Changpeng Zhao (CZ), fundador y ex CEO del intercambio de criptomonedas Binance, una vez más advirtió a sus seguidores sobre los ataques de phishing. En un mensaje compartido en las redes sociales, destacó que las contraseñas nunca deben compartirse con representantes de servicio al cliente bajo ninguna circunstancia. También aconsejó iniciar sesión en los sitios escribiendo la URL en la barra de direcciones en lugar de hacer clic en enlaces en correos electrónicos. Subrayando que incluso una sola filtración puede poner en riesgo toda una cartera, CZ describió las contraseñas únicas y fuertes junto con la autenticación de dos factores basada en hardware como “esenciales”.
Primera Línea de Defensa Contra el Phishing en Línea: Seguridad de Contraseñas
La seguridad de las contraseñas sigue siendo el eslabón más débil en los ataques de phishing. La regla fundamental subrayada por CZ es “Los verdaderos representantes de soporte no piden contraseñas”, lo cual es sencillo.
Como es bien sabido, los estafadores hoy engañan a los inversores de criptomonedas empleando escenarios que inducen al pánico, como “su cuenta está bloqueada” o “se necesita verificación adicional”. CZ sugirió escribir la URL manualmente o usar un marcador de confianza para evitar estas trampas. Las extensiones de navegador maliciosas incluso pueden dirigir a los usuarios a dominios falsos. Por lo tanto, a veces el único escudo que protege las tenencias de criptomonedas de uno es verificar la URL en la barra de direcciones varias veces.
CZ destacó que usar una sola contraseña en múltiples plataformas puede hacer vulnerable el resto de la cadena. Los gestores de contraseñas entran en juego aquí creando combinaciones largas, aleatorias y únicas para cada sitio. Estos programas de software proporcionan una función de alerta adicional porque no completan automáticamente las contraseñas cuando detectan dominios falsos. Una vez configurados correctamente, las cadenas de caracteres comprometidas de una base de datos filtrada se vuelven inútiles para otras cuentas. Así, el impacto potencial de los sitios falsos maliciosos se reduce considerablemente.
Utiliza Métodos de Verificación 2FA Basados en Hardware
Por supuesto, las contraseñas fuertes por sí solas no son suficientes para garantizar una protección completa. CZ recomendó optar por la autenticación de dos factores basada en hardware como una capa adicional de seguridad. Las claves como Yubikeys, que operan a través de USB o NFC, requieren confirmación física al iniciar sesión, desbaratando la mayoría de las campañas de phishing. Algunos modelos incluso establecen un enlace criptográfico directo entre el dispositivo y el sitio del cual se origina la solicitud de inicio de sesión gracias al protocolo FIDO2. Incluso si un atacante clona el nombre de dominio real, la clave detecta discrepancias de dominio y niega la autorización.
A medida que la superficie para los ataques en línea se expande, los códigos basados en SMS son cada vez más inadecuados. Los ataques de intercambio de SIM y los códigos QR copiables exponen los riesgos de la verificación móvil. Sin embargo, los tokens de hardware proporcionan protección ininterrumpida y pueden llevarse en bolsillos o llaveros. Además, la mayoría de las aplicaciones modernas de intercambio y billetera reconocen estos dispositivos en solo unos pocos pasos, reduciendo el proceso de configuración a unos pocos minutos.
El llamado final de CZ para “¡Stay SAFU!” se traduce en una prescripción integral de seguridad que requiere la combinación de higiene de contraseñas con 2FA basado en hardware.
