Estrategias eficaces para la prevención del fraude criptográfico

Los reguladores están poniendo cada vez más énfasis en la prevención del fraude criptográfico y la protección de los inversores en el ámbito de los activos digitales. A medida que la Comisión de Bolsa y Valores (SEC) trabaja en la redacción de la próxima generación de regulaciones sobre criptomonedas, se espera que estas prioridades sigan siendo fundamentales en el enfoque de la agencia.  

Los inversores institucionales, las plataformas de negociación y otras entidades financieras que hacen hincapié en seguridad de los activos digitales estarán en la mejor posición para liderar la próxima ola de adopción. La claridad normativa está llegando, y aquellos que aborden ahora cómo evitar las estafas con criptomonedas estarán preparados para operar con confianza cuando llegue ese día.  

Puntos clave

• Los atacantes están desplazando su atención de los inversores individuales a las plataformas, los custodios y los fondos, donde los activos de mayor valor generan mayores incentivos. 

• Las instituciones suelen enfrentarse a amenazas sofisticadas como la ingeniería social, los intercambios de SIM y el compromiso interno.  

• Los inversores minoristas siguen siendo vulnerables a las estafas de «pump and dump», «rug pull» y «long-con», como las estafas de «pig butchering» (en las que los estafadores se ganan la confianza de las víctimas con el tiempo antes de llevar a cabo un robo a gran escala). 

• La defensa por capas es fundamental. Una prevención eficaz del fraude requiere una combinación de personas, procesos y tecnología que garantice que ningún punto único de fallo pueda comprometer los activos. 

• El cumplimiento normativo se está poniendo al día, y la SEC está trabajando para actualizar las normas de custodia de activos digitales con el fin de proteger mejor a los inversores. Las instituciones que se ajusten a las normas de custodia cualificada que rigen las finanzas tradicionales estarán en condiciones de evitar las estafas con criptomonedas, al tiempo que cumplirán con la normativa que se avecina.  

¿Cómo es el fraude criptográfico hoy en día?

TRM Labs, una empresa consultora de seguridad digital, estima que los inversores fueron estafados por más de 10 000 millones de dólares en criptomonedas. en 2024.  

Las instituciones financieras suelen ser lo suficientemente inteligentes como para evitar las estafas de «pump and dump» y «rug pull» que pueden atrapar a los inversores minoristas. Sin embargo, siguen expuestas a formas más sofisticadas de fraude que amenazan la infraestructura operativa. Las principales amenazas son:

• Ingeniería social: Los estafadores roban información confidencial engañando a las personas para que hagan algo que no deberían hacer. Por ejemplo, esto podría implicar hacerse pasar por personal de TI para entrar en instalaciones seguras o persuadir a un empleado para que eluda los procesos de aprobación establecidos.

• Phishing: Los atacantes utilizan correos electrónicos, mensajes o llamadas telefónicas falsos para obtener información confidencial, como credenciales de cartera o códigos de acceso. Por ejemplo, «Mark, de TI», puede llamar a un empleado y decirle que está actualizando el sistema y que necesita su contraseña para restablecer las credenciales de inicio de sesión.

• Intercambio de tarjetas SIM: Al convencer a un operador de telefonía móvil para que reasigne un número de teléfono, los atacantes pueden interceptar la autenticación multifactorial (MFA) y acceder a cuentas seguras. Es famoso el caso de una banda dedicada al intercambio de tarjetas SIM que se hizo pasar por un ejecutivo y robó 400 millones de dólares en criptomonedas de FTX. 

• Amenazas internas: Personas de confianza roban fondos abusando de su acceso. Por ejemplo, Los titulares de Solana se vieron comprometidos por un desarrollador. que programó una puerta trasera en una extensión del navegador que le permitía robar claves privadas. 

Cómo pueden las instituciones evitar las estafas con criptomonedas

Para evitar el fraude en el ámbito de los activos digitales es necesario adoptar un enfoque múltiple. Las siguientes estrategias combinan personas, procesos y tecnología para garantizar que ningún punto único de fallo pueda poner en riesgo los fondos. 

Gente

Las personas suelen ser el eslabón más débil en materia de seguridad, por lo que la formación de los empleados y la gestión de los riesgos internos son fundamentales. Se debe enseñar al personal a reconocer los intentos de phishing, las señales de alerta de ingeniería social y las solicitudes sospechosas. 

Además, el principio del «privilegio mínimo», que concede a los empleados y ejecutivos el acceso mínimo necesario para desempeñar sus funciones, ayuda a limitar la exposición.  

Para funciones críticas, como mover fondos o cambiar la configuración de seguridad, el control dual (aprobación de dos partes) reduce la posibilidad de que una sola persona comprometa la seguridad.  

Proceso

En respuesta a los fracasos y estafas de alto perfil, los reguladores han propuesto una ampliación de «Regla de salvaguardia» que obligaría a las instituciones a utilizar custodios cualificados, separar los activos de los clientes de los activos de la empresa y someterse a inspecciones sorpresa de los acuerdos de custodia.  

Independientemente de si la SEC aprueba estas normas, adoptar de forma proactiva dichos estándares ahora refuerza la protección de los inversores y consolida el cumplimiento normativo en materia de activos digitales a nivel institucional. 

Por último, todas las organizaciones deben contar con un plan de recuperación ante desastres criptográficos que incluya seguro de activos digitalesPor ejemplo, BitGo ofrece hasta 250 millones de dólares de seguro contra pérdida, robo y uso indebido en situaciones en las que BitGo tiene todas las claves. 

Tecnología

La tecnología es fundamental para la prevención del fraude criptográfico. Las instituciones deben implementar medidas de seguridad a nivel de infraestructura que vayan más allá de las soluciones para consumidores:

• Autenticación multifactorial: Para iniciar sesión, las partes deben confirmar su identidad mediante verificaciones por correo electrónico o mensaje de texto.

• Carteras multifirma: El acceso requiere la aprobación de más de un titular de la clave antes de que se procese una transacción. Por ejemplo, las carteras BitGo requieren tanto la clave del cliente como la de la plataforma para continuar. 

• Almacenamiento en frío: Una cartera conectada a Internet deja a los inversores vulnerables a actividades ilícitas en línea. Carteras «frías» seguir siendo un pilar de Seguridad de Bitcoin, almacenando claves privadas en hardware que está permanentemente desconectado.

• Módulos de seguridad de hardware (HSM): El hardware, incluso sin conexión, no es inmune a la manipulación. Ampliamente utilizados en las finanzas tradicionales, los HSM cifran la información y proporcionan registros de auditoría que permiten rastrear quién ha accedido al dispositivo. 

El papel del cumplimiento normativo en la prevención del fraude

Durante años, Cumplimiento de la normativa sobre criptomonedas carecía de claridad. Las instituciones que querían cumplir con las normas de cumplimiento a menudo se encontraban con que las reglas no estaban bien definidas o se aplicaban de manera inconsistente. 

Eso está cambiando. En enero... decreto ejecutivo instruyó a los reguladores para que desarrollaran la próxima generación de supervisión de activos digitales, y la SEC ha celebrado mesas redondas públicas solicitar opiniones sobre la mejor manera de abordar el tema. 

El trabajo continúa, pero es probable que los reguladores lo implementen. custodia regulada de criptoactivos normas que imitan las reglas de los custodios cualificados de las finanzas tradicionales. Estas reglas dan prioridad a la segregación de los activos de los clientes, la supervisión independiente y la transparencia operativa, componentes fundamentales para una prevención eficaz del fraude en el ámbito de las criptomonedas.  

En el futuro, es probable que las instituciones que invierten en criptomonedas se vean obligadas a utilizar custodios cualificados para custodiar los fondos de sus clientes. Trabajar con custodios de renombre, como BitGo, ayudará a las organizaciones a evitar estafas con criptomonedas, prevenir fraudes con criptomonedas y, en última instancia, proteger los activos de los clientes.  

Preguntas frecuentes

¿Cuáles son los signos comunes del fraude criptográfico?

Las estafas de phishing tienen varios indicios reveladores: urgencia, tácticas para infundir miedo, remitentes desconocidos o direcciones de correo electrónico con pequeños errores ortográficos. Las empresas de confianza nunca solicitan información confidencial por correo electrónico o mensaje de texto. 

Los inversores minoristas deben desconfiar de las promesas poco realistas de rendimientos elevados o garantizados, de los promotores sin licencia o anónimos, y de las presiones para «actuar rápido» antes de que desaparezca una oportunidad.  

¿Cómo pueden las instituciones evitar las estafas relacionadas con las criptomonedas?

Las instituciones deben adoptar un enfoque de seguridad por capas que combine personas, procesos y tecnología.  

Los protocolos de seguridad, como la firma múltiple y la autenticación multifactorial (MFA), el almacenamiento en frío fuera de línea y los módulos de seguridad de hardware (HSM), garantizan que ningún punto único de fallo pueda comprometer los activos. El personal debe recibir formación para reconocer los intentos de phishing y las señales de alerta de ingeniería social, y las organizaciones que gestionan activos importantes deben contar con un plan de recuperación ante desastres que incluya un seguro de activos digitales.  

¿Qué papel desempeñan las regulaciones en la prevención del fraude criptográfico?

Las regulaciones establecen normas básicas para la prevención del fraude.  

El sector aún es joven y la legislación ha tardado en adaptarse a las realidades modernas de la inversión en activos digitales. Sin embargo, los reguladores están trabajando activamente en la próxima generación de requisitos de cumplimiento.  

Mientras tanto, las instituciones deberían buscar custodios cualificados que cumplan las normas de custodia que ya rigen el sector financiero tradicional. Dichas normas tienen por objeto proteger a los inversores y ayudar a prevenir el fraude en el ámbito de las criptomonedas. 

¿Qué medidas debo tomar si sospecho que se ha producido un fraude con criptomonedas?

Es fundamental actuar con rapidez. En primer lugar, detenga cualquier transacción relacionada con el presunto fraude. Si se ha comprometido una contraseña, siga los protocolos internos adecuados para restablecer las medidas de seguridad. El incidente debe comunicarse al responsable de cumplimiento o seguridad designado por la organización y escalarse de acuerdo con los procedimientos establecidos de respuesta al fraude o gestión de incidentes.

¿Existen herramientas disponibles para supervisar las transacciones criptográficas en busca de fraudes?

Sí, existen herramientas diseñadas específicamente para supervisar las transacciones criptográficas en busca de indicios de fraude. Las plataformas de análisis de cadenas de bloques, como Chainalysis, Elliptic y TRM Labs, ayudan a identificar actividades sospechosas mediante el análisis de patrones de transacciones, comportamientos de carteras y conexiones con actores ilícitos conocidos. Las instituciones utilizan estas herramientas para detectar fraudes, aplicar políticas contra el blanqueo de capitales (AML) y cumplir con las normas reglamentarias.

En cuanto a la custodia, BitGo ofrece controles internos y registros de auditoría que ayudan a supervisar los flujos de transacciones y señalar anomalías. En combinación con una infraestructura de monederos segura, estas soluciones mejoran la visibilidad y el control sobre la actividad de los activos digitales.