Ciberseguridad
La seguridad criptográfica necesita detección de phishing consciente del mercado
En la era moderna, donde la mayoría de los activos e información valiosa están digitalizados, las estafas de phishing son una forma importante en que los criminales roban dinero, mucho más que los robos y extorsiones físicos “normales”, con hasta $25B en pérdidas globales directamente atribuidas al phishing anualmente.
En términos más amplios, se estima que los fraudes y esquemas de fraude bancario han provocado pérdidas de $485.6B en todo el mundo.
Peor aún, la recuperación de fondos es muy baja, tan solo del 5% para el phishing digital y el ciberfraude (en comparación con el 20% para propiedades físicas robadas), ya que los fondos sustraídos se lavan instantáneamente a través de criptomonedas o redes internacionales de transferencias.
Este método muestra a los estafadores disfrazándose como entidades de confianza para engañar a las personas y hacer que revelen información sensible, descarguen malware o transfieran fondos. Por lo tanto, en su esencia, es una forma de ingeniería social que manipula la psicología y la confianza humana en lugar de depender únicamente de métodos técnicos de hacking.
Los mercados de criptomonedas son especialmente vulnerables a dichos ataques, ya que las transacciones son irreversibles y las claves de cifrado robadas pueden otorgar a los criminales acceso a verdaderas fortunas.
Dos artículos de investigación recientes analizaron la prevalencia y las características del phishing en criptomonedas, más concretamente en la red Ethereum.
El primero, publicado por investigadores de la Universidad de Manchester (UK), la American University of Sharjah (UAE) y la Renmin University of China, investiga las condiciones de mercado en las que el phishing es más prevalente. Fue publicado en International Review of Economics & Finance1, y titulado “The interplay between crypto market conditions and phishing crimes: Ethereum under the microscope”.
El segundo artículo, escrito por un investigador del Interdisciplinary Research Center for Finance and Digital Economy, King Fahd University of Petroleum and Minerals, muestra que los modelos de aprendizaje automático pueden identificar transacciones de phishing con alta precisión utilizando características compactas a nivel de transacción. Fue publicado en Blockchain: Research and Applications2, bajo el título “Enhanced Phishing Transactions Detection on Ethereum Network with Tree-based Ensembles: An Empirical Study”.
¿Cómo funciona el phishing?
El phishing puede utilizar una variedad de métodos de focalización: puede consistir en mensajes masivos y filtrar solo a las personas que caen en la estafa, o puede estar compuesto por mensajes altamente personalizados, adaptados para parecer legítimos a un individuo específico, generalmente un perfil de alto rango en una organización concreta o una persona de alto patrimonio neto.
En cualquier caso, el método se basa en suplantar un mensaje legítimo, ya sea un correo bancario, una factura de un proveedor conocido, etc. Con frecuencia, la víctima es redirigida a un sitio web que parece el legítimo pero que está diseñado únicamente para capturar inicios de sesión, contraseñas y otra información confidencial.
Los avances recientes en IA solo han empeorado las amenazas, ya que se pueden utilizar mensajes más adaptativos o incluso la suplantación de la voz de una persona real para generar confianza.
Por eso, entre las recomendaciones para protegerse contra el phishing está inspeccionar siempre la URL completa de las direcciones web antes de introducir contraseñas o datos financieros, verificar la fuente directamente y habilitar la autenticación multifactor (MFA).
Condiciones del mercado de Ethereum y phishing
Construyendo un conjunto de datos relevante
El estudio utilizó datos mensuales de criptomonedas desde enero de 2016 hasta diciembre de 2022 para analizar los rendimientos de los números globales de crímenes de phishing. Se eligió el año 2016 porque es cuando Ethereum atrajo mayor atención pública y mostró niveles más altos de actividad del mercado, y cuando la capitalización de mercado de Ethereum comenzó a experimentar un crecimiento y volatilidad considerables.
El phishing es, de lejos, el tipo de estafa más prevalente en el espacio cripto, representando más de la mitad del total. Las cadenas de aplicaciones descentralizadas de Ethereum son donde se produjo la inmensa mayoría de estas estafas.
Los investigadores compararon estas estadísticas de phishing con seis métricas financieras de Ethereum obtenidas de transacciones ejecutadas en el exchange de criptomonedas Kraken:
- Número total de transacciones.
- Precio medio por transacción.
- Cantidad media de transacción.
- Cantidad agregada de tokens negociados.
- Lambda de Kyle: La relación entre el cambio de precio y el volumen de órdenes, o cuánto mueve una gran operación el precio de un activo.
- Costo implícito de la transacción.
Más operaciones significan más phishing
Al observar la correlación entre estas estadísticas del mercado de Ethereum y el phishing, surgió una correlación clara: los grandes aumentos en el número de crímenes de phishing están fuertemente asociados con grandes incrementos en la actividad de transacciones de Ethereum, el precio medio de transacción y la cantidad de transacciones.
No es sorprendente que los costos de transacción estén negativamente asociados con la actividad de phishing, ya que los estafadores buscan evitar pérdidas en cada transacción robada.
Sin embargo, una menor liquidez se vinculó a más phishing, ya que impulsa a los usuarios a buscar métodos alternativos, potencialmente inseguros, para ahorrar costos o acelerar las transacciones.
Una razón clave para esta correlación, sospechada por los investigadores, es que una mayor actividad comercial refleja un mayor interés y compromiso. Esto, a su vez, crea un mayor conjunto de posibles objetivos de phishing que son más propensos a haber bajado la guardia.
De manera similar, el miedo a perderse (FOMO) de posibles ganancias financieras también puede hacer que los individuos se vuelvan más vulnerables, conduciendo a decisiones precipitadas.
En conjunto, esto crea dos canales a través de los cuales las condiciones del mercado de Ethereum influyen en el phishing. El primero es que los costos más bajos simplemente generan mayores ganancias, incentivando a los criminales a aumentar sus intentos de phishing.
“Cuando la liquidez es profunda y los costos implícitos son bajos, los delincuentes pueden mover o convertir activos robados con menores costos de ejecución, aumentando la ganancia neta del phishing.”
El otro es el conocimiento de que aumentos bruscos en el precio, la volatilidad y el volumen de operaciones pueden atraer a inversores inexpertos o menos informados al mercado, más expuestos a narrativas especulativas, urgencia y miedo a perderse.
“En este sentido, el sentimiento y la atención del mercado actúan como mediadores conductuales, ya que no causan directamente el phishing, pero pueden aumentar la probabilidad de éxito de los intentos de phishing al incrementar el número y la susceptibilidad de posibles víctimas.”
Implicaciones de política
Dado que las operaciones de phishing no funcionan en un vacío, sino que reaccionan a las condiciones del mercado, lo mismo debería ocurrir con las políticas relacionadas con los delitos financieros. Un primer paso sería reconocer estas relaciones y reaccionar en consecuencia.
“Las autoridades regulatorias y los intercambios de criptomonedas podrían mejorar sus mecanismos de vigilancia durante períodos de actividad o volatilidad significativa del mercado, adoptando estrategias proactivas para identificar y desactivar campañas potenciales de phishing antes de que afecten a las víctimas.”
Otro elemento es que los costos de transacción podrían no ser solo costos, sino también un elemento disuasorio contra actividades delictivas. Por lo tanto, aunque los costos de transacción elevados de forma general no son deseables, gravámenes dirigidos a transacciones sospechosas de alta frecuencia podrían ayudar mucho.
“Los costos de transacción elevados parecen disuadir la actividad de phishing, lo que indica que los reguladores podrían explorar políticas o mecanismos que influyan estratégicamente en los costos de transacción para mitigar la actividad ilícita sin afectar negativamente las operaciones legítimas del mercado.”
Por último, las campañas de concienciación pública deberían sincronizarse estrechamente con la dinámica del mercado, especialmente durante períodos de mayor actividad del mercado de Ethereum o movimientos de precios significativos.
“Los esfuerzos educativos, combinados con alertas públicas oportunas sobre posibles amenazas de phishing, pueden reducir sustancialmente las tasas de victimización al aumentar la concienciación entre inversores y comerciantes.”
Detección de cripto-phishing con IA
Selección de modelos de aprendizaje automático
En este estudio, los investigadores utilizaron algoritmos de aprendizaje automático para probar su capacidad de detectar estafas cripto. O, más precisamente, para evaluar la efectividad de los modelos de conjunto basados en árboles (algoritmos que agregan predicciones de múltiples árboles de decisión individuales) en la detección de ataques de phishing en la red Ethereum.
Esto incluyó siete modelos de conjunto basados en árboles: Random Forest, Extra Trees, AdaBoost, CatBoost, Gradient Boosting, XGBoost y Hist Gradient Boosting.
Utilizaron un conjunto de datos de 71,250 transacciones reales de Ethereum de 2017 a 2019, proporcionado por otro investigador, de las cuales el 22% son anómalas. Las transacciones anormales (fraude) se recopilaron del herramienta de código abierto, EtherscanDB.
¿Qué datos son útiles para la detección de fraude?
De este análisis, emergen algunos hechos.
El primero es que algunas características de los datos fueron muy útiles para la detección de phishing, como la marca de tiempo y el número de bloque, así como el gas y el precio del gas, mientras que otras eran esencialmente irrelevantes, como el índice de transacción o el hash del bloque.
El otro es que algunos modelos son mucho más eficientes y rápidos en la detección de fraude. Al punto de que algunos tardan hasta 5 veces más.
Sin embargo, esta velocidad y eficiencia computacional pueden ir en paralelo con una menor precisión, ya que Gradient Boosting fue el más lento, pero también el modelo que logró el mejor rendimiento general de detección.
En la práctica, se puede encontrar un compromiso entre la intensidad computacional y la eficiencia de detección de fraude.
“El uso de una representación compacta de características demuestra que la detección eficaz de phishing puede lograrse con una carga computacional reducida, mejorando la escalabilidad.”
Hacia mercados de criptomonedas más seguros
Las criptomonedas han sido tanto el objetivo de estafas como un medio para que los criminales blanqueen sus ganancias ilícitas, un hecho que ha sido, durante mucho tiempo, una mancha en la reputación del sector.
Gracias a más investigaciones académicas como estos estudios, se puede lograr una comprensión más profunda de la dinámica del mercado y la capacidad de detectar y bloquear ataques de phishing.
En conjunto, los hallazgos apuntan a un futuro en el que los intercambios, carteras, reguladores y empresas de análisis blockchain traten la prevención del phishing como un problema de gestión de riesgos dinámico vinculado a las condiciones del mercado.
Esto también debe ser importante recordar para todos los usuarios de criptomonedas, que el camino fácil o una demanda repentina de identificación o contraseña debe tratarse con la máxima sospecha, especialmente durante los auges del mercado y períodos de alta volatilidad.
Estudios Referenciados
1. Yuanyuan Zhang, et al. The interplay between crypto market conditions and phishing crimes: Ethereum under the microscope. International Review of Economics & Finance. septiembre de 2026. Artículo: 105497. Volumen 110. 10.1016/j.iref.2026.105497
2. Shikah J. Alsunaidi and Hamoud Aljamaan. Enhanced Phishing Transactions Detection on Ethereum Network with Tree-based Ensembles: An Empirical Study. Blockchain: Research and Applications. 12 junio de 2026, 100506. https://doi.org/10.1016/j.bcra.2026.100506
