BlockChain & SmartContracts: Ataques de Ice Phishing

Más de 20 o 25 años hablando del phishing. Si nos paramos a pensarlo, quizá más años, ya que la ingeniería social y todo lo que ello engloba está en el ser humano desde que este ser es humano. Es decir, el engañar a alguien para conseguir un beneficio se ha hecho desde tiempos inmemoriales, desde que el ser humano, seguramente, estuviera en cavernas. No siempre con engaños graves, ¿Por qué no hacerte un halago con el fin de que seas más susceptible a una petición mía? El ser humano lo hizo y, seguramente, lo hará.

Figura 1: BlockChain & SmartContracts: Ataques de Ice Phishing

Pero hoy no hablaremos de la ingeniería social de la vida, seguiremos hablando de los riesgos en el mundo Web3, dónde ya hemos comentado algunos ataques como el Re-Entrancy Attack, un ejemplo de DoS aplicado al mundo SmartContract y un phishing a tx.origin del tipo de la clasificación que veremos hoy.

Figura 2: Pablo González "SmartContrats: Funcionamiento y Vulnerabilidades

 
Hoy hablaremos del concepto de "Ice Phishing" y es que muchas veces pensamos que el phishing busca robarnos credenciales. Si hacemos un paralelismo con el mundo TI vemos que el phishing ha sido y es una de las amenazas más graves a las que se enfrentan las organizaciones, ya que un clic puede hacer caer la política de seguridad de la empresa y poner en ‘jaque’ un buen número de recursos. La sociedad está concienciada con el robo de credenciales, si les hablas de phishing entiende robo de credenciales, pero no siempre es así.

Hemos hablado en este blog sobre diferentes tipos de engaños que buscan que el usuario realice una acción y no se le piden credenciales, pero a efectos prácticos el riesgo para el usuario es el mismo. Un ejemplo son las técnicas de QRLJacking y cómo el uso de un Código QR puede conllevar acciones que uno no quiere realizar sobre su cuenta, por ejemplo, de Whatsapp.

Además, hemos hablado de los riesgos de OAuth cuando uno no tiene conocimiento sobre lo que puede ocurrir cuando se dan permisos a una app. En esta charla de 2016 en RootedCON se mostraba la herramienta de SAPPO. Estos dos ejemplos, son muy claros a la hora de entender que no siempre nos quieren robar las credenciales si no que existen otras técnicas para lograr un beneficio por parte del atacante. Esto debemos tenerlo claro y concienciarnos y concienciar a la sociedad.

Figura 3: Sólo hay que besar un Sappo

Bien, el tema de hoy es cómo entendemos el phishing en el mundo web3. Ya hemos visto un ejemplo en un artículo anterior, y en ningún caso solicitaban las credenciales o clave privada del usuario. Lo que van a buscar principalmente es que hagamos algún tipo de acción que desencadene el que nosotros otorguemos permiso a un tercero y éste obtenga el beneficio (en la forma que sea).

Figura 4: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

Microsoft ha publicado un reporte sobre los riesgos del mundo Web3 y hay conceptos como el Ice Phishing que quedan definidos y expuestos para el conocimiento de las personas que entran en el mundo Web3. Como cualquier otra tecnología, la Web3 va a tener un boom y ese boom es un incentivo para los delincuentes que tendrán como objetivo beneficiarse. En el reporte, Microsoft, habla de que la tecnología aún es incipiente, por lo que pueden surgir nuevos tipos de ataque. Existen diferentes tipos de phishing y que en algunos casos se heredan vulnerabilidades y debilidades del mundo Web2, aunque en otros casos son exclusivas del mundo Web3.

Uno de los aspectos más relevantes e importantes es entender la transparencia de la web3. En otras palabras, el poder observar y estudiar todo, ya que todo está en la blockchain, permite conocer y poder estudiar, para lo bueno y para lo malo. Es decir, un atacante puede ver cómo está construido un Smart Contract y poder aprovecharse si detecta algún bug, pero al contrario también ocurre. Se puede estudiar lo que ha pasado a posteriori, como si de un Incident Response se tratase, ya que se dispone de esa transparencia.

En el informe también se comenta que algunas de las técnicas de phishing clásicas son poco comunes en el mundo Web3, debido a la complejidad que puede suponer intentar robar una clave privada a través de un email, pero en lo que sí se pone ‘foco’ es en las técnicas Ice Phishing, que no suponen un robo de las claves privadas, sino que implica engañar al usuario para que firme una transacción en la que se delega la aprobación de los tokens del usuario al atacante. Este tipo de transacción es común en entornos con SmartContracts, ya que son éstos los que interactúan con los tokens de un usuario.

Figura 5: Técnicas de Ice Phishing

En la imagen se puede ver el esquema. Los Tokens ERC 20 disponen de unas funciones que permiten aprobar que un usuario delegue en un contrato el manejo de ciertas cantidades de tokens. Esto es algo normal, ya que en función de la aplicación que se esté dando a todo esto, puede que el contrato tenga que ‘pagar’ con tus tokens a otro usuario o a otro contrato. Esa delegación debe ser realizada de forma consciente por el usuario. En el esquema anterior, se puede ver lo siguiente:

• El usuario 1 tiene 1 token USDC y 0 tokens LINK.
• El usuario 1 aprueba que el contrato de uniswap v3 puede ‘manejar’ 1 token de la cuenta del usuario 1.
• En este momento, uniswap v3 (contrato) puede transferir el token del usuario 1 sin aprobación a LINK, como se ve en la imagen.

En la siguiente imagen, se puede ver un ejemplo de aprobación con Metamask. El mensaje queda ahí. El atacante solamente tiene que conseguir modificar la dirección del ‘spender’ por la dirección del atacante. La interfaz de usuario de Metamask no muestra esa información, por lo que mucho cuidado con este tipo de mensajes incompletos, por lo que no podemos ver del todo que la transacción puede ser manipulada.

Figura 6: Ejemplo de Ice Phishing con Metamask

En el ejemplo anterior, no sabemos si la dirección del spender es realmente la de uniswap o la de otro (un atacante). Una vez que la transacción es aprobada, firmada, enviada y, por supuesto, minada, el ‘spender’ puede acceder a los fondos. Si se llega a este paso y el atacante logra esto, seguramente vaciará la cuenta (o el número de tokens para los que obtuvo la aprobación). El ataque Badger DAO es un ejemplo de este tipo de ataques. El atacante consiguió millones de dólares entre noviembre y diciembre de 2021.

Microsoft y las recomendaciones que deja el informe

En el reporte Microsoft pone algunas recomendaciones para que podamos protegernos de este tipo de ataques:

• Revisión de los Smart Contracts con los que interactuamos. Es importante poder leerlos y revisarlos.

• La dirección del contrato que nos ponen como ‘Spender’, ¿Es correcta? Este paso es crítico. Al igual que en web2 miramos mucho si estamos conectados con el servidor legítimo y verificamos una serie de cosas, aquí deberíamos verificar también otras cuantas cosas. Por ejemplo, la dirección del contrato ‘spender’ al que daremos la aprobación.

• El Smart Contract en el que vamos a confiar ha sido previamente auditado. Esto es algo fundamental y es que cada vez más se requieren auditorías de Smart Contracts y demás componentes de la web3.

• ¿Es el Smart Contract actualizable? Una buena práctica en el desarrollo de Smart Contract es utilizar un ‘Proxy Pattern’ para conseguir que el Smart Contract o su lógica pueda ser acutalizada, sin tocar la parte de datos.

• Utilizar múltiples wallets y diversificar los ‘ahorros’ cómo podrías hacer en el mundo financiero clásico. Revisar periódicamente la configuración de los wallets y revocar la aprobación de utilización de nuestros tokens. Lo ideal sería aprobar el uso de nuestros tokens (en su justa medida) y por un corto período de tiempo, el tiempo que se necesite.

La Web3 es, sin duda, un mundo apasionante que se abre ante nosotros y que muestra un sinfín de posibilidades, pero también de riesgos que van creciendo. Seguiremos contando más cosas sobre este apasionante mundo. Seguiremos mostrando más vulnerabilidades en el mundo de los SmartContracts y seguiremos aprendiendo más sobre este interesante mundo de la Web3. Más artículos sobre este mundo Web3:

• Blockchain & SmartContracts: Una serie para aprender
• BlockChain & SmartContrats: Primer SmartContract con Solidity
• Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
• WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
• Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
• Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
• Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
• Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
• BitCoin: Blockchain y su investigación
• BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
• Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
• BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
• Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
• Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts
• BlockChain & SmartContracts: Ataque de phishing a tx.origin y robo de criptomonedas
• BlockChain & SmartContracts: Ataques de Ice Phishing
• Blockchain & SmartContracts: Herramientas de análisis dinámico
• ZIION: Una distribución Linux para auditar SmartContracts (& BlockChain)
• Dominios Web3 en Etherenum Name Service y la trazabilizad de las transacciones Blockchain
• BlockChain & SmartContracts: Actualizar SmartContracts como los grandes protocolos
• Jumping level up (from) web2 (to) web3: Vulnerabilities & SCAMs - SmartContracts

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

BlockChain & SmartContracts: Ataque de phishing a tx.origin y robo de criptomonedas

Ya hemos hablado en el blog de algunas vulnerabilidades que afectan a los SmartContracts. Es un tema de actualidad y es un tema importante que debemos manejar en el mundo Web3. La seguridad es un proceso transversal a cualquier paradigma de la llamada transformación digital y el mundo Web3 no escapa de ello. Que una vulnerabilidad en un contrato afecta a miles de usuarios y pueda secuestrar o robar sus fondos es algo crítico.  Desde el mundo IT, el de toda la vida, vemos esto como un riesgo que debe ser gestionado. Por esta razón, la base de todo modelo de defensa es el conocimiento y la concienciación. 

Figura 1: BlockChain & SmartContracts: Ataque de phishing

a tx.origin y robo de criptomonedas

En este caso, no solo los desarrolladores de SmartContracts deben disponer de conocimientos para codificar de forma segura, sino que también deben ser los usuarios de los contratos los que entiendan los riesgos básicos. El artículo de hoy va, precisamente, de esto. ¿Cómo puede afectar el pshising a un SmartContract? Expondré algún ejemplo que debemos entender y valorar antes de ponernos a interactuar con este entorno. Ya hemos hablado en el blog sobre vulnerabilidades como la de Reentrancy que puede afectar a la pérdida o robo de fondos de un contrato y a un escenario de bloqueo de criptomonedas de un contrato o denegación de servicio de un contrato. Hoy vamos a explicar un caso de phishing basado en una mala práctica del uso del elemento tx.origin.

Figura 2: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

En este artículo se puede ver el riesgo de usar tx.origin para validar la propiedad de un contrato. ¿Qué es tx.origin? En Solidity se utiliza como variable global la cual devuelve la dirección pública de una cuenta. En este caso la dirección que envió la transacción. Debemos tener claro que si utilizamos tx.origin para validar o chequear a los usuarios, dichos contratos serán vulnerables a ataques de phishing. Hay que saber que tx.origin es una variable global en Solidity que devuelve la dirección de la cuenta que envió la transacción. Los contratos que utilizan tx.origin para autorizar a los usuarios son vulnerables a los ataques de phishing.

Escenario y ejemplo de vulnerabilidad

Para entender el concepto, vamos a suponer el siguiente escenario:

• Contrato A, el cual es vulnerable.
• Contrato B, el cual es un contrato preparado por un atacante.
• Usuario A, el cual será una víctima.
• Usuario B, el atacante.

El contrato A tiene una función para transferir fondos. Recordemos que el contrato A es el contrato vulnerable. La función permite mover ETH de un contrato a una dirección. El requisito para llevar a cabo esta operación de mover fondos es que tx.origin sea igual al owner del contrato.

¿Qué diferencia hay entre tx.origin y msg.sender? tx.origin es la variable que contiene el emisor de la transacción, es decir, la dirección que ha originado todas las posibles llamadas disparadas a través de los contratos (teniendo en cuenta que un contrato puede llamar a otro, y ese otro a otro…). La variable msg.sender almacena la dirección origen de la llamada actual, por lo que la diferencia es clara, la primera almacena el origen de todo y la segunda el origen de la llamada que se está ejecutando.

Figura 3: Escenario del ataque de phishing a tx.origen

Ahora que tenemos claro que es el tx.origin, supongamos que el usuario B (atacante) envía un phishing al usuario A. El usuario A confía en el phishing y ejecuta una llamada contra el contrato B a través del método ‘attack’. El método ‘attack’ va a provocar que se haga una llamada contra el contrato A en el método ‘Transfer’. El usuario A es el que invoca contratoB.attack por lo que llamada de contratoB.attack a contratoA.Transfer seguirá teniendo como tx.origin al usuario A.

Figura 4: Envio del phishing al usuario A

Si analizamos el requisito del método contratoA.Transfer es que tx.origin sea igual a owner del contrato, por lo que, en este caso, quedará validado con este engaño al usuario A. En la siguiente imagen, se va a mostrar el flujo completo y cómo se activan la pila de llamadas. De todos modos, vamos a hacer un pequeño resumen de la ejecución:

• El phishing enviado del usuario B al usuario A hace que éste ejecute la primera acción: El usuario A invoca a contratoB.attack. En este punto msg.sender y tx.origin tiene como valor la dirección del usuario A.

• El contratoB.attack es ejecutado, por lo que éste ejecuta una llamada al contratoA al método ‘Transfer’. En este caso, cuando se ejecuta contratoA.Transfer, msg.sender vale la dirección del contratoB, pero tx.origin sigue valiendo la dirección del usuario A. Aquí está la vulnerabilidad.

Figura 5: Resumen completo de llamadas con el robo de fondos

Al final, la transferencia se valida, ya que el requisito es que tx.origin sea igual al owner del contrato A. En el engaño, en el contrato B, seguramente, se configura para que los valores de transferencia sean para un wallet del usuario B y se produce el robo de fondos.

¿Cómo podemos evitar esto?

La primera práctica es no usar tx.origin, ya que no nos permite verificar realmente quién está detrás de la llamada que invoca. Es mejor utilizar msg.sender para verificar, aunque existen casos dónde podemos tener problemas. Quizá la mejor solución es la firma de mensajes para verificar, antes de realizar la transacción que somos conscientes que vamos a realizar una transacción. Es importante estudiar los patrones de codificación segura en Solidity, ya que podremos evitar cometer errores graves. Además, realizar auditorías de seguridad y utilizar herramientas DAST y SAST en los entornos de desarrollo parecen algo fundamental. 

 

Figura 6: Pablo González "SmartContrats: Funcionamiento y Vulnerabilidades

En el siguiente enlace se puede ver un listado de patrones que proporcionan utilidad en cuanto a la mejora de la seguridad en el desarrollo de SmartContracts, y en el vídeo anterior una charla mía sobre vulnerabilidades en SmartContracts. El objetivo de estos artículos es concienciar a las personas y que aprendan a evitar estas vulnerabilidades. Seguiremos mostrando más vulnerabilidades en el mundo de los SmartContracts y seguiremos aprendiendo más sobre este interesante mundo de la Web3. Más artículos sobre este mundo Web3:

• Blockchain & SmartContracts: Una serie para aprender
• BlockChain & SmartContrats: Primer SmartContract con Solidity
• Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
• WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
• Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
• Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
• Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
• Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
• BitCoin: Blockchain y su investigación
• BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
• Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
• BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
• Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
• Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root",  “Pentesting con Powershell” y de "Empire: Hacking Avanzado en el Red Team", Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDCO de Telefónica.  Para consultas puedes usar el Buzón Público para contactar con Pablo González

Contactar con Pablo González

Cómo detectar a un criptoestafador y qué hacer si has sido estafado

Con el auge de la Web3 y la aparición de criptomonedas Proof-of Work, Fan Tokens y NFTs, gracias a la aparición de BlockChain y los Smart Contracts  también ha aparecido los criptoinversores atraidos por el halo del BitCoin, en el panorama mundial, pero como hemos visto muchas veces ya por este blog, cogido de la mano, también han florecido el mundo de los criptoestafadores en forma de Falsos Brokers. Por supuesto, no se trtata de demonizar las criptoinversiones ni mucho menos, pero hay que estar alerta para detectar a un estafador, sobre todo si estás buscando un broker.

Figura 1: Cómo detectar a un criptoestafador y qué hacer si has sido estafado

En primer lugar todos tenemos, en el sentido amplio de la palabra, la facultad de resolver problemas, extraer conclusiones y aprender de manera consciente de los hechos. Es lo que se conoce como razonamiento. Si alguien nos dice que invirtiendo en su plataforma va a obtener un ROI (Retorno de la Inversión) de un 40% o más, la razón nos debe decir que no es posible conseguir eso de forma predecible y con una 100% de garantía, por mucho que el corazón nos diga que ojalá fuera posible. Está comprobado que inversiones y emociones, si se unen, se convierten en un Cóctel Molotov cuyo final es siempre un pesadilla.

Figura 2: El Imperio de BitCoin de Deckard23

Por ese motivo, como en las inversiones en Bolsa de Valores,  hay que tener la sangre fría y pese a que nos digan que vamos a forrarnos con los beneficios que vamos a conseguir, imponer la razón y dejarse las emociones en casa. Usted piense un momento fríamente:

• ¿Alguien que gana mucho dinero va a estar en una red social buscando gente que no conoce para hacerla millonaria? 

• Si de verdad se ganara tanto con las inversiones en criptodivisas, ¿usted no cree que saldrían en los medios de comunicación más famosos anunciándolo? 

• ¿O conocería mucha gente cercana que gana dinero y usted lo vería con sus propios ojos?

• Si todos ganan, entonces ¿quién pierde? Esto es un esquema de compra-venta, para que uno gane, otro debe perder, o la escalada debe ser hasta el infinito en un esquema de inflacción

Pues bueno,  de estas reflexiones que todos debemos hacernos, hay que extraer la primera lección aprendida: desconfiar, porque no existen las habichuelas mágicas en el mundo del BitCoin.

Modus operandi de los ciberestafadores

Os voy a explicar la forma de trabajar que tienen estos ciberestafadores para que podáis detectarlo. En primer lugar el contacto con el objetivo a estafar se realiza de varias formas. La más común es por un mensaje privado en las redes sociales. Por ejemplo en Telegram, si te unes a un grupo que tenga que ver con las inversiones o las criptomonedas, otros miembros del grupo pueden escribirte por privado. De esta manera saben que estás interesado en invertir y que posiblemente tengas dinero. 

En segundo lugar utilizan anuncios que han llegado a aparecer en servicio tan conocidos como Discovery de Google o en sitios web de renombre, pero también en medios de comunicación generalista por medio de campañas de malwertising. Y por supuesto, Tweets patrocinados en Twitter, ads patrocinados en Instagram, Facebook o cualquier otra red social, usando campañas, como hemos visto, en las que usurpan la imagen de personas famosas, y hasta al propio Chema Alonso le ha sucedido.  

Hay otras redes sociales que son muy explotadas para captar objetivos a estafar: las apps de citas como Tinder o Badoo. En todos los casos expuestos suelen ser perfiles falsos, habitualmente de chicas muy atractivas. Dichas fotos las suelen sacar de otros perfiles legítimos cometiendo un delito de suplantación de identidad. El último paso es la ingeniería social.

Una vez llamada la atención de la víctima le animan a invertir una cantidad pequeña de dinero en una plataforma. Le prometen unos beneficios muy grandes y le enseñan cómo darse de alta e invertir sus primeros 100€. Aparentemente todo es perfecto, la plataforma y la web está muy lograda, el dinero se ve reflejado en la misma cuando entramos con nuestro usuario y contraseña, vemos como aumenta el volumen del beneficio e incluso si solicitamos el retiro a nuestra cuenta bancaria nos lo ingresan. Sin embarga es aquí cuando la víctima baja la guardia y cae en la trampa. A la vista del beneficio obtenido y cegado por la codicia (o la desesperación en muchos casos) se realizan posteriores ingresos de sumas mayores, las cuales lógicamente no se devuelven.

En última instancia comienza una situación desesperada y agobiante para las víctimas que muchas veces ceden a sus chantajes y extorsiones. Comienza la fase de amenazas y mentiras que van desde la solicitud de más dinero para desbloquear los fondos hasta hacerse pasar por empresas de recuperación de fondos que solicitan dinero por adelantado garantizando la recuperación de los mismos, todo el mismo entramado criminal.

En qué fijares para no caer en este tipo de estafas

Después de llevar varios casos de ciberestafas en criptoinversiones, tras hablar con muchas víctimas, he podido analizarlas y localizar ciertos patrones de conducta que les llevan a caer en este tipo de fraudes. A continuación un resumen para que os sirva de aprendizaje:

• Avaricia: las ganas de ganar dinero pasivamente en grandes cantidades.

• Horizonte negativo: gente que tiene mucho dinero, sin empleo, que tiene miedo a que se le acabe y busca multiplicarlo.

• Impresionables: que una chica atractiva haga creer que le interesas es algo psicológicamente muy potente. El demostrar ante la hembra que se tiene dinero para atraerla es algo que puede salir caro.

• Exceso de confianza: no informarnos debidamente de la plataforma de inversión. Con una simple búsqueda en Internet de cualquier plataforma podemos encontrar reseñas de personas estafadas con gran facilidad y alertarnos.

• Teoría de la mala persona: algunos jueces creen que las personas víctimas de este tipo de estafas se lo merecen. Lo ven como algo parecido al “timo de la estampita” donde de alguna manera se sabe que es algo malo lo que se está haciendo y se intenta aprovechar para sacar beneficio.

• Falta de análisis de la situación: hay que pensar que estás dando todo tu dinero a una persona desconocida y que por lo menos hay que hacer una investigación, teniendo Internet hay que preocuparse un poco y no ser tan cómodos.

¿Qué me puede hacer pensar que me están estafando?

Si después de todo lo expuesto, estás pensando en invertir en cualquier plataforma que alguien te esté recomendando, he aquí otros detalles que utilizamos los ciberinvestigadores para identificar este tipo de ciberfraudes con facilidad. 

• Teléfonos con prefijos extranjeros extraños tipo +44 y +370, no siempre pero suele ser así.

• Páginas webs sin demasiada información de contacto verificable.

• Falta de información sobre protección de datos, leyes de cookies, etc, que pueda ser verificable en fuentes legítimas.

• Personal que se niega a realizar una conversación telefónica por videollamada ya que no quieren ser vistos.

• Si intentas contactar con dichas personas desde otros móviles, no suelen contestar, se piensan que les estás espiando o investigando.

• Si buscas su ubicación en Google Maps te das cuenta que no existen, puedes llamar a algún lugar de las inmediaciones para comprobarlo.

• Piden las transferencias de fondos a bancos que no tienen sucursales, sólo existen en Internet.

• La mayoría quiere el dinero de las inversiones en dinero a cuentas extranjeras, o en Bitcoin u otras criptodivisas muy fuertes.

• -Se conectan con Anydesk o TeamViewer e insisten en abrirte una cuenta en Binance u otro exchange, ellos mismos lo hacen todo, o si tienes allí dinero te lo limpian.

Al final, tienen que montar la tienda rápido, estafar al máximo volumen de víctimas, y cerrar la web para montarla en otro dominio y comenzar otra operación, como vimos en el artículo de este fin de semana en el blog, con lo que van a "volumen", no a ser la estafa perfecta, ya que la mayoría de las víctimas ya están predispuestas a ser estafadas desde antes de caer en sus redes.

Conclusión y últimos consejos

Para terminar hay que tener presente que las criptodivisas tienen cosas realmente buenas pero la no regulación es la peor cara de este mundo. Se ha pasado de necesitar muchos permisos para ser un Broker, todo regulado por la CNMV (Comisión Nacional del Mercado de Valores) al Salvaje Oeste. Los consumidores han perdido gran parte de sus derechos y el lado amargo de todo esto son los miles de millones que se roban cada año entre estafas y hackeos. Si quieres ser dueño de tu dinero y convertirte en un inversor tienes que trabajarlo desde el punto de vista de la investigación de mercados, y el análisis detallado de en qué y cómo inviertes, algo para lo que se necesita conocimiento, o contar con ayuda.

Figura 3: Las ciberestafas con criptomonedas por Deckcard23

En caso de haber sido víctima de una ciberestafa puedes contactar con nosotros. Cuanto antes lo detectes será mejor puesto que el tiempo corre en tu contra. Aún así, aunque somos expertos en recuperación de criptodivisas con grandes éxitos hasta la fecha cuando tiene que ver con la pérdida de semillas, contraseñas, formateo o rotura de hardware con wallets, y similares, en el caso de las ciberestafas es prácticamente imposible conseguir recuperar el dinero. Una vez que llega el dinero de una cuenta a otra en la Blockchain ya no se puede retroceder. Normalmente sólo se puede investigar el ciberdelito, crear un dossier o un informe pericial. Nosotros lo aconsejamos por los siguientes motivos:

• Dejar bien documentado lo ocurrido por si en un futuro se detiene a los autores.

• Asesorar a la víctima para que entienda bien cómo lo han hecho y evitar que le suceda de nuevo.

• Informarle de los pasos que debe seguir una vez estafado.

• Ayudar a las FFCCSE a entender lo ocurrido a la hora de denunciar los hechos. También les sirve para saber por dónde pueden investigar lo ocurrido, pues son ellos los que más medios tienen para poder detener a los autores.

Quiero, para terminar, agradecer a las FFCCSE por su gran trabajo en este área y por la formación que está facilitando la Policía Nacional en C1berwall Academy que no tiene precio. También me gustaría dejar una crítica a los Exchangers por no tomar más cartas en el asunto ya que ninguno está destinando fondos para la investigación de este tipo de ciberdelitos a parte de no dar el soporte adecuado a los estafados, sus clientes. Yo intenté lanzar hace unos años el proyecto ALACRYPS y no me fue posible conseguir que ningún Exchanger lo apoyara, algo que da mucho que pensar.

Saludos,

Autor: Jorge Esclapez aka Deckcard23, autor del libro “El imperio de bitcoin”, una guía para aquel que quiere aprender más sobre el origen de Bitcoin y todo lo que ha representado durante estos más de 10 años. 

Figura 4: Contactar don Jorge Esclapez aka Deckard23 en MyPublicInbox

WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?

Antes de continuar con la serie de Blockchain y SmartContracts, vamos a hacer un pequeño inciso para explicar el concepto de Web 3.0, Web3 (y la Web 4.0 también) ya que este será el ecosistema desde el cual tendremos que pensar cómo implementar nuestras ideas basadas en Blockchain y Smart Contracts. Vamos a dar un pequeño repaso a lo que se ha denominado como diferentes evoluciones de la World Wide Web, y que se han implementado desde la creación de Internet.

Figura 1: WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?

Ya sabemos de sobra que alrededor de 1969, en plena guerra fría, surgió Internet con el objetivo de hacer accesible la información militar estadounidense desde cualquier punto del país; al principio se llamaba ARPANET y esta red contaba solamente con unos 4 ordenadores servidores distribuidos por algunas universidades de EEUU. 

Figura 2: Web del New York Times en 1996 vista desde un Navegador NetScape

Más tarde Internet se abrió a cualquier persona que con fines académicos que necesitase acceder a la red (o para otras cosas más bizarras, como esta transacción de Marihuana). En este punto también comenzaron a surgir los primeros conceptos de “navegador” de la historia Gopher, los cuales sólo aceptaban texto plano (ASCII).

Web1.0 o la web estática: Content, Links & Browsers

En 1989 llegaría la gran revolución cuando Sir Tim Berners-Lee creó la World Wide Web en el CERN con el objetivo de ser un sistema de intercambio de datos entre los diferentes científicos del CERN. Hasta este punto, Internet prácticamente solo servía para enviar correos electrónicos o transferir archivos. En 1991, Tim Berners-Lee creó la primera especificación de HTML un lenguaje de hipertexto para la elaboración de páginas web, y que tuviera tan solo 18 elementos lo hizo bastante simple y por tanto fácil de adoptar.

Figura 3: El primer servidor Web de la historia (NeXT)

Finalmente, en 1993 surgió el segundo navegador gráfico de la historia el Mosaic (el primero fue el que creó Tim Berners Lee para sus primeras pruebas), el cual introdujo HTML como lenguaje principal para la visualización de páginas web. En ese momento la web era solamente de estática - la Figura 2 es un ejemplo de este tipo de web - y por lo tanto el usuario corriente no podía hacer nada más que navegar por internet y consumir el contenido que generasen los desarrolladores.

Web2.0 o Web social: Likes, Follows & Influencers

Se considera el fin de la Web 1.0 alrededor 2004 con la aparición de tecnologías que permitían a los usuarios generar contenido e interactuar con las páginas web. Un ejemplo claro fue la creación de Facebook en 2004. En la Web1.0 el usuario podía consumir información, ahora con la Web2.0 el usuario podría crearla también e interactuar con otros usuarios. 

Esta segunda generación tenía una nueva filosofía, la participación del usuario en los sitios web, por lo que la red pasaba a ser solamente una plataforma. El usuario para utilizar las plataformas deberá generar información; la información es lo que moverá Internet (concepto que hoy día lo tenemos asumido debido a la explosión del BigData).

Figura 4: Nube de etiquetas típica de la Web 2.0 con sus conceptos clave.

Este modelo ha provocado un gran impacto a nivel social dado que facilita la interacción entre usuarios, sobre todo en redes sociales donde la generación de contenido se da de manera masiva (sobre todo cuando la tecnología permitió tener este tipo de accesos en dispositivos móviles). Pero para que tecnológicamente esto fuera posible, se estandarizaron diferentes lenguajes y protocolos con los que los sitios web podrían cambiar el contenido de la base de datos del mismo sitio.

También cabe destacar que durante esta etapa han surgido los centros de datos e Internet se ha centralizado, teniendo así el control de este unas pocas empresas que poseen los servidores en los que prácticamente se aloja todo Internet. Este Internet centralizado ha evolucionado hasta un nuevo concepto de negocio y trabajo de lo que hoy día conocemos como “nube” o “cloud”. 

La computación en la nube será también un protagonista fundamental en la Web 3.0 y posteriores. Este nuevo modelo tiene ventajas y desventajas. La principal ventaja es la facilidad para acceder a servicios y poder de computación los cuales serían muy caros implementar on-premise. Por otro lado, la principal desventaja es la dependencia de estos servicios. Si los servicios de un proveedor de cloud por cualquier motivo se interrumpen, las empresas (y casi podríamos decir que casi todo Internet) se pararía (ya hemos visto algún que otro caso).

Web 3.0 o la web semántica: Inteligencia Artificial

La Web3.0 o también llamada “Web Semántica” - llamada así porque la Inteligencia A nos permite entender mejor el significado de las palabras haciendo más sencilla y potente la comunicación con la web - tiene un claro protagonista: la Inteligencia Artificial. Otra característica que define la Web 3.0 es el cambio de paradigma de centralización que vimos en la Web2.0 el cual deriva a otro más descentralizado, donde el usuario tenga el control de su información, aunque dependeremos de servicios en cloud más que nunca, y dependa también menos de la computación en la nube. Este concepto ya lo estamos viendo en lo que hoy llamamos Edge Computing.

Figura 5: Arquitectura de la Web Semántica.

Volviendo a la Inteligencia Artificial, ésta básicamente se encargará de cambiar los servicios que ya vimos en la Web 3.0 pero ahora de forma automatizada, con menos errores, más eficiente, etcétera (bots autónomos en las web, operaciones internas inteligentes, detección de errores y anomalías, personalización de gustos del usuario que accede, etcétera). En definitiva, la IA se encarga de analizar y gestionar datos, en vez de realizarlo el ser humano. Esto genera respuestas más eficientes y veloces en todo tipo de contextos y aplicaciones

Web3: Descentralización, Blockchain, criptomonedas, NTFs, Tokens y Metaverso (VR/AR)

No se puede decir que Web3 sea distinto a Web3.0, pero sí que los conceptos tecnológicos de Blockchain, Criptomonedas "Proof-of-Work", NFTs, Fan Tokens, Smart Contracts y los mundos virtuales VR/AR del Metaverso se han añadido posteriormente a la definición de la Web3.0 original, así que hay muchos que para diferenciarla prefieren hablar de Web3, pero es la misma evolución con más añadidos a la Inteligencia Artificial.

Antes hablamos de cómo poco a poco Internet se había ido centralizando, y que una de las revoluciones que conlleva la Web3.0/Web3 es la descentralización de la información y los protocolos mediante los cuales se rige. La Web3.0/Web3 busca no sólo ser interactiva, sino también ser más “confiable” gracias a la descentralización. Tal vez la palabra confiable sea una término un tanto desacertado porque estas tecnologías son descentralizadas, con lo cual no hace falta creer en que su comportamiento será de una manera determinada; cualquiera puede asegurarse de cómo funcionan y por ende, dada su naturaleza inmutable, de cómo funcionaran en el futuro.

Actualmente para llevar a cabo esta tarea se están utilizando diferentes tecnologías como la Blockchain y los Smart Contracts, pero no solamente ésta, sino también el uso de servicios de almacenamiento descentralizado como IPFS o protocolos para el funcionamiento de redes complejas de manera descentralizada como el que utiliza la red social Mastodon que cuenta con más de 617 millones de usuarios.

Eso en cuanto al manejo de los datos se refiere, porque la tecnología Blockchain ofrece la capacidad de crear escasez artificial lo que facilita enormemente la creación continua de nuevas tecnologías como las monedas digitales o criptomonedas Proof-of-Work, los tokens no fungibles (NTFs) o incluso sistemas de votación anónimos y descentralizados mediante los cuales se puede dirigir el rumbo que tomará una compañía.

Figura 6: The Sandbox un mundo del Metaverso basado en la Blockchain the Ethereum

  
La revolución del Metaverso será probablemente la más llamativa e importante de todas, la inmersión en la red será total y nuestra vida en Internet tomará aún más importancia de la que ya tiene. Además, gran parte de los mundos virtuales del Metaverso se basan o basarán en tecnologías Blockchain pues como ya hemos dicho facilitan el uso de monedas digitales y la creación de activos finitos junto con las facilidades que nos brinda a los desarrolladores puesto como toda la información de la Blockchain es pública podemos acceder a ella sin ningún tipo de intermediario.

¿Web 4.0?: ¿Inmersiva Total?

Aún estamos comenzando con la Web 3.0/Web3 y ya se empieza a hablar de la futura Web 4.0. Con el auge de tecnologías como la IA y el Metaverso, esta nueva versión de la web se acercará más a la interacción entre el ser humano y la máquina. Un claro ejemplo lo vemos en las gafas de realidad virtual o realidad aumentada (VR/AR) donde literalmente estamos dentro del universo que queramos simplemente con ponernos el dispositivo (donde usaremos sensores hápticos de todo tipo). Las comunicaciones serán más rápidas y más globales, lo que permitirá un mundo más conectado al que conocemos al día de hoy.

Figura 7: Ready Player One, el libro que tienes que leer 

para entender el Metaverso y la ¿Web 4.0?

En definitiva, la Web 4.0 será la evolución donde el usuario se comunique con la máquina y con otros usuarios de la manera más natural posible, utilizando la voz, la vista y el tacto dentro de universos virtuales. Todo esto siempre con la inestimable ayuda de una Inteligencia Artificial, proactiva, con autoaprendizaje cada vez más potente debido a los avances en computación. ¿Tendremos navegadores web en 3D? ¿Nos parecemos cada vez más a la película “Ready Player One'' o al mundo de "Snow Crash"?. 

Pronto lo veremos … Más artículos sobre tecnologías Web3:

• Blockchain & SmartContracts: Una serie para aprender
• BlockChain & SmartContrats: Primer SmartContract con Solidity
• Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
• WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
• Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
• Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
• Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
• Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
• BitCoin: Blockchain y su investigación
• BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
• Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
• BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
• Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
• Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts
• Blockchain & SmartContracts: Herramientas de análisis de código estático

Autores: Chema Garabito y Fran Ramírez

Figura 8: Contactar con Chema Garabito en MyPublicInbox

 Figura 9: Contactar con Fran Ramírez en MyPublicInbox

Cada día nuevas criptomonedas. Cada día nuevos ups & downs

Si habéis visto que últimamente estoy hablando más de Blockchain, BitCoin, SmartContracts, Criptomonedas "Proff-of-Work", NFTs, Fan Tokens o los Mundos Virtuales, es porque creo que esta evolución de la Web 3.0 es imparable, como sucedió con la Web 2.0 y la llegada antes de la WWW. Eppur Si Muove, y disfruto con este caos loco de evolución tecnológica. Pero no os vayáis a tomar este interés en todas las tecnologías, modelos de negocio y creación de valor en el mundo digital, que van a sostener el Metaverso, como que Chema Alonso está invirtiendo en criptomonedas y lo recomienda.

Figura 1: Cada día nuevas criptomonedas. Cada día nuevos ups & downs.

No, Chema Alonso ni lo recomienda ni lo deja de recomendar. Estas formas de creación de modelos de valor son evolución de la economía digital como reacción y solución a problemas que tienen las economías de nuestras sociedades, pero distan mucho de ser perfectas, y tienen, como en la "economía" clásica de acciones que surgió en la Europa de las Empresas Marítimas y la bolsa de Amsterdam a principios del Siglo XVII, mucho riesgo, fraude y estafas.

Las bolsas de las criptomonedas

Pero también muchas cosas buenas, que son las que hay que aprender, utilizar, y evolucionar. Por eso, últimamente me dedico a revisar qué nuevas empresas han llegado a la economía de la Web 3.0 con nuevas criptomonedas, que son muchas. Es suficiente con irse a un Exchanger y ver las nuevas monedas que se han listado, donde no son pocas. Por ejemplo, en CoinMarket se han listado en el último día ha habido 12 nuevas monedas dadas de alta.

Figura 2: Nuevas criptomonedas en Coinmarket

Cada uno de ella con una historia detrás que hay que entender. Con una propuesta de empresa, con una forma de construir la moneda, con un modelo de negocio detrás para sostener el valor que puedes creerte o no. En el caso de Metania Games, parece que es una plataforma de PlayToEarn, con un market de NFTs y objetos, niveles, etcétera para los gamers. ¿Hay que invertir en Metania? Pues no tengo la respuesta, evidentemente, por mucho que haya una evolución de cotización. No lo sé.

Figura 3: Descripción de la cripto de Metania

A partir de aquí, hay una fase en la que la moneda va a ser sostenida en su valor por los inversores, que compran emitiendo órdenes de compra en el Exchanger la moneda que se genere en las plataformas, pero después deberá existir un motivo económico para que alguien quiere emitir órdenes de compra a un valor concreto. Es decir, será la ley de oferta y demanda en función del valor que haya detrás de ese bien. Y por supuesto, también cuenta con el factor especulativo, donde una criptomoneda que no tiene ningún valor detrás, alguien se lo quiera atribuir.

Figura 4: Evolución reciente de METANIA

Por supuesto, se parece mucho al mercado de bolsa de valores de empresas, donde alguien invierte porque le van a dar beneficios a final de año, porque especulativamente puede crecer, o porque va a sostentar mucho valor en el futuro el uso de esa criptomoneda porque será necesaria para muchas actividades económicas de valor de compra y venta. Por ejemplo, si quieres firmar en la cadena de bloques de Ehtereum necesitas Gas, si hay mucha demanda de firmas en la cadena de bloques subirá el precio del Gas por firmar. 

Reflexión final

Pero... como decía el gran Linus Torvalds en el año 2006 en una entrevista, "el tiempo para soluciones sencillas a problemas sencillos hace mucho que pasó", y por supuesto, como esto es ley de oferta y demanda, compra y venta, alguien compra, alguien vende. Y las cosas pueden pasar. La empresa puede dejar de funcionar, la cadena de bloques que utiliza puede desaparecer, la moneda de esa empresa se puede diluir por un error de control en su generación, y por supuesto, también muchos otros inversores pueden tirar las cotizaciones, subirlas artificialmente para sacar tu avaricia, etc....

Figura 5: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

En definitiva, es muy similar a jugar en la bolsa, pero sin tanto control, y a veces según mi experiencia, con muchos inversores que compran y venden criptomonedas en función de tendencias en plazos de tiempo que pueden llevarlos a tomar decisiones desinformadas y de riesgo. Por eso, en el último año he estado prestando mucha atención a todo este "Tsunami 3.0" que ha llegado, para entenderlo mejor. Nada más. No recomiendo ni dejo de recomendar invertir, pero sí que os recomiendo muy mucho, entender cómo funciona. Más artículos sobre este mundo Web3:

• Blockchain & SmartContracts: Una serie para aprender
• Blockchain & SmartContracts: Primer SmartContract con Solidity
• Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
• WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
• Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
• Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
• Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
• Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
• El-Italiano.docx: Las obras de arte únicas en el mundo digital y el expolio de los maestros
• BitCoin: Blockchain y su investigación
• Cada día nuevas Criptomonedas: Cada día nuevos Ups & Downs
• BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
• Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
• BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
• Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
• Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts
• Blockchain & SmartContracts: Herramientas de análisis de código estático

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Las criptomonedas y las "Proof-of-work": Level 101

En el mundo de las criptomonedas y los Tokens, existen muchos modelos de generación de valor. A lo mejor es como en el caso de los NFT, donde el valor está en lo que significa la posesión de un objeto digital para una persona - como sucede con el valor que le dan en el mundo físico algunos a  poseer una foto en cartón de un futbolista en forma de cromo, o a un cuadro en forma de pintura -, puede ser un Token cuyo valor sea los derechos que da a esa persona, como acceder a unos servicios especiales en webs, o empresas, al estilo de como son las tarjetas VIP, de fidelización o de compañías aéreas, que tienen ventajas especiales para quien los poseen. Valor de alguna forma.

Figura 1: Las criptomonedas y las "Proof-of-work": Level 101

Pero hay muchas criptomonedas que son directamente asociadas a "Proof-of-Work" y es ahí donde la conexión con el valor monetario se ve mejor. Este algoritmo de consenso en la generación de criptomonedas,  es el ejemplo que utilizo yo para explicarlo por primera vez a las personas cuando les cuesta entenderlo. Así que dejadme que os explique este ejemplo muy básico, para ver si soy capaz de que lo entendáis. Os lo cuento en dos partes, que es como lo cuento yo a los amigos y familiares no tecnológicos.

Los Euros y la Creación de Valor en una Criptomoneda

Imaginaos una startup o una empresa que quiere crear su criptomoneda para poder entrar en la economía de la Web3.0 y poder premiar a los usuarios o personas que hacen posible su negocio. Por ejemplo, dejadme que os lo explique con el modelo de PlayToEarn que he debatido con compañeros estos días. Es decir, un modelo de negocio basado en "Jugar a juegos para Ganar Dinero", que os voy a contar de manera resumida para que se vea de dónde vienen los Euros y los Dólares.

En este caso, digamos que una empresa quiere tener a muchos usuarios jugando a juegos dentro de su plataforma. Imaginemos que tiene 1.000.000 de jugadores que van a sus plataformas a jugar todos los días, y gracias a ello, puede hacer negocios como por ejemplo:

• Vender anuncios de Pre-Roll antes de comenzar las partidas.
• Vender campeonatos sponsorizados a compañías que quieren acercarse a determinados segmentos de edad.
• Vender datos de uso, de comportamientos, de gustos, etc... para empresas que quieran enriquecer sus modelos de advertising en plataformas terceras.
• Vender a los jugadores más fan objetos dentro del juego. 
• Vender a los jugadores avatares, niveles extra, accesos premium, etcétera

Es decir, si tienes esos jugadores, puedes generar muchos modelos de negocio que puedes vender por € o $. Ahora bien, para eso necesitas 1.000.000 de jugadores. Y conseguirlos cuesta mucho trabajo y dinero. Así que, ¿por qué no repartir el negocio con ellos, y hacerlo de una manera en la que incentives el crecimiento rápido premiando más a los que antes entren? Y luego, por cada minuto de tiempo que pase uno de estos usuarios en tu plataforma está generando negocio para ti -viendo anuncios, jugando a campeonatos patrocinados, invitando a nuevos usuarios, compartiendo en redes sociales tu contenido, comprando cosas - así que, ¿por qué no repartir parte de lo que genera con él para que se fidelice?

Vale, así que, si tenemos 1.000.000 de usuarios podemos generar €, muchos $. Así que ahora vamos a ver cómo lo hacemos para que ese dinero sea para ellos. Igual que vimos con la herramienta de Facebook Data Valuation Tool, cada vez que un usuario está en la plataforma está generando dinero, así que yo, como dueño de esta empresa, puedo hacer mi cálculo de lo que quiero invertir, de lo que vale para mi negocio ese minuto conectado, y esas acciones realizadas. Y puede hacer ese cálculo en €. 

Una vez que he hecho ese cálculo en €, podemos pasar a pasarlo a una moneda digital de mi plataforma - que si va en forma de tokens criptográficos llamaremos criptomeda -, y que repartiremos a cada uno de los jugadores en función de los minutos que pasen en la plataforma y las acciones que hagan - participar en campeonatos, ganar, socializar, participar en campañas promocionadas en la plataforma, crear objetos, vender objetos, crear niveles, etc.... -.  Esa criptomoneda demuestra que esa persona hizo un trabajo que vale dinero para la compañía.

Pero... ¿cómo ve el usuario ese valor?

Pues la criptomoneda se publica en un Exchanger. Una organización que se dedica a garantizar que el intercambio de una moneda por otra ganando una comisión por el cambio. Seguro que alguna vez has cambiado € por $ u alguna otra moneda. Pues lo mismo, pero añadiendo monedas virtuales auditadas - es decir, que cumplen un mínimo de garantías de control, seguridad y medidas antifraude -. 

En este caso, la empresa que ha creado esta criptomenda de la empresa de PlayToEarn necesita a sus usuarios para hacer su negocio, así que lista su moneda para que sus jugadores puedan cambiarla cuando quieran. Para ello, la empresa emite siempre órdenes de compra al precio del valor que para ellos generan estos usuarios. De tal manera que si los cálculos del negocio que ellos hacen crece en €, puede que le interese que sus usuarios ganen más, y si el número de usuarios crece mucho, puede que le interese pagar un poco menos porque el tiempo de cada usuario valga menos. Ellos hacen su cálculo, y emiten órdenes de compra para que siempre el valor que esos jugadores que tienen su moneda sea justo.

De esta manera, la criptomoneda está sostenida por el valor que esos jugadores generan en un negocio que genera € en base a servicios, con lo que no existe ninguna estafa. Si los jugadores no encuentran valor por jugar en esa plataforma - porque no les gusta el servicio o por que la moneda no vale nada - se irán, así de sencillo. Y si la empresa no es capaz de generar valor con el "Proof-of-Work" que hacen los jugadores, entonces no podrán comprar la moneda, o emitirán órdenes de compra a menor precio y la moneda irá perdiendo valor.

Esto quiere decir que, detrás de cada criptomoneda, hay que entender bien cuál es el valor que hay. Por ejemplo, en BitCoin hay un valor claro para los mineros que deben resolver el siguiente bloque de una cadena, y es el que dan en forma de comisiones los usuarios que quieren escribir sus transacciones en la cadena de bloques más el incentivo en forma de criptomoneda que reciben. 

Figura 2: Libro dedicado a "Bitcoin: La tecnología Blockchain y su investigación"
de Yaiza Rubio y Félix Brezo

Te recomiendo que leas el libro de Felix y Yaiza, que te ayuda a entender muy en detalle cómo se genera ese valor. Ya que los mineros hacen un trabajo que para alguien tiene valor y están dispuestos a pagar de € y $. En el ejemplo de Play-To-Earn que he puesto, la criptomoneda tiene un valor, que es el que han generado en la empresa por pasar tiempo y generar dinero en forma de productos y servicios que ha vendido la empresa. 

La bolsa de criptomonedas

Los especialistas en criptomonedas saben bien qué valor tiene detrás cada moneda - a parte de saber cómo está construida y cuáles son los controles de generación y evolución de cada una de ellas que también es importante -, así que, si el valor detrás de esas criptomonedas crece, la moneda crecerá también, y si decrece, crecerá también.

En la economía de estas criptomonedas nos encontramos con personas que tienen la moneda AlphaCoin que tiene un valor porque se ha generado con la empresa de Play-To-Earn, como os he contado en el ejemplo, pero habrá otras personas que habrán hecho un trabajo en otra empresa, por ejemplo dejando su router para que de cobertura y ellos puedan vender servicios, o pasando tiempo en otras plataformas y generando dinero en forma de anuncios como el caso de Brave, etcétera, y tendrán monedas BetaCoin, GammaCoin, y similares.

Cada una tendrá un valor detrás, que podrá subir o bajar, cada una tendrá un cambio, y cada uno de ellas podrá usarse para comprar productos y servicios en determinadas plataformas o "mundos virtuales", y cada una de ellas podrá cambiarse a € o $ si está listada en un exchanger.

Esta explicación básica es para que no demonicéis todas las criptomonedas, porque no claro que tienen un valor detrás, pero al mismo tiempo es para que invertir en criptomonedas exige entender bien cómo se genera el valor en cada una de ellas, y que no todas son iguales. Por supuesto que hay criptomonedas especulativas, hay otras que se generan todos los días, otras son de generación limitada, otras tienen valor y empresas detrás pero puede que a la empresa no le vaya bien y el valor se esté muriendo, otras pueden estar en alza por la estructura del valor que tienen detrás. 

Pero... esto, es mucho más complejo aún de lo que parece, porque, lógicamente, en el mundo criptomonedas se ha creado toda un modelo económico similar al que tenemos en la Bolsa mundial con el oro, el dólar, el yen, el barril de petróleo y los bonos alemanes, con sus primas de riesgos, fondos de inversión, inversiones a corto a largo, etc, etc, así que, tus aproximaciones que sean con el mismo respeto y cuidado. Y por supuesto, cuidado con los Falsos Brokers de Bitcoin. Más artículos sobre este mundo Web3:

• Blockchain & SmartContracts: Una serie para aprender
• Blockchain & SmartContracts: Primer SmartContract con Solidity
• Blockchain & SmartContracts: Cómo probar y desplegar un SmartContract en Ethereum
• WWW, Web 1.0, Web 2.0, Web 3.0, Web3 y ¿Web 4.0?
• Metaverso, multiverso y las tierras digitales en que vivimos en forma de avatar
• Los Fan Tokens vs. las Criptomonedas y los NFTs: Level 101
• Tokenomics: Las criptomonedas y las "Proof-of-work": Level 101
• Los NFTs y el registro mundial de los dueños de activos digitales en el Metaverso
• El-Italiano.docx: Las obras de arte únicas en el mundo digital y el expolio de los maestros
• BitCoin: Blockchain y su investigación
• Cada día nuevas Criptomonedas: Cada día nuevos Ups & Downs
• BlockChain & SmartContrats: El Internet descentralizado y el almacenamiento off-chain en IPFS
• Reentrancy Attack: Cómo te roban criptomonedas por un bug en tu SmartContract
• BlockChain & SmartContract: Bugs que pueden dejar tu SmartContrat "fuera de juego"
• Blockchain & SmartContracts: Patrones y buenas prácticas de seguridad
• Blockchain & SmartContracts: Herramientas de Auditoría de Seguridad de SmartContracts
• Blockchain & SmartContracts: Herramientas de análisis de código estático

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)