Evité un fraude SIM Swap

Fui el objetivo

El viernes recibí un SMS de un código corto legítimo: “Su cuenta ha sido marcada por actividad inusual. Verifíquela ahora.” Luego llamaron desde un número estadounidense, voz tranquila: “Hola, soy Mason de Coinbase Seguridad.” Conocían mi nombre, correo y saldo en Venmo. No pidieron mi clave privada… pero no la necesitaban.

La ilusión de autoridad

Mason mencionó una “bóveda Coinbase” que requería visitar vault-coinbase.com —un dominio registrado hace un mes sin vínculo con Coinbase Inc. ¿Certificado SSL? Válido. Logotipo? Perfecto. Pero los intercambios reales nunca llaman por teléfono.

La trampa psicológica

Invocaron urgencia: “bloqueo de 24 horas”, “seguro FDIC cancelado”, “periodo de revisión de 7 días”. Nada de esto existe en cripto. FDIC no cubre intercambios. Un equipo real jamás diría eso.

La tercera capa de engaño

Un segundo llamador —número de Texas— se presentó como “Investigador Tier 3”, recomendando SafePal como billetera alternativa (empresa legítima) mientras empujaba el mismo enlace phishing. Desvío clásico: usar la verdad para disfrazar la mentira.

Por qué funcionó en mí

He revisado miles de ataques—but este fue elegante: sin exigencias al principio, solo preguntas sobre mi postura de seguridad. ¿Investigación alentadora? Eso no ayuda—it’s grooming.

Mi respuesta y recuperación

Colgué inmediatamente. Accedí a Coinbase.com directamente por navegador (nunca hice clic en enlaces). Verifiqué sin solicitudes pendientes del chatbot oficial. Reporté todos los dominios y números por su portal de soporte formal.

La lección para inversores

Esto no trata sobre ser ingenuo—es sobre sesgo cognitivo en entornos de alto riesgo. Los atacantes no hackean sistemas; hackean confianza. Explotan nuestra creencia condicionada de que autoridad = seguridad. Si no usas billeteras hardware o estructuras multi-sig—no estás seguro. Si respondes llamadas no solicitadas—incluso si suenan correctas—ya perdiste.