¿Wi-Fi público y una llamada telefónica, cómo convertirse en la trampa perfecta para robar 5000 dólares en activos criptográficos?

Autor: The Smart Ape

Traducido por: Deep潮 TechFlow

Título original: Conecté al Wi-Fi del hotel durante tres días y me robaron 5000 dólares en criptomonedas

Hace unos días, mi familia y yo fuimos a un hotel muy bueno para pasar las vacaciones de fin de año. Al día siguiente de irnos, mi cartera fue completamente vaciada. No puedo entender cómo sucedió, ya que no hice clic en ningún enlace de phishing ni firmé ninguna transacción maliciosa.

Tras varias horas de investigación y con la ayuda de expertos, finalmente comprendí la verdad. Todo fue causado por la red Wi-Fi del hotel, una llamada breve y una serie de errores tontos.

Como la mayoría de los entusiastas de las criptomonedas, llevo conmigo un portátil, pensando en poder trabajar un poco mientras disfruto de las vacaciones con mi familia. Mi esposa insistió varias veces en que no trabajara durante estos tres días, y realmente debería haberle hecho caso.

Al igual que otros huéspedes, me conecté a la red Wi-Fi del hotel. Esta red no requería contraseña, solo necesitaba acceder a una página de verificación (captive portal).

Trabajé en el hotel como de costumbre, sin realizar ninguna operación arriesgada: no creé nuevas carteras, no hice clic en enlaces extraños ni accedí a aplicaciones descentralizadas (dApps) sospechosas. Solo revisé X (Twitter), mi saldo, Discord y Telegram, entre otros.

En un momento, recibí una llamada de un amigo del mundo cripto, con quien hablamos sobre el mercado, Bitcoin y otros temas relacionados. Pero lo que no sabía era que alguien cerca estaba escuchando nuestra conversación y se dio cuenta de que estaba involucrado en criptomonedas. Ese fue mi primer error. La otra parte supo que usaba la cartera Phantom y que era un usuario con una cantidad considerable de fondos.

Esto hizo que pusiera su objetivo en mí.

En las redes Wi-Fi públicas, todos los dispositivos comparten la misma red, y en realidad, la visibilidad entre dispositivos es mayor de lo que imaginas. La protección entre usuarios es casi inexistente, lo que facilita los ataques de “Hombre en el Medio” (Man-in-the-Middle Attack). El atacante actúa como un intermediario, insertándose silenciosamente entre tú y el internet, como alguien que lee y altera tus cartas antes de que lleguen.

Mientras navegaba en la web usando el Wi-Fi del hotel, un sitio parecía cargarse normalmente, pero en realidad, en el fondo, se inyectaron códigos maliciosos adicionales. En ese momento, no noté nada extraño. Si hubiera instalado algunas herramientas de seguridad, podría haber detectado estos problemas, pero lamentablemente, no lo hice.

Normalmente, los sitios web pueden solicitar que tu cartera firme ciertas operaciones. La cartera Phantom muestra una ventana emergente donde puedes aceptar o rechazar. Por lo general, confías en el sitio y en el navegador, y firmas sin preocuparte. Sin embargo, ese día no debí hacerlo.

Mientras realizaba un intercambio de tokens en la plataforma @JupiterExchange, un código malicioso activó una solicitud en mi cartera, reemplazando la operación normal de intercambio. Podría haber detectado que era una solicitud maliciosa revisando los detalles de la transacción, pero como ya había iniciado el intercambio en Jupiter, no sospeché nada.

Ese día, no firmé ninguna transacción para transferir fondos, sino que firmé un permiso de autorización. Esa fue la razón por la que, días después, mis activos fueron robados.

El código malicioso no me pidió directamente que enviara SOL (Solana), porque eso sería demasiado obvio. En su lugar, solicitó que “autorizara el acceso”, “aprobara la cuenta” o “confirmara la sesión”. En palabras simples, en realidad, le di permiso a otra dirección para que operara en mi nombre.

Lo acepté porque pensé que esto tenía que ver con mis operaciones en Jupiter. En ese momento, la información que mostraba Phantom parecía muy técnica, sin mostrar cantidades ni indicar transferencias inmediatas.

Y eso fue exactamente lo que el atacante necesitaba. Esperó pacientemente hasta que me fui del hotel para comenzar su acción. Transferió mi SOL, extrajo mis tokens y movió mi NFT a otra dirección.

Nunca pensé que algo así me sucedería a mí. Afortunadamente, no era mi cartera principal, sino una cartera caliente para operaciones específicas, no para mantener activos a largo plazo. Pero aun así, cometí muchos errores y creo que soy el principal responsable.

Primero, nunca debería haber conectado a la red Wi-Fi pública del hotel. Debería haber usado el hotspot de mi teléfono para navegar.

Mi segundo error fue hablar sobre criptomonedas en áreas públicas del hotel, lo que pudo haber sido escuchado por muchas personas. Mi padre me advirtió que nunca revelara que trabajaba con criptomonedas. Por suerte, en esta ocasión, algunos incluso han sido secuestrados o han sufrido cosas peores por sus activos digitales.

Otro error fue aprobar solicitudes de cartera sin prestar suficiente atención. Estaba seguro de que la solicitud provenía de Jupiter, así que no la analicé cuidadosamente. En realidad, cada solicitud de cartera debe ser revisada con atención, incluso en aplicaciones en las que confías. La solicitud puede ser interceptada y no ser realmente de la aplicación que crees.

Finalmente, perdí aproximadamente 5000 dólares desde una cartera secundaria. Aunque no fue lo peor, fue muy frustrante.