Drainers de Criptomonedas: Un Malware en Ascenso
Los drainers de criptomonedas, malware diseñado específicamente para robar criptomonedas, se han vuelto más accesibles en un contexto donde el ecosistema digital evoluciona hacia un modelo de negocio de software como servicio (SaaS). Según un informe del 22 de abril de la firma de análisis y cumplimiento de criptomonedas AMLBot, muchas operaciones de drainer han adoptado un modelo SaaS conocido como “drainer como servicio” (DaaS). Este informe revela que los propagadores de este malware pueden alquilar un drainer por tan solo entre 100 y 300 USD.
Slava Demchuk, CEO de AMLBot, declaró a Cointelegraph que
“anteriormente, ingresar al mundo de las estafas en criptomonedas requería una cantidad considerable de conocimiento técnico. Eso ya no es el caso”.
En el modelo DaaS,
“comenzar no es significativamente más difícil que con otros tipos de ciberdelito”
. Demchuk también explicó que los futuros usuarios de drainers se unen a comunidades en línea para aprender de estafadores más experimentados que proporcionan guías y tutoriales. De esta manera, muchos criminales que estaban involucrados en campañas de phishing tradicionales están transitando hacia el espacio de los drainers de criptomonedas.
Ciberdelito en Rusia: Casi Legal
Demchuk comentó que los grupos que ofrecen drainers como servicio son cada vez más audaces y tienen un funcionamiento más parecido al de empresas tradicionales.
“Curiosamente, algunos grupos de drainers se han vuelto tan audaces y profesionalizados que hasta establecen stands en conferencias de la industria. Un ejemplo de esto es CryptoGrab”
, señaló.
Al preguntarle cómo una operación criminal puede enviar representantes a eventos de la industria de tecnología de la información sin enfrentar repercusiones como arrestos, Demchuk apuntó a la aplicación de la ley del ciberdelito en Rusia como una razón.
“Todo esto se puede hacer en jurisdicciones como Rusia, donde el hacking está esencialmente legalizado, siempre y cuando no operes en el espacio post-soviético”
, comentó. Esta afirmación puede sorprender a muchos, pero ha sido un secreto a voces en la industria de la ciberseguridad durante años. La publicación KrebsOnSecurity reportó en 2021 que
“prácticamente todas las variantes de ransomware”
se desactivan sin causar daño si detectan teclados virtuales rusos instalados. De manera similar, el ladrón de información Typhon Reborn V2 verifica la geolocalización IP del usuario respecto a una lista de países post-soviéticos; si el usuario está ubicado en uno de esos países, el malware se desactiva. La razón es clara: las autoridades rusas están dispuestas a actuar cuando los hackers locales atacan a ciudadanos de la región.
Crecimiento de los Drainers
Demchuk también destacó que las organizaciones DaaS generalmente encuentran su clientela dentro de comunidades de phishing ya existentes. Esto incluye foros de sombrero gris y negro tanto en la clearnet (internet regular) como en la darknet (deep web), así como grupos y canales de Telegram, y plataformas del mercado gris. En 2024, Scam Sniffer informó que los drainers fueron responsables de aproximadamente 494 millones de dólares en pérdidas, lo que representa un aumento del 67% en comparación con el año anterior, a pesar de un incremento del 3.7% en el número de víctimas. El número de recursos en línea dedicados a drainers en foros de darknet aumentó de 55 en 2022 a 129 en 2024.
Los desarrolladores también son a menudo reclutados a través de anuncios de trabajo convencionales. Un investigador de inteligencia de código abierto de AMLBot, que prefirió permanecer en el anonimato por razones de seguridad, mencionó a Cointelegraph que, al investigar drainers, su equipo se encontró con varios anuncios de trabajo que buscaban específicamente desarrolladores para construir drainers para ecosistemas Web3. Este investigador proporcionó un anuncio de trabajo que describía las características necesarias para un script destinado a vaciar carteras de Hedera. Esta solicitud, originalmente escrita en ruso, fue compartida en un chat de Telegram enfocado en desarrolladores, lo que evidencia cómo el talento técnico es reclutado activamente en comunidades de nicho, a menudo semi-abiertas.
A pesar de que los chats donde se publican estos anuncios no son privados ni restringidos, suelen ser pequeños, con unos 100 a 200 miembros. Los administradores eliminaron rápidamente el anuncio proporcionado como ejemplo, pero
“como suele suceder, quienes necesitaban verlo ya habían tomado nota y respondido”
. Tradicionalmente, estos tipos de negocios se realizaban en foros especializados de clearnet y foros de deep web accesibles a través de la red Tor. Sin embargo, el investigador mencionó que gran parte del contenido se ha trasladado a Telegram debido a su política que evita el intercambio de datos con autoridades. Esta situación cambió tras el arresto del CEO de Telegram, Pavel Durov, quien advirtió recientemente sobre la creciente amenaza a la mensajería privada en Francia y otros países de la Unión Europea, afirmando que
“Telegram preferiría abandonar ciertos mercados antes que implementar puertas traseras que socavan la privacidad del usuario”
.
Los drainers de criptomonedas son un malware diseñado para robar criptomonedas, y se han convertido en una industria cada vez más accesible, lo que permite a muchos participar fácilmente para obtener ganancias dentro de esta actividad ilegal.
