Un desglose completo de los ataques de ingeniería social basados en Zoom y Calendly

En los últimos meses, la comunidad de criptomonedas ha visto un aumento en las violaciones de ciberseguridad. Los atacantes programan reuniones a través de@Calendly""> @Calendly y enviar aparentemente legítimo@Zoom""> @Zoom enlaces—solo para engañar a las víctimas para que instalen aplicaciones trojanizadas. En muchos casos, los hackers obtienen control remoto del dispositivo de la víctima durante la reunión. En cuestión de minutos, las billeteras se vacían y@Telegram""> Cuentas de @Telegram secuestradas.

Este artículo diseca toda la cadena de ataque, comparte estrategias de defensa aplicables e incluye referencias para republicaciones comunitarias, capacitación interna en seguridad o concienciación personal.

Motivos duales del atacante

1. Robo de activos digitales

Los hackers despliegan malware como Lumma Stealer, RedLine o IcedID para extraer claves privadas y frases semilla de billeteras basadas en navegador o de escritorio, transfiriendo inmediatamente #TON, #BTC, y otros activos.

Fuentes:Blog de Seguridad de Microsoft, Inteligencia de Amenazas Flare

2. Secuestro de identidad

Las cookies de sesión de Telegram, Google y otros son robadas para suplantar a las víctimas, atraer nuevos objetivos y desencadenar un efecto dominó de compromiso.

Fuente: d01a Informe Técnico

La cadena de ataque de 4 etapas

① Estableciendo confianza
Los atacantes se hacen pasar por inversores, medios de comunicación o anfitriones de podcasts, enviando invitaciones formales de Calendly. En un caso, denominado "ELUSIVE COMET", los atacantes imitaron el sitio de Bloomberg Crypto para prestar credibilidad.

Fuente:Blog de Trail of Bits

② Despliegue de troyanos
Las víctimas son dirigidas a sitios falsos de Zoom (no *.zoom.us) para descargar un archivo malicioso ZoomInstaller.exe. Este ha sido un método común desde 2023 hasta 2025 para desplegar malware IcedID o Lumma.

Fuentes: Bitdefender, Microsoft

③ Secuestro durante la reunión
Los hackers se renombran a sí mismos como “Zoom” en la reunión y le piden a la víctima que “pruebe la compartición de pantalla”, mientras envían simultáneamente una solicitud de acceso remoto. Si la víctima hace clic en “Permitir”, se concede el control total del sistema al atacante.

Fuentes:Help Net Security, Dark Reading

④ Explotación y propagación lateral
El malware carga las credenciales de la billetera para su retiro inmediato o permanece inactivo mientras usa los datos de sesión de Telegram (carpeta tdata) para hacerse pasar por víctimas y suplantar a otros.

Fuente: Informe Técnico d01a

Respuesta de Emergencia: Protocolo de 3 Pasos

1. Aislar el dispositivo inmediatamente
   Desconéctese de Internet. Reinicie utilizando un USB limpio y escanee el sistema. Si se detecta Lumma o RedLine, realice un borrado completo del disco y reinstale el sistema operativo.

2. Revocar todas las sesiones
   Mueva los criptoactivos a una billetera de hardware nueva. Cierre la sesión de todas las sesiones de Telegram y habilite la autenticación de dos factores (2FA). Cambie todas las contraseñas de correos electrónicos, intercambios y cuentas importantes.

3. Monitorear la Blockchain & Exchanges
   Esté atento a transacciones sospechosas y contacte a los intercambios para congelar direcciones comprometidas cuando sea necesario.

Seis reglas de oro para la protección a largo plazo

• Dispositivos dedicados para reuniones: Solo use laptops o teléfonos de respaldo sin claves privadas para reuniones con contactos desconocidos.
• Fuentes de descarga oficiales solamente: El software como Zoom y AnyDesk debe ser descargado desde sus sitios web oficiales. En macOS, desactiva "Abrir archivos seguros después de descargar."
• Verificación estricta de URL: Solo se aceptan enlaces de reunión bajo .zoom.us. Las URL de vanidad de Zoom deben seguir esta estructura de dominio.
• La Regla de Tres Nos: No plugins, no acceso remoto, no exhibición de semillas o claves privadas.
• Separación de billetera fría/caliente: almacene los activos principales en billeteras frías con PIN + frase de contraseña. Mantenga solo pequeñas cantidades en billeteras calientes.
• 2FA en todas partes: Habilita la autenticación de dos factores en todas las cuentas importantes: Telegram, correo electrónico, GitHub, intercambios.

Conclusión: El verdadero peligro detrás de las reuniones falsas

Los atacantes modernos no necesitan exploits de día cero; confían en una ingeniería social impecable. Crean reuniones de Zoom que parecen perfectamente normales y esperan pacientemente un solo error.

Al construir hábitos—utilizando dispositivos aislados, verificando fuentes y aplicando autenticación multilayer—puedes detener estos ataques antes de que comiencen. Que cada usuario de blockchain se mantenga a salvo de las trampas de la confianza diseñada y mantenga sus bóvedas e identidades seguras.

Descargo de responsabilidad：

1. Este artículo es reimpreso de [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Todos los derechos de autor pertenecen al autor original [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Si hay objeciones a esta reimpresión, por favor contacte a la Gate Learn equipo, y se encargarán de ello de inmediato.
2. Descargo de responsabilidad: Las opiniones y puntos de vista expresados en este artículo son únicamente del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.