Escrito por: Jerónimo Corregido
A los 20 años, Malone Lam consiguió robar US$230 millones de una cartera de criptomonedas a través de un sofisticado fraude de ingeniería social. La víctima cayó por una llamada telefónica en la que el estafador se hizo pasar por el soporte técnico de Google.
Malone Lam perpetró el mayor fraude con criptomonedas, valuado en US$230 M.
El rastro de la mayor estafa con criptomonedas de la historia
Es el 18 de agosto de 2024. Malone Lam, un joven nacido un Singapur, está hablando por teléfono desde su piso en Miami. Le está dando instrucciones a un peso pesado en la inversión de criptomonedas. La víctima cree que lo están ayudando a reforzar la seguridad de su cuenta de Google. La realidad es que sus fondos están a punto de esfumarse.
Malone Lam no trabaja solo. Todo el proceso es seguido de cerca por su cómplice, Jeandiel Serrano. Desde su ubicación, han conseguido acceder a una cartera de BTC 4.111, lo cual a la fecha equivale a US$230 millones. Pueden ver las transacciones, el historial, el balance, toda la información de una cuenta que no les pertenece.
Siguiente paso: se confirma la operación y el dinero desaparece. La cartera queda vacía, la llamada se corta, la víctima se da cuenta de que fue presa de una estafa. ¿Pero cómo llegó a esa instancia, tratándose de un inversor profesional?
Lo que sucedió fue que Malone Lam y su socio trabajaron durante un largo tiempo en la preparación del fraude. Recopilaron filtraciones de datos de la víctima, en las que se incluían desde sus hábitos comerciales hasta su información personal. Es lo que se conoce como ingeniería social, una técnica de engaño que busca generar confianza para concretar una estafa.
Con todos esos datos, Lam llamó por teléfono a la víctima y se hizo pasar por el soporte técnico de Google. Explicó que la cuenta había experimentado algún alerta, porque se estaba forzando su acceso desde una ubicación desconocida. Para mantener la seguridad, solicitó que el usuario instalara un programa de acceso remoto.
Ese fue el disparador: con un recurso de esas características, los atacantes pudieron ingresar al dispositivo de la víctima y conseguir todas las credenciales que necesitaban. Parece un golpe sencillo, pero la realidad es que, para confundir de esta manera a una persona con experiencia en el entorno de criptomonedas, es necesario recurrir a un método afinado de estafa.
Tanto Lam como Serrano habían ganado conocimiento sobre estas técnicas en The Com. Así es como se dio a conocer una comunidad de jóvenes angloparlantes con devoción por el fraude digital. The Com servía para compartir conocimientos específicos de hackeo, para perfeccionar las estrategias de ingeniería social y para expandir las redes de delincuencia digital.
De esta forma se explica que dos muchachos de apenas 20 años lograran llevar a cabo el mayor robo de criptomonedas del que se tenga registro. La manera en la que procedieron a continuación demuestra que sabían lo que estaban haciendo: comenzaron a fragmentar la enorme suma robada en transacciones menores, orientándolas a decenas de carteras y exchanges.
Con esto, esperaban que el dinero se volviera más difícil de rastrear. Sin embargo, en blockchain, la tecnología que rige bitcoin, se puede verificar el origen de todas y cada una de las transacciones, y esto fue lo que hizo el FBI para dar cuenta del caso.
Pero había algo más que llamaba la atención de las autoridades: la ostentación de gastos que tanto Lam como Serrano hacían en sus redes sociales. Los millones robados fueron rápidamente dilapidados en fiestas, alquiler de mansiones, vuelos en jet privado y demás extravagancias.
Lejos de ser un error de principiantes, esta visibilización del dinero funcionaba como estrategia de reclutamiento para The Com. Al igual que sucede en las estafas Ponzi, en este caso era necesario dar una imagen de éxito para atraer a la causa.
Cómo funciona el vishing y la regla de oro para evitarlo
Hoy en día Lam y Serrano cumplen condenas en prisiones federales de Estados Unidos, por fraude informático y lavado de dinero. No obstante, el mismo tipo de fraude se replica con más frecuencia que nunca.
Se trata del vishing, es decir, la estafa de suplantación de identidad por vía telefónica. Este fraude suele presentar tres características:
- Sentido de urgencia: para reducir la duda y generar confusión, los atacantes siempre presionan a la víctima para que obre con rapidez, en vista de que hay algo inmediato que solucionar.
- Voz de autoridad: los estafadores se hacen pasar por empresas o instituciones reconocidas. En el fraude de Lam, se suplantó la identidad de Google, pero los delincuentes pueden fingir que llaman desde bancos u otras entidades.
- Conocimiento previo: la ingeniería social es fundamental para concretar la estafa. Los delincuentes tienen numerosos datos de la víctima a disposición, que le dan credibilidad al fraude.
Es importante saber que las compañías como Google, Amazon o Meta nunca llaman a sus usuarios por brechas de seguridad. Los bancos sí pueden llamar directamente, pero jamás pedirán credenciales ni enviarán un enlace para descargar programas de acceso remoto.
Entonces, ¿cómo evitar el vishing? Si se recibe un llamado de una entidad por una supuesta alerta de seguridad, simplemente hay que cortar. No se debe seguir con la comunicación. Lo mejor es ingresar a la propia cuenta y verificar que todo esté en orden; si hay alguna duda, se puede llamar por cuenta propia al soporte técnico, pero jamás se debe actuar bajo presión ni urgencia.
