Conecté al Wi-Fi del hotel durante tres días, y mi cartera encriptada fue robada por 5000 dólares.

Autor: The Smart Ape

Traducido por: Deep潮 TechFlow

Hace unos días, mi familia y yo fuimos a un hotel muy bueno a pasar las vacaciones de fin de año. Al día siguiente de irnos, mi cartera fue completamente vaciada. No podía entender cómo había ocurrido, ya que no hice clic en ningún enlace de phishing ni firmé ninguna transacción maliciosa.

Tras varias horas de investigación y con la ayuda de expertos, finalmente comprendí la verdad. Todo fue causado por la red Wi-Fi del hotel, una llamada breve y una serie de errores tontos.

Como la mayoría de los entusiastas de las criptomonedas, llevo conmigo un portátil, pensando en poder trabajar un poco mientras disfruto de las vacaciones con mi familia. Mi esposa insistió varias veces en que no trabajara durante estos tres días, y realmente debería haberle hecho caso.

Al igual que otros huéspedes, me conecté a la red Wi-Fi del hotel. Esta red no requería contraseña, solo había que acceder a una página de verificación (captive portal).

Como de costumbre, trabajé en el hotel sin realizar ninguna operación arriesgada: no creé nuevas carteras, no hice clic en enlaces extraños ni accedí a aplicaciones descentralizadas (dApps) sospechosas. Solo revisé X (Twitter), mi saldo, Discord y Telegram.

En un momento, recibí una llamada de un amigo del mundo cripto, con quien hablamos sobre el mercado, Bitcoin y otros temas relacionados con las criptomonedas. Pero lo que no sabía era que alguien cerca estaba escuchando nuestra conversación y se dio cuenta de que estaba involucrado en actividades relacionadas con criptomonedas. Ese fue mi primer error. La otra parte supo, a través de nuestra conversación, que usaba la cartera Phantom y que era un usuario con una cantidad considerable de fondos.

Esto hizo que pusiera su objetivo en mí.

En redes Wi-Fi públicas, todos los dispositivos comparten la misma red, y en realidad, la visibilidad entre dispositivos es mayor de lo que imaginas. La protección entre usuarios es casi inexistente, lo que facilita los ataques de “Hombre en el Medio” (Man-in-the-Middle Attack). El atacante actúa como un intermediario, insertándose silenciosamente entre tú y el internet, como alguien que lee y altera tus cartas antes de que lleguen.

Cuando navegaba en la red Wi-Fi del hotel, un sitio parecía cargarse normalmente, pero en realidad, tras la página, se inyectó código malicioso adicional. En ese momento, no noté nada extraño. Si hubiera instalado algunas herramientas de seguridad, podría haber detectado estos problemas, pero lamentablemente, no lo hice.

Normalmente, los sitios web pueden solicitar que firmes ciertas operaciones con tu cartera. La cartera Phantom muestra una ventana emergente donde puedes aceptar o rechazar. Generalmente, confías en el sitio y en el navegador, y firmas sin preocuparte. Sin embargo, ese día no debí hacerlo.

Mientras realizaba un intercambio de tokens en la plataforma @JupiterExchange, un código malicioso activó una solicitud en mi cartera, reemplazando la operación normal de intercambio. Podría haber detectado que era una solicitud maliciosa revisando los detalles de la transacción, pero como ya había iniciado el intercambio en Jupiter, no sospeché nada.

Ese día, no firmé ninguna transacción de transferencia de fondos, sino una autorización. Esa fue la razón por la que, días después, mis activos fueron robados.

El código malicioso no me pidió directamente que enviara SOL (Solana), porque eso sería demasiado obvio. En su lugar, solicitó que “autorizara el acceso”, “aprobara la cuenta” o “confirmara la sesión”. En palabras simples, en realidad, le di permiso a otra dirección para que operara en mi nombre.

Lo acepté porque pensé que esto tenía que ver con la operación en Jupiter. En ese momento, la información que mostraba la ventana emergente de Phantom parecía muy técnica, sin mostrar cantidades ni indicar una transferencia inmediata.

Y eso fue exactamente lo que el atacante necesitaba. Esperó pacientemente hasta que me fui del hotel para actuar. Transferió mis SOL, extrajo mis tokens y movió mis NFT a otra dirección.

Nunca pensé que algo así me sucedería a mí. Afortunadamente, no era mi cartera principal, sino una cartera caliente para operaciones específicas, no para mantener activos a largo plazo. Pero aun así, cometí muchos errores y creo que tengo la mayor responsabilidad.

Primero, nunca debería haber conectado a la Wi-Fi pública del hotel. Debería haber usado el hotspot de mi teléfono para navegar.

Mi segundo error fue hablar de criptomonedas en áreas públicas del hotel, donde muchas personas pudieron haber escuchado nuestra conversación. Mi padre me advirtió que nunca revelara que trabajaba con criptomonedas. Por suerte, en esta ocasión, algunas personas incluso han sido secuestradas o han sufrido cosas peores por sus activos cripto.

Otro error fue aprobar solicitudes de cartera sin prestar suficiente atención. Estaba seguro de que la solicitud provenía de Jupiter, así que no la analicé con cuidado. En realidad, cada solicitud de cartera debe ser revisada cuidadosamente, incluso en aplicaciones en las que confías. La solicitud puede ser interceptada y no ser realmente de la aplicación que crees.

Finalmente, perdí aproximadamente 5000 dólares desde una cartera secundaria. Aunque no fue lo peor, sigue siendo muy frustrante.