Rublevka Team: cómo ganar 10 millones de dólares aprovechando la distracción ajena (y con un par de bots en Telegram)
Robar criptomonedas ahora es más fácil que pedir comida a domicilio. A los hackers ni siquiera les hace falta saber programar.
Especialistas descubrieron uno de los esquemas de robo de criptomonedas más lucrativos de los últimos años. La red llamada Rublevka Team logró construir un servicio casi industrial para vaciar monederos digitales y, según estimaciones, ha ganado más de 10 millones de dólares desde 2023.
La operación fue estudiada por especialistas de Insikt Group. Según sus datos, no se trata de virus clásicos, sino de un equipo dedicado a dirigir tráfico malicioso. Es una amplia red de ejecutores que, mediante ingeniería social, atraen a las personas hacia sitios falsos. En lugar de infectar dispositivos se utiliza otro método. A la víctima le ofrecen una promoción atractiva, reparto de tokens o un bono, después la convencen de conectar su monedero y confirmar una operación. Como resultado, los fondos terminan en manos de los delincuentes.
En la base del esquema hay scripts maliciosos en JavaScript, incrustados en páginas falsas. Estos se hacen pasar por servicios y monederos criptográficos conocidos. El usuario ve una interfaz familiar y no sospecha nada. Tras conectar el monedero, el sitio muestra operaciones «de servicio», comprobaciones o acreditaciones, pero en realidad se genera la transferencia de todos los activos a direcciones controladas por los criminales.
La infraestructura del proyecto está casi completamente automatizada. A los socios se les entregan herramientas listas para usar mediante bots en Telegram. Con ellas se puede crear una página falsa, activar el script de robo, configurar eludir filtros de seguridad y supervisar los resultados. Se admiten más de 90 tipos de monederos. El umbral técnico de entrada es mínimo, por lo que miles de participantes se han unido al esquema en todo el mundo.
Ahora se hace especial hincapié en la cadena de bloques Solana debido a sus operaciones rápidas y baratas. Con mayor frecuencia a las víctimas se les ofrecen “airdrops” de tokens, acreditaciones de bonos o una verificación urgente de la cuenta. Según los investigadores, en un canal cerrado del grupo con informes de ingresos se publicaron más de 240 000 mensajes sobre extracciones exitosas. Las cantidades en operaciones individuales varían desde unos pocos céntimos hasta decenas de miles de dólares.
Los ingresos se reparten entre los organizadores y los ejecutores mediante un modelo de afiliados. A los nuevos miembros se les promete hasta el 75% de los fondos robados y a los “experimentados” hasta el 80%. Los analistas consideran que estas condiciones tan generosas son necesarias para el rápido crecimiento de la red y la escala de los ataques.
Para alojar las páginas falsas se utiliza una red de dominios y subdominios que cambia constantemente. Las direcciones se rotan con regularidad y el alojamiento se oculta tras servicios de protección. Esto complica el bloqueo y la investigación. También se emplean métodos para ocultar el contenido, mostrando a los sistemas de verificación una versión inofensiva del sitio.
Los investigadores destacan aparte que estos esquemas se convierten en un problema grave para los intercambios de criptomonedas y los servicios fintech. Incluso si el ataque ocurre fuera de sus plataformas, los usuarios asocian las pérdidas con marcas conocidas bajo las que se disfrazan los estafadores. Esto conduce a reclamaciones, comprobaciones y riesgos reputacionales.
Los especialistas esperan que el modelo de “robo como servicio” se difunda rápidamente. Las herramientas ya preparadas, la automatización y la alta rentabilidad hacen que estos proyectos resulten atractivos para delincuentes sin profundos conocimientos técnicos. Esto significa que el número de ataques contra propietarios de criptomonedas seguirá aumentando en el futuro cercano.