
[REDACTED] · Estafa de chat en directo · IDOR · 14 meses de actividad · marzo de 2026
Resumen ejecutivo
Esta investigación documenta [REDACTED] — una sofisticada operación de possibly phishing que se hacía pasar por [REDACTED] a través del dominio de backend [REDACTED]. Se presenta como candidato a 14 meses (Enero de 2025 – febrero de 2026), la operación se dirigió a usuarios de criptomonedas a través de un chat de asistencia falso, sustrayéndoles frases de semilla y exigiéndoles depósitos bajo el pretexto falso del «cumplimiento de la normativa de la OFAC» y la «sustitución de activos». Las 1 900 conversaciones de las víctimas se obtuvieron a través de una vulnerabilidad crítica de tipo IDOR. Se ha revelado la identidad del operador principal.
Cómo funciona la estafa: flujo del ataque
La operación sigue un proceso de cinco fases cuidadosamente diseñado para sacar el máximo provecho de cada víctima:
Pérdidas económicas: principales pérdidas confirmadas
| ID del chat | Importe | Activo | Contexto |
|---|---|---|---|
| #1795 | 197 000 USDT | TRON (TRC-20) | Tomado prestado de mi exmujer |
| #481 | ~45,77 ETH | Ethereum | Depósitos múltiples |
| #965 | ~16 000 USDT | USDT | Ingresos sucesivos |
| #720 | 8 000 USDT | TRC-20 | Traslado de un solo día |
| #1090 | 5.839 USDT | USDT | Madre soltera, pérdida confirmada |
| #1430 | ~3.686 USDT | USDT | Dos depósitos distintos |
| #92 | 3.340,23 USDT | USDT | Importe exacto confirmado |
| #1089 | 0,3201 BTC | Bitcoin | Desde el monedero físico [REDACTED] |
Es probable que los daños reales sean mucho mayores
Se trata de datos facilitados por los propios interesados, extraídos de registros de chat, que no han sido verificados. Muchas víctimas nunca comunicaron las cantidades. La rotación de monederos hace que sea imposible calcular los totales en la cadena de bloques sin un seguimiento completo de la misma.
Identificación del operador
Operador principal: Vasiliy Navrotsky
| Parámetro | Valor |
|---|---|
| Nombre completo | Vasiliy Navrotsky (Василий Навроцкий) |
| ID de [REDACTED] | 6005741623 |
| Nombre de usuario actual | @Addmeks |
| Historial de nombres de usuario | @Slo221, @Li_Sin_main, @Handert, @Surr2201, @surr2204 |
| Período de vigencia | Julio de 2023 – mayo de 2025 |
| Mensajes seguidos | 249 repartidos en 61 grupos de [REDACTED] |
| Grupos clave | LEI:5493004F7TI6QBM4WX72 RU (34), P2P LAB (9), [REDACTED] RU (6) |
Miembros del equipo identificados en los registros de chat
Tácticas de ingeniería social
| Táctica | Mensajes | Descripción |
|---|---|---|
| Suplantación de identidad de [REDACTED] | 1,905 | Haciéndose pasar por el servicio de asistencia oficial de [REDACTED] |
| Reclamaciones por bloqueo o congelación de monederos | 360 | Afirman que la cartera ha sido bloqueada debido a «actividad sospechosa» |
| Ofertas de sustitución de activos | 305 | Prometiendo «reembolsar» los activos congelados tras el ingreso |
| Amenazas de sanciones de la OFAC | 210 | Afirmaciones falsas sobre sanciones del Tesoro de EE. UU. contra una cartera digital |
| Exigencias de depósito para el desbloqueo | 185 | Exigir un depósito en criptomonedas para «desbloquear» el monedero |
| Ofertas falsas de staking | 161 | Grupos de staking con APY personalizados en el panel de administración |
| Acusaciones relacionadas con la lucha contra el blanqueo de capitales y la financiación del terrorismo | 66 | Acusar a las víctimas de blanqueo de capitales |
La ironía
Estafadores de habla rusa que se dirigen a víctimas de habla rusa (el 51 % de los chats son en ruso) con amenazas de Sanciones de la OFAC del Tesoro de EE. UU. — un mecanismo regulador que no tiene en cuenta la ubicación geográfica de sus víctimas. Ingeniería social basada en plantillas, en lugar de una comprensión contextual.
Embudos de participación de las víctimas
Idiomas: Ruso 51 % (3.013 mensajes) · Inglés 40 % (2.995 mensajes) · Otros 9 % (365 mensajes)
Pico de actividad: Noviembre de 2025 (959 mensajes). Horario laboral: de 10:00 a 13:00 UTC; los fines de semana, un 40 % menos.
Análisis de infraestructuras
Arquitectura del dominio principal: [REDACTED]
| Componente | Detalles |
|---|---|
| API de víctimas | [REDACTED] |
| Panel de administración | [REDACTED] / [REDACTED] |
| CDN estática | [REDACTED] |
| Pila de backend | Java Spring Boot + Spring Security, JWT RS256 |
| Base de datos | PostgreSQL (JPA/Hibernate) |
| Interfaz de usuario | React CRA + Material UI (339 archivos fuente recuperados) |
| Servidor web | nginx/1.18.0 (Ubuntu) |
Infraestructura de alojamiento
| IP | Ubicación | Proveedor | Función |
|---|---|---|---|
45.144.30.6 | Moscú, Rusia | UFO Hosting (AS33993) | Orientado principalmente a las víctimas |
2.56.178.117 | Moscú, Rusia | UFO Hosting (AS33993) | Fase inicial (enero-febrero de 2025) |
185.170.198.121 | Vilna, LT | IANA #1636 (AS47583) | Interfaz de possibly phishing |
69.10.62.71 | Nueva York, EE. UU. | Interserver (AS19318) | Orientado a las víctimas |
69.49.231.166 | Atlanta, Georgia | Soluciones de red | Dominio principal actual: todos los *.[REDACTED] |
94.131.121.154 | Moscú, Rusia | UFO Hosting (AS33993) | Possibly phishing |
146.185.239.62 | Madrid, España | GTHost (AS63023) | Secundario (casino + Next.js) |
Dominios de possibly phishing (en rotación)
[REDACTED]
[REDACTED]
[REDACTED]
[REDACTED]
Vulnerabilidades críticas de seguridad
La infraestructura del panel de estafas estaba plagada de vulnerabilidades que facilitaban enormemente la extracción completa de datos:
11 Puntos finales de API sin autenticación
Funcionalidades del panel de administración (análisis del código fuente)
Se recuperaron 339 archivos fuente a partir de los mapas fuente de producción expuestos (main.3924229a.js.map). El panel cuenta con:
Se ha detectado actividad de investigación de terceros
Se ha encontrado una carga útil de shell inverso en el chat n.º 1
Se ha detectado una carga útil de shell inverso codificada en Base64 inyectada a través del servicio sin autenticación /message/save punto final en 6 de mayo de 2025 — aproximadamente 10 meses antes de esta investigación. Esto indica que las vulnerabilidades pudieron ser explotadas públicamente durante un largo periodo de tiempo y que otro investigador las descubrió mucho antes que nosotros.
Cronología de la operación
Recomendaciones para los usuarios
- Nunca compartas frases de semilla a través del chat, el correo electrónico o cualquier otro canal de atención al cliente: [REDACTED] nunca te pedirá esos datos
- Comprobar los datos de contacto del servicio de asistencia exclusivamente a través de los canales oficiales de [REDACTED]
- Reconocer las amenazas relacionadas con la OFAC y la lucha contra el blanqueo de capitales como pretextos habituales de estafa: los servicios legítimos no bloquean las carteras a través del chat
- Denunciar dominios de possibly phishing al equipo de seguridad de [REDACTED] y THE ENABLERS REGISTRY
- Utiliza carteras de hardware para la firma de las operaciones de retirada, con el fin de evitar transferencias no autorizadas
- Comprobar el estado del monedero a través del historial de transacciones de la cadena de bloques, y no a través de ninguna interfaz de «asistencia»
Informe técnico completo con los registros de chat
Datos completos de la investigación, incluyendo todas las transcripciones de los chats, las direcciones de los monederos, el análisis de los operadores y las visualizaciones interactivas
Ver el informe completo en GitHub →Ver las 1.900 transcripciones de chat →