100K Returned - Malvertising Analysis
Noticias > Investigaciones
Investigación • 5-7 minutos de lectura

Se han recuperado 100 000 dólares: se ha frustrado una estafa mediante publicidad maliciosa

Unos estafadores rusos se hicieron pasar por un proyecto de criptomonedas mediante publicidad maliciosa y malware de robo de datos. Detectamos la operación, restablecimos el acceso a los monederos y devolvimos más de 100 000 dólares. Los fondos recuperados que sobraron se donaron a @_SEAL_Org. A continuación: desglose, indicadores de compromiso (IOC) y conclusiones.

4 minutos de lectura· Actualizado Marzo de 2026· PhishDestroy Intelligence
$100,000 returned to victim - funds traced, assets frozen, funds returned infographic
Se devuelven 100 000 dólares a la víctima: se localizan los fondos, se congelan los activos y se devuelven los fondos (infografía)
Publicado originalmente el Medio — PhishDestroy

Resumen

Un proyecto de criptomonedas fue víctima de un ataque de ingeniería social camuflado como una colaboración publicitaria legítima. PhishDestroy restableció el acceso a la cartera y recuperó más de 100 000 dólares en fondos comprometidos, y luego destinó la recompensa ofrecida a una organización externa para mantener su independencia.

Lo que debes saber

  • La cartera ya había sido pirateada; los fondos ya se habían transferido.
  • Se restableció el acceso y Más de 100 000 dólares se le impidió quedarse con el agresor.
  • El proyecto ofrecía una recompensa, que fue rechazada y destinada a @_SEAL_Org en su lugar.
  • Este trabajo se lleva a cabo de forma independiente como una labor de voluntariado, no como un empleo remunerado.

Cómo funcionaba la estafa

  • La víctima recibió una propuesta de colaboración o publicidad para un juego de criptomonedas.
  • El ataque parecía creíble: una página web profesional, una presencia consolidada en X (Twitter) y videollamadas que parecían legítimas.
  • Durante las llamadas, los atacantes solicitaban la instalación de un «visor de entorno de trabajo» para acceder a los materiales.
  • El «visor» era malware de robo.
  • Los atacantes retiraron fondos, intercambiaron tokens entre cadenas y transfirieron activos a su propio monedero.

Medidas adoptadas

  1. Se ha confirmado la intrusión y se ha detenido cualquier movimiento posterior.
  2. Se ha restablecido el acceso a la cartera para su legítimo propietario.
  3. Se ha recuperado y transferido el control del monedero receptor del atacante al equipo de la víctima.
  4. Medidas de seguimiento coordinadas para reducir el riesgo residual.
Resultado: Se ha restablecido el acceso, se ha recuperado el control y se ha bloqueado al atacante.

Refuerzo de la seguridad tras un incidente

Seguridad de los dispositivos

  • Guía paso a paso para manejar dispositivos infectados de forma segura
  • Aislamiento de la red, revocación de sesiones, rotación de credenciales y claves, plan de reconstrucción limpia

Configuración operativa

  • Puesto de trabajo nuevo y limpio dedicado a las operaciones con carteras
  • Sistema operativo nuevo, descargas exclusivas del fabricante, monedero físico, número mínimo de extensiones, perfil de navegador independiente, autenticación de dos factores

Preparación para el examen de ciencias forenses

  • Orientaciones sobre instantáneas de disco y recopilación de registros del sistema y de las aplicaciones
  • Conservación de pruebas para una posible investigación judicial

Entender el concepto de «desviación»

Publicidad se trata de una forma de ingeniería social de tipo empresarial en la que los delincuentes imitan los procesos habituales (compra de publicidad, colaboraciones, relaciones públicas) para engañar a los usuarios y que instalen «clientes» maliciosos.

Señales de alerta comunes:

  • «Instala nuestro gestor de anuncios para sincronizar los creativos»
  • «Utiliza nuestro cliente personalizado de Zoom/Telegram para la llamada»
  • «Acceda a nuestro dossier de prensa/acuerdo de confidencialidad a través de un visor seguro»
Regla fundamental: Si un flujo de trabajo procedente de fuentes desconocidas requiere un cliente, visor o programa de actualización específico, asuma que se trata de una amenaza por defecto. Utilice únicamente descargas oficiales de los proveedores.

La recompensa y la independencia

  • El proyecto generó beneficios, ya que la recuperación superó la pérdida inicial.
  • PhishDestroy decidió no quedarse con la recompensa.
  • Todo el superávit se destinó a @_SEAL_Org.
  • Esto garantiza la independencia: no hay fuentes de financiación ni obligaciones.

Principios fundamentales

  • Solo independencia: sin presupuestos ni condiciones.
  • Un enfoque centrado en los resultados, más que en el debate.
  • Nos oponemos a cualquier «cliente especial» o software no verificado.
  • Una divulgación selectiva que ayude a las víctimas, no a los autores de las amenazas.
  • Presión directa sobre la infraestructura del atacante.

Recomendaciones prácticas

Para proyectos y equipos

  • Nunca instale programas de visualización, clientes o actualizadores de terceros no verificados.
  • Descarga Zoom y Telegram únicamente desde los sitios web oficiales de los proveedores.
  • Evita los enlaces patrocinados de monederos, puentes y airdrops.
  • Es preferible utilizar carteras físicas con almacenamiento de la frase de recuperación fuera de línea.
  • En caso de compromiso de seguridad: revoca las sesiones, transfiere los fondos, renueva las claves, vuelve a generar los valores secretos y solicita ayuda de inmediato.

Para la comunidad

Conclusión

A pesar de que los fondos ya se han transferido, PhishDestroy acceso restablecido y se aseguró de que el atacante no pudiera quedarse con los activos robados. Al rechazar la recompensa y destinar los fondos sobrantes a otros fines, la organización mantiene su modelo operativo voluntario e independiente, centrado en una respuesta rápida y eficaz ante los incidentes.

#Adverting #WalletRecovery #StealerMalware #SocialEngineering #CryptoSecurity

Comparte esta investigación

X / Twitter Telegram Reddit LinkedIn

Investigaciones relacionadas

Anatomy of Crypto Phishing: 8 Real Seed Phrase Stealers Reverse-Engineered
INVESTIGACIÓN EN PROFUNDIDAD
Análisis del phishing de criptomonedas: análisis de 8 programas reales de robo de frases de semillas
$0 Takedowns: How We Disrupt Phishing Infrastructure
INVESTIGACIÓN
Desmantelamientos a coste cero: cómo desarticulamos la infraestructura de phishing
Scammers Exposed: 4 Scam Backends Dissected
INVESTIGACIÓN
Estafadores al descubierto: análisis de cuatro plataformas de estafa
Aviso de transparencia. PhishDestroy es un proyecto sin ánimo de lucro impulsado por voluntarios. Nuestra investigación puede reflejar un sesgo inherente contra las infraestructuras fraudulentas y los servicios que las facilitan. Animamos a los lectores a que evalúen todo el material de forma crítica e independiente. Lee nuestra declaración de transparencia completa →