La empresa de ciberseguridad Malwarebytes Labs emitió una advertencia urgente el martes, alertando sobre un sitio web falso con el dominio “pudgypengu-gamegifts[.]live” que está suplantando al juego de navegador Pudgy World, lanzado recientemente el 10 de marzo, con la intención de robar las contraseñas de las billeteras de criptomonedas.
Técnicas sofisticadas de phishing: reproducción de 11 interfaces de billeteras
El ingeniero senior de malware de Malwarebytes, Stefan Dasic, explicó en su informe la lógica detrás de este ataque. Algunas funciones de Pudgy World (como verificar la propiedad de NFTs o desbloquear contenido del juego) requieren que los jugadores conecten sus billeteras de criptomonedas, y los atacantes están aprovechando esta operación legítima para engañar:
“Los sitios de phishing están explotando este proceso. Cuando un visitante selecciona su billetera en el sitio falso, la página muestra una interfaz que parece ser la propia interfaz de desbloqueo de esa billetera. Para el usuario, parece exactamente como el software de billetera real en el que confían y están familiarizados.”
Dasic también señaló que este ataque es técnicamente impresionante: los atacantes crearon interfaces falsificadas para 11 diferentes tipos de billeteras, casi sin dejar ninguna como invulnerable. Ya sea que los usuarios tengan Ethereum, Solana u otros activos multichain, pueden recibir interfaces de desbloqueo de billeteras falsificadas altamente realistas. Él opina que crear 11 conjuntos de interfaces de billeteras falsificadas “no es tarea fácil”, lo que indica que probablemente detrás hay “actores de amenazas con recursos considerables” o que están reutilizando kits comerciales de phishing diseñados específicamente para este tipo de ataques.
Intersección entre la marca Pudgy World y los riesgos de seguridad
Pudgy World es un juego de navegador gratuito basado en la marca Pudgy Penguins NFT, donde los jugadores pueden explorar un mundo virtual, personalizar sus pingüinos y completar misiones. Desde que su CEO, Luca Netz, adquirió la marca en 2022, Pudgy Penguins ha pasado de ser una colección NFT a una marca de consumo que abarca productos minoristas, juegos móviles y juegos web.
Sin embargo, Pudgy Penguins ya había sido víctima de ataques similares anteriormente. En diciembre de 2024, la empresa de seguridad blockchain Scam Sniffer advirtió que los atacantes habían utilizado anuncios maliciosos en Google para suplantar la plataforma Pudgy Penguins, engañando a los usuarios para que conectaran sus billeteras. Los investigadores señalaron que este tipo de ataques suelen ocurrir en momentos de gran notoriedad de proyectos NFT importantes, cuando la afluencia de nuevos usuarios crea la oportunidad perfecta para los ataques.
Recomendaciones de protección: cómo evitar ser víctima
Malwarebytes recomienda a los usuarios de Pudgy World las siguientes medidas de protección específicas:
- Acceder solo mediante marcadores a la página oficial: evitar ingresar al juego a través de enlaces en buscadores o redes sociales.
- Estar alerta ante solicitudes de contraseña de billetera en sitios web: las solicitudes legítimas de contraseña nunca aparecerán en el contenido de la página; si un sitio pide ingresar la contraseña en el navegador, se debe detener inmediatamente.
- No hacer clic en enlaces en mensajes privados o en redes sociales: los enlaces oficiales de los proyectos de criptomonedas deben obtenerse únicamente desde las cuentas oficiales de Twitter/X o Discord, en publicaciones fijadas.
- Respuesta rápida si se ingresaron credenciales en un sitio sospechoso: si se ingresó la contraseña en un sitio dudoso, se debe cambiar inmediatamente; si se sospecha que la billetera ha sido comprometida, se recomienda transferir los activos a una nueva dirección de billetera.
Preguntas frecuentes
¿Cómo puedo verificar que estoy accediendo a la versión legítima de Pudgy World y no a un sitio falso?
Las verificaciones incluyen comparar el dominio con el del sitio oficial de Pudgy Penguins (atención a caracteres adicionales o guiones), obtener los enlaces del juego directamente desde las cuentas oficiales de Twitter/X o Discord, y usar marcadores de las direcciones verificadas en lugar de buscarlas cada vez en buscadores.
¿Por qué los atacantes actúan justo después del lanzamiento de un nuevo juego?
Según Stefan Dasic de Malwarebytes, el momento del ataque está cuidadosamente planeado: durante el lanzamiento de un nuevo juego, se atrae a muchos usuarios nuevos que aún no están familiarizados con la necesidad de conectar sus billeteras, lo que los hace más vulnerables. Además, el aumento en las búsquedas del juego hace que los sitios falsos sean más visibles en los resultados de búsqueda.
¿Qué riesgo enfrentan los usuarios de criptomonedas ante las pérdidas de más de 70 millones de dólares por phishing en 2024, según datos del FBI?
El Centro de Quejas de Delitos en Internet del FBI (IC3) reportó en 2024 un total de 193,407 denuncias de phishing y fraudes, con pérdidas superiores a 70 millones de dólares, sin contar muchos casos no reportados. Debido a la naturaleza anónima e irreversible de las activos en criptomonedas, los usuarios enfrentan un riesgo elevado: una vez que los fondos se transfieren a direcciones controladas por los atacantes, casi no hay forma de recuperarlos.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El Banco Central de Filipinas advierte contra el comercio con VASPs no autorizados el 9 de mayo
Según BusinessWorld, el banco central de Filipinas advirtió al público el 9 de mayo que no opere con proveedores de servicios de activos virtuales (VASPs) no autorizados, citando riesgos de fraude, brechas de seguridad y fallas operativas que podrían causar la pérdida de fondos. El banco central identificó riesgos adicionales, como la falta de recurso legal, la ausencia de mecanismos de protección al consumidor, mala calidad del servicio, publicidad engañosa, manejo inadecuado de claves privadas
GateNewshace1h
Lazarus oculta cargadores de malware en los Git hooks durante ataques dirigidos a desarrolladores el 9 de mayo
Según la investigación de OpenSourceMalware, el grupo de piratería norcoreano Lazarus ocultó cargadores de segunda fase en scripts de Git Hooks pre-commit durante ataques dirigidos a desarrolladores el 9 de mayo. El grupo utilizó esta técnica en campañas, incluida 'Infectious Interview', donde se hacía pasar por reclutadores de criptomonedas y DeFi para engañar a los desarrolladores y que clonaran repositorios de código malicioso, con el objetivo final de robar criptoactivos y credenciales.
GateNewshace2h
Los estafadores se hacen pasar por autoridades iraníes y exigen criptomonedas por el paso por el estrecho de Ormuz el 21 de abril
Según MARISKS, una empresa griega de gestión de riesgos marítimos, individuos no identificados que se hacían pasar por autoridades iraníes enviaron mensajes a las compañías navieras el 21 de abril exigiendo pagos en criptomonedas para un paso seguro por el Estrecho de Ormuz. La empresa confirmó que estos mensajes son fraudulentos y no proceden de las autoridades iraníes. Al menos un buque que intentó salir del estrecho recibió disparos tras caer en la estafa. Cientos de buques y aproximadamente
GateNewshace2h
Ex teniente naval de Singapur roba 1,7 millones de USDT y es condenado a 6 años y 10 meses de prisión
De acuerdo con Lianhe Zaobao, el 9 de mayo, la jueza del tribunal nacional de Singapur, Wang Qinru, dictó sentencia el 8 de mayo para el acusado Zhang Rongxuan (35 años, según la transcripción), condenándolo a seis años y 10 meses de prisión. Zhang Rongxuan, ex teniente de la unidad de buceo de élite de la Marina (Naval Diving Unit), fue declarado culpable de, mientras su amigo salía, ingresar al apartamento, grabar una frase semilla para una billetera fría y, posteriormente, robar los 1,7 millo
MarketWhisperhace2h
Ex oficial de la Marina de Singapur condenado a 6 años y 10 meses por robar 1,7M USDT tras el colapso de FTX
De acuerdo con The Straits Times, un exoficial naval de Singapur, Zhang Rongxuan (35), fue condenado a 6 años y 10 meses de prisión por robar 1,7 millones de USDT (aproximadamente SGD 2,3 millones) de una cartera fría de un amigo. Zhang, capitán en la Unidad de Buceo Naval, admitió que las pérdidas financieras tras el colapso de FTX impulsaron el robo. Gastó el dinero robado en relojes de lujo, apuestas y el pago de una hipoteca.
GateNewshace3h
Exoficial de la Marina de Singapur sentenciado a 6 años y 10 meses por robar 1,7M USDT después del colapso de FTX
Según ChainCatcher, Zhang Rongxuan, un ex capitán de la Marina de Singapur de 35 años, fue condenado a seis años y diez meses de prisión por robar 1,7 millones de USDT (aproximadamente 2,3 millones de dólares singapurenses) desde una cold wallet de un amigo. El acusado, que ostentaba el rango de capitán en la Unidad de Buceo Naval, confesó el robo después de que firmas de seguridad rastrearan la cartera de criptomonedas, afirmando que cometió el crimen tras sufrir pérdidas sustanciales derivadas
GateNewshace3h
