phishing tradicionales, construyendo organizaciones criminales que apuntan a líderes de criptomonedas con campañas personalizadas de voz y video.
Metodología de los Ataques
Los ataques utilizan conjuntos de datos ejecutivos curados, suplantación de voz e infraestructura profesional para explotar a individuos que protegen la infraestructura de custodia y claves privadas, aumentando el riesgo de «robo de criptomonedas a gran escala». En junio, los investigadores de GK8 descubrieron publicaciones de reclutamiento en foros subterráneos restringidos, donde actores de amenazas establecidos buscaban «llamadores» experimentados para ejecutar ataques dirigidos contra ejecutivos senior en las principales empresas de criptomonedas de EE. UU. Las publicaciones incluían listas de objetivos de muestra que contenían cinco ejecutivos de criptomonedas, incluidos oficiales legales senior, ingenieros, controladores financieros y CTOs, todos con un patrimonio neto mínimo de aproximadamente $500,000.
«Validamos la reputación de los actores de amenazas en estos foros examinando referencias, reclamaciones, calificaciones, la fecha de creación de la cuenta del vendedor y la reputación del foro»
comentó Tanya Bekker, Jefa de Investigación en GK8, a Decrypt cuando se le preguntó cómo su equipo confirmó la legitimidad de estas operaciones. «Según los actores de amenazas, estos datos provienen de compromisos recientes», añadió Bekker sobre los conjuntos de datos ejecutivos que impulsan estas campañas.
Características de las Campañas de Vishing
A diferencia de los correos electrónicos de phishing tradicionales, Bekker explicó que las campañas modernas de «vishing» son «altamente dirigidas y personalizadas», enfocándose en «ejecutivos y profesionales de criptomonedas de alto valor con acceso privilegiado». «Emplean suplantación de voz y video, contenido deepfake y pretextos meticulosamente adaptados basados en conjuntos de datos detallados sobre las víctimas», afirmó. Los actores de amenazas supuestamente utilizan sistemas de Voz sobre Protocolo de Internet, números de marcación directa y capacidades de SMS para suplantar bancos, servicios de criptomonedas y agencias gubernamentales.
Las publicaciones en foros revelan compensaciones que van desde $15 por llamada de 20 minutos hasta más de $20,000 mensuales para operativos experimentados, según el informe. «Observamos que algunos operadores trabajan a largo plazo, construyendo grupos organizados que funcionan como una industria de fraude profesional«, dijo Bekker a Decrypt. «Es un negocio, y los actores de amenazas se toman su trabajo muy en serio».
Impacto Global y Recomendaciones
Si bien el caso específico revisado se centró en ejecutivos de EE. UU., Bekker indicó que campañas similares operan en Alemania, el Reino Unido y Australia. Incidentes recientes apuntan al alcance más amplio de las amenazas de ingeniería social que enfrenta la industria de criptomonedas. Operativos norcoreanos han creado empresas falsas y utilizado deepfakes durante entrevistas laborales para infiltrarse en empresas de criptomonedas, robando $1.34 mil millones en 47 incidentes solo en 2024.
«Los atacantes casi siempre tienen una conexión a internet lenta»
según Jimmy Su, director de seguridad de Binance, quien comentó que su intercambio recibe currículos falsos a diario de atacantes norcoreanos sospechosos que ahora utilizan «cambiadores de voz durante sus entrevistas, y el video era un deepfake».
El informe de GK8 documenta cómo los actores de amenazas están cambiando su enfoque de campañas masivas de phishing a un enfoque de «calidad sobre cantidad». En los próximos 12-18 meses, Bekker advirtió que los ataques se volverán más sofisticados a medida que «distinguir entre lo falso y la realidad se vuelva cada vez más difícil». Además, señaló que las organizaciones de criptomonedas deben defenderse contra «ataques de ingeniería social personalizados que explotan vulnerabilidades humanas».
«Con estafas altamente personalizadas en aumento, las empresas deben aceptar que incluso los insiders más confiables pueden ser engañados»
concluyó Bekker. Recomendó que los ejecutivos «asuman que su información personal ya ha sido expuesta» y aseguren que «las transacciones de alto valor no deben ser confirmadas por una sola persona». Bekker enfatizó que «la ingeniería social prospera en el error humano» y que las empresas necesitan «protocolos específicos y capacitación sobre tácticas de ingeniería social de voz y video». El informe de GK8 revela que los actores de amenazas especifican criterios de reclutamiento detallados para los llamadores, incluyendo preferencias de acento, selección de género, capacidades lingüísticas y disponibilidad a través de zonas horarias para coincidir con perfiles de objetivos específicos y maximizar el compromiso de las víctimas durante las horas pico.
