El comercio de drogas ilícitas a través de criptomonedas tiene lugar principalmente en las DNM, plataformas de comercio mundial ilícito en línea de múltiples proveedores ubicadas en la "darknet", una sección cifrada de Internet a la que no se puede acceder desde los navegadores de Internet estándar ni que está indexada por los motores de búsqueda.

Las DNM, una forma establecida de delincuencia organizada transnacional, combinan redes de anonimización y criptomonedas con tecnologías de cifrado. Se diferencian de las tiendas independientes de un solo proveedor que también venden drogas ilícitas, y de otros tipos de tiendas fraudulentas.

En 2022 se gastaron hasta 1.490 millones de dólares en DNM, según TRM Labs de TRM Labs. Más del 80% de esta cantidad se gastó en DNM en ruso. Por el contrario, el mayor DNM de Bitcoin occidental que existe actualmente - ASAP Market - representó menos del 10% de la cuota de mercado mundial de DNM. La mayoría de los DNM en ruso sólo admiten Bitcoin, sin opciones de monedas de privacidad. Esto puede deberse a que perciben un menor riesgo de ser retirados por las autoridades. Por el contrario, los DNM occidentales emplean más medidas de seguridad operativa en la cadena y ofrecen Monero únicamente o Monero junto con Bitcoin.

‍

Las formas de comercio ilícito descritas en la sección 1 a menudo se ven facilitadas por foros de ciberdelincuentes. También conocidos como foros de la dark web o darknet, son plataformas en las que los ciberdelincuentes debaten, venden y promueven actividades ilícitas de forma anónima. Al hacerlo, estos foros desempeñan un papel importante en la conexión y el impulso de la ciberdelincuencia. Los foros de ciberdelincuencia obtienen sus ingresos de las cuotas de inscripción, la publicidad, los servicios de custodia y las actualizaciones de estado de cuenta.

‍

Dos ejemplos destacados de este tipo de foros estudiados por TRM Labs son Exploit.in y Cracked.io. Exploit es un foro ruso de ciberdelincuencia creado en 2005. Las discusiones en el foro se centran en compartir exploits y vulnerabilidades de diversos sistemas informáticos. Exploit es también un mercado de accesos iniciales, productos digitales, malware y las denominadas vulnerabilidades de día cero, es decir, fallos de seguridad en una aplicación o sistema informático que son desconocidos para el proveedor o desarrollador y para los que no se ha publicado ningún parche o solución.

‍

Cracked es un conocido foro de hacking en inglés, con más de 3,5 millones de usuarios y 22,6 millones de mensajes sobre piratería, cracking, filtraciones y temas relacionados. Cracked también incluye un mercado de productos ilícitos. Esta plataforma cambia periódicamente sus monederos de criptomonedas.

La criptomoneda está vinculada desde hace tiempo a la recepción y el tráfico de bienes robados. La darkweb está repleta de mercados ilícitos que aceptan criptomonedas a cambio de datos de tarjetas de crédito robadas, información personal identificable (PII), productos falsificados y otros productos. También se han registrado casos de comercio ilícito a través de la red oscura con antigüedades y otros objetos culturales importantes.

A pesar de las afirmaciones de que las criptomonedas se utilizan como medio de pago para la trata de seres humanos, la investigación del TRM sugiere que el nexo más destacado entre las criptomonedas y la trata de seres humanos es el uso de la trata de seres humanos para apuntalar estafas y fraudes con criptomonedas. 

‍

Por ejemplo, se ha descubierto que víctimas de la trata de seres humanos trabajan en centros de llamadas ilegales gestionados por sindicatos delictivos chinos que operan estafas pig butchering criptomoneda. Estas estafas se basan en la manipulación psicológica para acabar con los ahorros de toda la vida de las víctimas con la promesa de obtener grandes beneficios de sus inversiones. Según el FBI, a las personas atraídas por falsos anuncios de trabajo que ofrecen lucrativas remuneraciones se les confisca después el pasaporte y se les coacciona para que cometan fraudes con criptomonedas. Más recientemente , las autoridades filipinas rescataron a víctimas que supuestamente habían sido objeto de trata para trabajar en un centro de llamadas de estafas con criptomonedas con sede en Camboya.

CSAM incluye imágenes o vídeos que muestran a un niño participando o representado en una actividad sexual explícita.

‍

TRM ha analizado más de 3 millones de USD enviados a direcciones de criptomoneda implicadas en actividades de CSAM en línea en 2022. Al parecer, más de dos tercios de esos pagos se realizaron a estafadores de CSAM, que intentan convencer a los posibles compradores de imágenes de CSAM de que paguen por imágenes o accesos VIP a galerías que resultan ser inexistentes. 

‍

‍

La parte desproporcionada de los fondos recibidos por los estafadores de CSAM, que se anuncian ampliamente en la darknet y negocian casi exclusivamente en criptomoneda, puede explicarse, al menos en parte, por el hecho de que los verdaderos vendedores de CSAM rara vez promueven públicamente su actividad y siguen favoreciendo los canales de financiación tradicionales. 

‍

Mediante el estudio de las propiedades y comportamientos de los actores del CSAM, Inteligencia en Blockchain puede permitir a los investigadores identificar redes internacionales de CSAM, elaborar perfiles de clientes persistentes de CSAM y desenmascarar a los vendedores que se hacen pasar por estafadores para eludir la atención de las fuerzas de seguridad ocultándose a plena vista.

En los últimos años se ha observado un aumento de los intentos de utilizar criptomoneda para pagar asesinatos por encargo. Cabe señalar que, en el momento de la publicación de este informe, no se han documentado públicamente ejemplos de asesinatos por encargo pagados con criptomoneda. Sin embargo, existen pruebas de la demanda de este tipo de servicios, como demuestra el procesamiento de varias personas que han intentado pagar asesinatos por encargo con criptomoneda.  

‍

En 2022, un hombre de Los Ángeles se declaró culpable de un delito federal de asesinato por encargo tras enviar 13.000 dólares en bitcoin a un sitio web de la darknet para contratar a un asesino a sueldo que matara a una mujer que había rechazado sus proposiciones. 

‍

Otros casos de personas acusadas de utilizar criptomoneda para pagar a sicarios han sido denunciados en otros lugares. En 2022, una residente de Mississippi fue condenada a 10 años de prisión por intentar matar a su marido a cambio de 10.000 dólares en bitcoins.

‍

Este tipo de sucesos no se han limitado a Estados Unidos. En 2021, Europol y la policía italiana colaboraron en la detención de un hombre sospechoso de pagar 10.000 euros en bitcoin para contratar a un asesino que matara a su ex novia. En ese caso, el proveedor de servicios de activos virtuales (VASP) implicado en la transferencia del bitcoin al presunto asesino cooperó con las autoridades facilitando datos sobre el sospechoso.

La financiación del terrorismo se refiere a la prestación de apoyo financiero a organizaciones terroristas e individuos implicados en actividades terroristas. La criptomoneda se ha utilizado para la financiación del terrorismo debido en parte a su anonimato y a la facilidad de las transferencias transfronterizas. 

‍

Las campañas de recaudación de fondos para las familias de ISIS retenidas en campos de internamiento en el noreste de Siria han sido un importante impulsor del uso de criptodivisas entre ISIS y sus partidarios. TRM Labs identificó docenas de campañas de recaudación de fondos que aceptaron criptomonedas en 2022, recaudando desde unos pocos dólares hasta decenas de miles. 

‍

TRM Labs también identificó múltiples grupos pro-ISIS en Pakistán y Tayikistán recaudando decenas de miles de dólares en criptomoneda para difundir propaganda y reclutar combatientes. A lo largo de 2022 TRM Labs ha observado un aumento significativo en el uso de la blockchain TRON entre los grupos terroristas y las campañas de recaudación de fondos asociadas, con algunos utilizándola exclusivamente. La inmensa mayoría de esos actores recaudaron donaciones en la stablecoin Tether (USDT). Entre las entidades de financiación del terrorismo rastreadas por TRM Labs en 2022, se produjo un aumento interanual del 240% en el uso de Tether , frente a un aumento de apenas el 78% en el uso de Bitcoin.

‍

‍

En 2022, varias entidades de financiación del terrorismo, incluidas las bolsas de criptomonedas con sede en Siria implicadas en campañas de financiación del terrorismo, empezaron a experimentar con bolsas descentralizadas. Las bolsas descentralizadas (DEX) son mercados entre pares en los que los particulares pueden comerciar con criptomonedas de forma no custodiada.

Se han producido varios casos sonados de sobornos probados o presuntos relacionados con las criptomonedas. En 2021, el fundador de FTX, Sam Bankman-Fried, supuestamente sobornó a funcionarios chinos con 40 millones de dólares en criptomoneda a cambio de desbloquear cuentas de la empresa que contenían más de mil millones de dólares en criptomoneda. 

‍

En 2022, el Department of Justice de Estados Unidos acusó a dos agentes de inteligencia chinos de intentar presuntamente sobornar a un empleado del Gobierno estadounidense con 61.000 dólares en bitcoin para robar documentos relacionados con una investigación sobre el gigante tecnológico chino Huawei.

Las criptodivisas también pueden utilizarse para influir en los votantes durante las campañas electorales. En 2019, un candidato a gobernador en San Petersburgo (Rusia) repartió criptofichas a los votantes durante la campaña.

Las actividades de espionaje pueden implicar la transferencia encubierta de fondos para apoyar la recopilación de inteligencia u otras operaciones encubiertas. Las criptomonedas pueden proporcionar un medio discreto y seguro de transferir fondos, lo que las convierte en una opción atractiva para actores estatales o no estatales dedicados al espionaje. 

‍

En noviembre de 2022, el ingeniero nuclear estadounidense Jonathan Toebbe y su esposa Diana fueron condenados a 18 y 21 años de prisión respectivamente por intentar pasar tecnología secreta de propulsión nuclear a un tercer país. En sus intercambios con agentes FBI que se hacían pasar por funcionarios extranjeros, la pareja solicitó el pago en la moneda privada Monero.

‍

El uso de criptodivisas centradas en la privacidad o de servicios de mezcla puede aumentar aún más el anonimato de las transacciones, dificultando a las autoridades el rastreo del origen o destino de los fondos. En diciembre de 2022, Irán ejecutó a cuatro presuntos espías israelíes acusados de recibir pagos en criptodivisas. Ese mismo año, Corea del Sur detuvo a dos de sus nacionales por aceptar presuntamente criptodivisas para espiar en nombre de Corea del Norte.

La evasión del control de las exportaciones implica el uso de criptomonedas para eludir los controles de capital estatales y las restricciones a la exportación de determinados bienes o tecnologías. Los particulares pueden utilizar activos digitales para facilitar el pago de artículos prohibidos, eludiendo los sistemas financieros tradicionales que podrían marcar o bloquear dichas transacciones.

‍

Un estudio realizado en 2019 por investigadores de la Universidad China de Hong Kong, la Universidad Deakin y la Universidad Tecnológica de Sídney descubrió que la criptomoneda estaba siendo ampliamente utilizada por los comerciantes en China para eludir los controles de capital.

Las autoridades estadounidenses llevan tiempo advirtiendo de que Corea del Norte, Irán y Rusia podrían utilizar criptomonedas para eludir sanciones. La Unión Europea también ha tomado medidas para impedir que Rusia utilice criptomonedas para eludir las sanciones internacionales impuestas tras su invasión de Ucrania en 2022.

El análisis en cadena aún no ha mostrado que esto ocurra en un grado significativo en la actualidad. Los expertos creen que esto se debe probablemente a la actual falta de liquidez de las criptomonedas en relación con la economía de un país.  

No obstante, se ha observado que Rusia, Irán y Corea del Norte utilizan criptomonedas para compensar el impacto de las sanciones internacionales mediante ciberataques y minería de bitcoins: ambas prácticas generan ingresos que ayudan a compensar la pérdida de comercio e inversión. En 2022, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos sancionó a una empresa rusa de minería de criptodivisas para evitar que la minería se convirtiera en un "mecanismo del régimen de Putin para compensar el impacto de las sanciones". 

La OFAC también ha sancionado direcciones de criptomoneda relacionadas con facilitadores de la proliferación de armas norcoreanas y grupos paramilitares rusos. Además, el Tesoro estadounidense ha utilizado las sanciones para perseguir el blanqueo de capitales vinculado a la evasión de sanciones. Por ejemplo, en 2022, la OFAC sancionó al servicio de mezclas basado en Ethereum Tornado Cash por su implicación en el blanqueo de fondos pirateados y robados por Corea del Norte.

La financiación de la proliferación implica el uso de criptomonedas para financiar el desarrollo o la adquisición de armas de destrucción masiva (ADM) o materiales relacionados. Mediante el uso de activos digitales, las partes implicadas en actividades de proliferación pueden evitar el escrutinio de los sistemas financieros tradicionales y eludir los regímenes internacionales de no proliferación. 

‍

En abril de 2023, Estados Unidos, Japón y Corea del Sur acusaron a Pyongyang de financiar su programa de armas de destrucción masiva con criptomonedas robadas. 

El fraude de inversión se centra en la solicitud de fondos para inversiones o proyectos fraudulentos. En el ámbito de las criptomonedas, a menudo se trata de falsas ofertas iniciales de monedas (ICO), valores no registrados o plataformas de inversión fraudulentas. El fraude de inversión relacionado con criptomonedas aumentó casi un 200 %, de 907 millones de dólares en 2021 a 2.570 millones de dólares en 2022, según el Informe anual sobre delitos en Internet FBI.

Los smart contracts engañosos se diseñan intencionadamente para engañar a los usuarios para que transfieran fondos o les concedan permisos. El ejemplo más notable es el drainware, smart contracts que, al interactuar, conceden al atacante permiso para mover fondos del monedero de la víctima. Los tokens falsos son otra forma de smart contracts engañosos.

Las estafas de salida, también conocidas como rugpulls, se producen cuando los operadores de un proyecto -a menudo relacionado con inversiones o un nuevo token- dejan de desarrollar el proyecto y retiran los fondos de los usuarios para sí mismos. Pueden ocurrir de forma abrupta, cuando los desarrolladores del proyecto y los fondos desaparecen de repente, o pueden ocurrir más lentamente, cuando el dinero se desvía poco a poco y los desarrolladores son cada vez menos activos. A veces, la comunidad califica los proyectos de "rugpulls" cuando prometen demasiado y no cumplen lo prometido, aunque es más difícil calificarlos directamente de fraude.

‍

A menudo se dirigen contra proyectos financieros descentralizadosDeFi). En un rugpull relacionado con un nuevo token, los creadores del proyecto pueden retirar liquidez del pool de negociación, haciendo que el valor de los tokens asociados caiga en picado. Los inversores se quedan con fichas sin valor y sin forma de recuperar sus fondos. Muchos esquemas piramidales y Ponzi terminan en un comportamiento similar a una estafa de salida, en la que los pagos dejan de hacerse a los inversores y los creadores del esquema toman los fondos restantes y desaparecen.

‍

En junio de 2022, el Department of Justice de Estados Unidos acusó a un ciudadano vietnamita de un cargo de conspiración para cometer fraude electrónico y otro de conspiración para cometer blanqueo internacional de capitales. Le Ahn Tuan había creado un proyecto de NFT llamado Baller Ape Club, que vendía NFT de monos de dibujos animados. Según la acusación, una vez que Tuan y sus cómplices habían recaudado unos 2,6 millones de dólares de los inversores, llevaron a cabo una estafa, poniendo fin al supuesto proyecto de inversión, borrando su sitio web y robando el dinero de los inversores.

‍

Frosties NFT era otro proyecto de NFT que prometía arte digital y coleccionables exclusivos. Sin embargo, poco después del lanzamiento del proyecto, los dos creadores, de 20 años de edad, cerraron su sitio web y los servidores de Discord, eliminaron la liquidez del grupo de negociación y desaparecieron con 1,1 millones de dólares estadounidenses de los fondos de los inversores. Según la denunciaDOJ , el dúo transfirió los ingresos de la estafa a varias carteras de criptomoneda bajo su control en múltiples transacciones diseñadas para ocultar la fuente original de los fondos. Posteriormente fueron detenidos y acusados de fraude electrónico y conspiración para cometer blanqueo de capitales.

El phishing consiste en el uso de correos electrónicos, sitios web o mensajes fraudulentos para engañar a los usuarios con el fin de que revelen información confidencial, como claves privadas o credenciales de inicio de sesión. En el ámbito de las criptomonedas, los ataques de phishing pueden dirigirse a usuarios de monederos digitales o intercambios, lo que conduce al robo de fondos. 

‍

Los ataques de phishing relacionados con criptomonedas cobraron importancia durante el auge de las Ofertas Iniciales de Monedas (ICO) de 2017. Las víctimas de estos ataques de phishing solo perdían la cantidad de criptomoneda que enviaban por error a la dirección equivocada. Cuando las NFT se generalizaron, los atacantes empezaron a dirigirse a los inversores novatos en NFT aprovechando el "FOMO" (miedo a perderse algo) y el bombo publicitario que rodea al mundo de las NFT. 

‍

TRM Labs ha observado cientos de ataques de phishing en el último año dirigidos a proyectos de NFT, en los que la mensajería en tiempo real a través de múltiples plataformas ha permitido a los atacantes dirigirse a los inversores de NFT mediante la publicación de enlaces a sitios web de phishing a un ritmo rápido.

‍

El "envenenamiento de direcciones", un tipo de phishing relativamente nuevo, saltó a la fama en 2022. Consiste en que el estafador crea una dirección que se parece a una a la que la víctima prevista había enviado fondos anteriormente. A continuación, el estafador envía una pequeña cantidad de criptomoneda al objetivo con la esperanza de que, sin saberlo, realice un pago futuro a esa dirección fraudulenta en lugar de a su destinatario previsto.

En relación con el phishing, las estafas de suplantación de identidad implican a delincuentes que se hacen pasar por personas u organizaciones conocidas para engañar a las víctimas para que envíen fondos o revelen información confidencial. En el ámbito de las criptomonedas, las estafas de suplantación de identidad pueden implicar a delincuentes que se hacen pasar por representantes de bolsas, proveedores de monederos o celebridades para engañar a los usuarios para que envíen criptomonedas a direcciones fraudulentas o divulguen información confidencial.

‍

Los estafadores pueden crear sitios web o cuentas de redes sociales falsas que parezcan bolsas de criptomonedas o proveedores de monederos legítimos. Se hacen pasar por agentes de atención al cliente y se ponen en contacto con usuarios desprevenidos, ofreciéndoles ayuda con cuestiones técnicas o problemas de cuenta. Convencen a los usuarios para que compartan sus credenciales de inicio de sesión, claves privadas o información confidencial, lo que permite a los estafadores robar sus fondos.

‍

Del mismo modo, los estafadores también crean sitios web fraudulentos, cuentas en redes sociales o campañas de correo electrónico para hacerse pasar por proyectos legítimos de criptomonedas. Los usuarios desprevenidos envían sus criptomonedas, pero los estafadores desaparecen con los fondos, dejando a los inversores sin nada.

El correo electrónico comercial comprometido (BEC) es un tipo de estafa en la que los delincuentes se hacen pasar por una empresa u organización legítima para engañar a los empleados o socios con el fin de que transfieran fondos o revelen información confidencial. 

‍

Las estafas BEC pueden implicar el compromiso de cuentas de correo electrónico pertenecientes a empleados de bolsas, proveedores de monederos u otras organizaciones, lo que lleva al robo de fondos o datos confidenciales. En 2022, los BEC supusieron 2.700 millones de dólares (criptomonedas y dinero fiduciario) en pérdidas comunicadas por las víctimas al Centro de Denuncias de Delitos en Internet (IC3) FBI.

Para casi todo tipo de comercio o actividad ilícita en el espacio criptográfico, existe una versión estafadora de la misma, que a veces se encuentra en la web oscura. TRM Labs ha encontrado estafas de servicios de blanqueo de dinero, tiendas de tarjetas, vendedores de drogas, proveedores de asesinatos por encargo, traficantes de armas, vendedores de CSAM, servicios de hacking, servicios de manipulación del mercado, proveedores de estafas como servicio y vendedores de ransomware .

Las estafas de chantaje suelen consistir en el envío por parte del estafador de correos electrónicos amenazadores a destinatarios aleatorios, en los que afirma tener conocimiento de infidelidades, uso de pornografía u otros detalles personales potencialmente embarazosos que se harían públicos a menos que se realizara un pago en criptomoneda. 

‍

En muchos casos, el estafador no dispone en realidad de la información en cuestión. El tipo más común parece ser la "sextorsión", en la que el estafador envía correos electrónicos a cientos o miles de personas afirmando haber instalado un malware en su ordenador o teléfono que graba al destinatario viendo sitios pornográficos. A continuación, ordena a la víctima que envíe criptomonedas, normalmente bitcoins, al estafador para que no envíe los vídeos a sus amigos y familiares.

Los estafadores son creativos y pueden crear una versión fraudulenta de casi cualquier actividad. Por ello, existen muchos otros tipos de estafas además de las mencionadas en este documento. Por ejemplo, estafas de recuperación de activos, estafas de pagos excesivos, estafas de mulas de dinero, diferentes variaciones de la estafa de los honorarios anticipados y la estafa básica de simplemente no dar al comprador lo que ha comprado.

La apropiación indebida de fondos se produce a menudo como parte de muchos de los otros fraudes y estafas mencionados aquí, aunque también puede ocurrir de forma independiente. Está relacionado con la malversación, pero en algunas jurisdicciones es un delito distinto de ella. 

‍

La apropiación indebida de fondos suele acompañar a las tramas de fraude de inversión, en las que, en lugar de invertir los fondos de los clientes como se había prometido, el operador de la trama los desvía para uso personal -por ejemplo, para comprar artículos de lujo- o para otros fines empresariales. Por ejemplo, la SEC alega que el ex director general de Alameda Research "utilizó fondos malversados de clientes de FTX para la actividad comercial de Alameda".

‍

En 2021, un empleado de Microsoft fue detenido por presunta apropiación indebida de 10 millones de dólares de fondos de la empresa al crear en secreto miles de códigos de tarjetas regalo oficiales de XBox que luego vendió con descuento en Internet a cambio de criptomoneda.

La criptoextorsión puede adoptar muchas formas. En su forma más básica, se trata de individuos que amenazan a sus víctimas y les exigen un pago en criptomoneda. También puede implicar el uso de software malicioso conocido como ransomware. Como tal, a menudo es perseguido en los EE.UU. bajo los estatutos de fraude.

‍

En mayo de 2023, un antiguo empleado de una empresa pública de tecnología con sede en Nueva York fue condenado a seis años de prisión por robar archivos de la empresa y exigir casi dos millones de dólares por su devolución. En 2019 , un grupo de agentes de los servicios secretos rusos extorsionó a un magnate de los medios de comunicación a cambio de 670.000 dólares en bitcoins.

‍

Otras variantes de extorsión comienzan cuando el estafador utiliza técnicas de phishing para hacerse con el control del perfil de Instagram de la víctima. A continuación, los delincuentes obligan a las víctimas a grabar vídeos en los que ordenan a sus seguidores que participen en planes fraudulentos para hacerse rico con Bitcoin.

‍

Sin embargo, el mayor impulsor de la extorsión criptográfica es, con diferencia, el ransomware, que también ha sido adoptado cada vez más por grupos que atacan la infraestructura de seguridad nacional de los países (véase más abajo).

La manipulación del mercado en el espacio de las criptomonedas puede implicar varios esquemas diseñados para influir artificialmente en el precio de una criptomoneda o token. Estos esquemas pueden incluir esquemas de pump and dump, scalping, touting y front-running.

‍

Uno de los ejemplos recientes más destacados de esta práctica tuvo lugar en octubre de 2022, cuando la plataforma Mango Markets, con sede en Solana, perdió alrededor de 115 millones de dólares cuando un grupo manipuló su oráculo de precios, la autoridad que determina el valor de un token. El autoproclamado líder de los hackers, Avraham Eisenberg, reveló más tarde su identidad y caracterizó las actividades de su equipo como una "estrategia comercial altamente rentable" más que como un hackeo. 

‍

Eisenberg llegó inicialmente a un acuerdo con Mango Markets para devolver unos 70 millones de dólares a cambio de la promesa de no presentar cargos penales contra él. Sin embargo, en diciembre de 2022 fue detenido por funcionarios estadounidenses y acusado por la SEC de violar las disposiciones antifraude y de manipulación del mercado de la legislación sobre valores. Posteriormente, Mango Markets también demandó a Eisenberg para que devolviera los 47 millones de dólares restantes más intereses.

‍

También en diciembre de 2022, la SEC acusó a los líderes de Alameda Research y FTX de manipular el precio del Token FTT de FTX "comprando grandes cantidades en el mercado abierto para apuntalar su precio."

El tráfico de criptomonedas con información privilegiada implica el uso de información no pública para comprar criptomonedas u otros activos digitales antes de los anuncios de cotización en bolsa y beneficiarse de la subida de precios que sigue a un anuncio. Solo en 2022, se registraron operaciones con información privilegiada por valor de 24 millones de USD en tokens ERC20, lo que generó al menos 5,5 millones de USD en beneficios para los operadores, según una investigación patentada de Argus Inc, una empresa de análisis de operaciones con información privilegiada y front-running de blockchain. Muchos de estos monederos han seguido activos en 2023.

‍

En junio de 2022, un antiguo empleado de un mercado de NFT se convirtió en la primera persona acusada de fraude electrónico y blanqueo de capitales en relación con un plan para cometer operaciones con información privilegiada con NFT utilizando información confidencial sobre qué NFT iban a aparecer en la página de inicio del mercado. Otras personas se han enfrentado desde entonces a cargos similares.

Según un informe del Tesoro estadounidense publicado en 2021, la criptomoneda "plantea un importante problema de detección al facilitar actividades ilegales en sentido amplio, incluida la evasión fiscal". Las personas con grandes patrimonios pueden transferir activos imponibles a la criptoeconomía para evitar el pago de impuestos, ya que los gobiernos no pueden rastrear los ingresos o las transacciones de criptodivisas si no son declarados por las bolsas, las empresas y otros terceros.

‍

Un estudio de 2022 reveló que los criptoinversores probablemente pagaban menos de la mitad de los impuestos que debían. En respuesta a estas preocupaciones sobre la evasión fiscal, en 2022 la Comisión Europea propuso una enmienda a la Directiva sobre Cooperación Administrativa (conocida como DAC8) que ampliaría los requisitos de declaración de impuestos y de intercambio de información en relación con los titulares de criptomonedas y algunas NFT. Es probable que las nuevas normas entren en vigor a mediados de 2023.

El año 2022 fue el año en el que se registraron más hackeos y exploits de criptomonedas, con unos 3.700 millones de dólares robados en más de 175 incidentes, según un análisis de ataques realizado por TRM Labs. El pirateo medio superó los 20 millones de dólares por incidente. 

‍

Los hackeos y exploits pueden dividirse en ataques a smart contract y a infraestructuras. El primer grupo engloba exploits de código y ataques a protocolos; el segundo incluye el robo de claves privadas y el intercambio de SIM, entre otros. 

‍

Casi el 90 % de los 3 700 millones de dólares robados el año pasado correspondieron a ataques a infraestructuras y exploits de código, y la mayor parte del valor restante a ataques de protocolo. El tipo de ataque más común en 2022 fueron los exploits de código, con 57 incidentes, seguidos de los ataques a infraestructuras (52) y los ataques a protocolos (45). En 2022 se produjeron casi 15 ataques al mes de media, aproximadamente un ataque cada dos días.

‍

‍

Los ataques contra proyectos DeFi fueron más comunes y dañinos que los ataques contra objetivos CeFi en 2022, con aproximadamente el 80% de todos los fondos robados, o 3.000 millones de dólares, implicando a víctimas DeFi y nueve de los diez mayores ataques ocurriendo contra proyectos DeFi . Los fallos en smart contracts, un componente clave de DeFi que facilita la automatización y la transparencia, proporcionan a los atacantes una fuente aparentemente interminable de errores que explotar. 

Los robos de criptomonedas implican el uso de la fuerza, la coacción o las amenazas para robar físicamente criptomonedas a las víctimas. A veces conocidos como "ataques con llaves inglesas de cinco dólares", estos robos pueden producirse durante transacciones en persona, como la compra o venta de criptodivisas, o en operaciones delictivas más sofisticadas y organizadas.

‍

En 2022, la policía sueca recibió una llamada por un incidente en el que una pareja fue asaltada por desconocidos armados que irrumpieron en su casa, les ataron y les obligaron a transferir su criptomoneda a punta de pistola. Ese mismo año, un canadiense fue retenido a punta de pistola, atado y asaltado durante una transacción en persona para cambiar bitcoin por dinero en efectivo.

Una de las formas más rápidas de convertir moneda fiduciaria en criptomoneda y viceversa es a través de los servicios cash-to-crypto. Entre ellos, los cajeros automáticos de criptomonedas son los más populares. Estos quioscos permiten a los clientes introducir billetes, comprar criptomoneda y enviarla directamente a un monedero sin necesidad de una casa de cambio ni de una cuenta bancaria. Hay más de 30.000 cajeros automáticos de criptomonedas en todo el mundo, más del 90% de los cuales se encuentran en Norteamérica.

‍

Los cajeros automáticos de criptomonedas y otros servicios de conversión de dinero en criptomonedas no son ilegales; sin embargo, pueden ser un método de pago atractivo para los ciberdelincuentes y otros actores ilícitos. En 2022, se enviaron más de 40 millones de dólares estadounidenses a direcciones de estafas conocidas a través de servicios cash-to-crypto, según una investigación de TRM Labs. Estas direcciones estaban vinculadas a autores de estafas románticas, estafas de inversión, estafas de suplantación de identidad y otras como plataformas neutrales que permiten el pago por parte de las víctimas.

‍

‍

En el caso que se muestra más arriba, una única dirección de cambio recibía fondos de 40 cajeros automáticos diferentes de servicios de efectivo a criptomonedas situados en toda Norteamérica. La misma dirección fue denunciada en múltiples informes públicos e investigaciones como utilizada por los estafadores como agregador y rampa de salida de fondos robados. En este caso, el número significativo de transferencias desde múltiples lugares de servicios de efectivo a criptografía a la misma dirección sirvió de desencadenante para que los investigadores identificaran la dirección de destino sospechosa. 

‍

Como reflejo del uso de los servicios de conversión de efectivo en criptomoneda por parte de los actores ilícitos, los departamentos de policía estatales y locales reciben regularmente informes de víctimas que son coaccionadas para enviar criptomoneda a los estafadores a través de cajeros automáticos de criptomoneda.

Estos pagos de las víctimas son a menudo representativos de la colocación en el contexto del blanqueo de capitales.
‍

En marzo de 2023, las autoridades de Nueva York detuvieron a un hombre acusado de ayudar a blanquear más de un millón de dólares estadounidenses en préstamos para pequeñas empresas obtenidos fraudulentamente y ofrecidos como parte de la estrategia de ayuda COVID-19 del gobierno estadounidense. Supuestamente convirtió parte de los fondos en bitcoin y "utilizó una parte del resto para poner en marcha su propio y lucrativo negocio de cajeros automáticos de criptodivisas."

Los VASP parásitos se basan en la arquitectura de una bolsa más grande para proporcionar servicios de comercio de activos digitales a los usuarios, a menudo sin el conocimiento o consentimiento de la bolsa anfitriona. Los delincuentes y los individuos sancionados pueden utilizar VASPs parásitos para mover sus ganancias ilícitas a través del ecosistema criptográfico para hacer que las transacciones parezcan legítimas. Los intercambios parásitos suelen tener requisitos débiles o inexistentes de Conozca a su Cliente (KYC) y AML, lo que puede convertirlos en el vehículo preferido de los ciberdelincuentes y blanqueadores de dinero para mover fondos.

‍

En relación con su volumen, los intercambios de parásitos facilitan hasta 100 veces más actividad ilícita en la cadena que sus homólogos convencionales, según una investigación de TRM Labs. Los fondos vinculados a entidades sancionadas representan más de la mitad del volumen ilícito procesado por las bolsas parásitas. Esto se debe en parte a que casi dos tercios de las bolsas parásitas parecen tener su sede en Rusia e Irán, y las iraníes han sido sancionadas por su jurisdicción. SUEX, un criptointercambio y corredor OTC sancionado por la OFAC en 2021, operó como un intercambio parásito y fue cómplice del lavado de millones de dólares para grupos rusos de ransomware .

‍

También se descubrió que los intercambios de parásitos desempeñan un papel importante en el ecosistema del mercado darknet ruso, lo que resulta en una exposición significativa a Hydra - el DNM más grande del mundo hasta su sanción por la OFAC en abril de 2022. Incluso controlando la exposición a sanciones, TRM Labs encontró que los intercambios parásitos tienen 45 veces más exposición ilícita que los intercambios conformes, como porcentaje de su volumen.

Las bolsas de alto riesgo y otros proveedores de servicios de valor añadido se caracterizan por la laxitud de los controles de cumplimiento o están situados en jurisdicciones con escasa supervisión reglamentaria, lo que los convierte en canales atractivos para las actividades de blanqueo de capitales. A lo largo de 2022 TRM Labs rastreó más de 500 intercambios activos de alto riesgo que, en conjunto, transfirieron decenas de miles de millones de dólares en valor.

‍

Los VASP de alto riesgo comparten una combinación de las siguientes características:

‍

• Muestran una elevada exposición al riesgo de contraparte frente a los mercados de la darknet, las estafas, los servicios de ciberdelincuencia y otras incidencias de la actividad ilícita en la cadena, como el blanqueo de dinero.
• Facilitar transacciones utilizando cuentas de otras bolsas sin tener una relación contractual con ellas.
• Utilizar varias cuentas registradas con identidades falsas o robadas para distribuir su actividad comercial, lo que dificulta su detección por parte de la bolsa anfitriona.
• Tienen procedimientos inadecuados de CSC y ALD, así como procesos de verificación de identidad débiles o inexistentes, lo que facilita que los delincuentes utilicen estas plataformas para actividades ilegales.
• Ofrecer servicios que permitan a los usuarios convertir directamente criptomonedas en efectivo o viceversa, lo que ayuda a anonimizar los fondos y evitar la detección de actividades ilícitas por parte de las autoridades.
• Operar desde jurisdicciones sancionadas o incluidas en las listas negra y grisGAFI .

Además de su función principal en la criptodelincuencia -la venta de drogas ilícitas-, los mercados de la darknet (DNM) también están implicados en el blanqueo de capitales procedentes de actividades delictivas. A lo largo de 2022, TRM Labs ha sido testigo de un aumento de los delincuentes internacionales que utilizan los DNM en ruso para blanquear dinero.

Los procesadores de pagos de criptodivisas son servicios legítimos que ayudan a particulares y empresas a aceptar criptodivisas como forma de pago. Estos procesadores de pagos crean direcciones de pago para los clientes y ofrecen servicios que les permiten aceptar pagos directamente desde sus propios sitios web, por ejemplo a través de una API, a cambio de un pequeño porcentaje del valor de la transacción.

‍

Los delincuentes pueden abusar de los procesadores de pagos para blanquear dinero, sobre todo en la colocación y la estratificación. Poco regulados, a menudo tienen poco o ningún KYC. Al permitir a los usuarios crear nuevas direcciones para cada pago -o, en algunos casos, reutilizar direcciones para diferentes actores-, los procesadores de pagos pueden dificultar a los investigadores el seguimiento del flujo de fondos.

Las mesas OTC permiten a los usuarios intercambiar criptomonedas por dinero fiduciario y viceversa sin una bolsa o un corredor centralizados. Suelen especializarse en grandes sumas. Aunque algunas bolsas establecidas tienen operaciones OTC propias que están sujetas a una estricta supervisión, muchos corredores OTC privados no realizan comprobaciones KYC o de la fuente de riqueza de sus clientes. Como resultado, estos corredores OTC son vulnerables al abuso por parte de delincuentes que buscan cobrar criptomonedas obtenidas ilegalmente.

Las bolsas P2P funcionan según el mismo principio que las mesas OTC: permiten a los usuarios cambiar entre criptomonedas y dinero fiduciario. Sin embargo, a diferencia de las mesas OTC, atendidas por agentes, las bolsas P2P funcionan como entidades DeFi totalmente automatizadas. Funcionan conectando a socios comerciales que buscan comprar o vender criptodivisas sin intermediarios. Algunas de estas transacciones pueden organizarse utilizando efectivo u otros métodos de pago no criptográficos a través de la plataforma P2P.

Los mixers, también conocidos como tumblers, son servicios que mezclan múltiples transacciones de criptodivisas, dificultando el rastreo del origen y destino de los fondos. Según la Evaluación Nacional del Riesgo de Blanqueo de Cap itales del Tesoro de Estados Unidos de 2022, los mixers y tumblers "ayudan a los delincuentes a ocultar el movimiento u origen de los fondos, creando obstáculos adicionales para los investigadores." 

‍

Los mezcladores no son ilegales ni se utilizan exclusivamente para actividades ilícitas. Por ejemplo, muchos mezcladores se anuncian como un medio para aumentar la privacidad y el anonimato en Internet. Sin embargo, los ciberdelincuentes también los utilizan con frecuencia como técnica de estratificación para ocultar el origen de fondos ilícitos. El siguiente gráfico muestra a un actor ilícito utilizando el mezclador Tornado Cash basado en Ethereum para ocultar alrededor de 1 millón de dólares de los ingresos de un pirateo. Tras migrar los fondos a la blockchain de Ethereum y cambiarlos de USDC a ETH, el actor los envía a varios monederos antes de depositarlos en Tornado Cash.

‍

‍

En agosto de 2022, la OFAC sancionó Tornado Cash, que ha sido utilizado por ciberdelincuentes norcoreanos y otros actores de amenazas para blanquear el producto de hackeos y otras actividades ilícitas. TRM Labs demostró que los ciberactores norcoreanos utilizaron Tornado Cash para blanquear más de mil millones de dólares estadounidenses de fondos robados en al menos diez grandes robos de criptodivisas.

‍

En marzo de 2023, las autoridades alemanas y estadounidenses, con el apoyo de Europol, anunciaron el cierre de ChipMixer, un servicio de mezcla de criptomonedas que facilitaba el blanqueo internacional de capitales. Durante la operación, las autoridades se incautaron de cuatro servidores y casi 44,2 millones de dólares en criptomoneda. Investigación de TRM Labs confirma que ChipMixer era ampliamente utilizado por importantes organizaciones de ransomware para blanquear ingresos ilícitos. Entre ellos se encontraban Karakurt, SunCrypt, REvil, Conti, LockBit, Ragnar Locker y Royal. TRM Labs también encontró al menos 20 mercados de la darknet (DNM) que enviaron fondos a ChipMixer durante los casi seis años de actividad del mezclador.

Los servicios de transferencia de efectivo a criptomonedas pueden utilizarse para el blanqueo de capitales mediante una técnica denominada "money muling" o "smurfing". Se trata de la transferencia de fondos robados por personas ajenas al delito original. 

‍

En el ejemplo siguiente, en agosto de 2022 un grupo de blanqueo de capitales depositó dinero en efectivo obtenido ilícitamente en varios cajeros automáticos de criptomonedas. Desde allí, los fondos, ahora en bitcoin, se enviaron a un monedero de consolidación antes de ser depositados en un gran exchange.

‍

‍

En abril de 2023, una mujer de Missouri fue detenida acusada de colaborar en el movimiento de fondos robados. La sospechosa utilizó cheques de caja y cajeros automáticos de criptomoneda para transferir 565.000 USD en nombre de los delincuentes que cometieron el fraude para robar los fondos de la víctima. Dado que el smurfing puede llevarse a cabo por terceros involuntarios, a menudo es difícil de identificar, ya que la persona que comete la actividad de estratificación puede no ser consciente del origen o destino de los fondos.

Las bolsas de alto riesgo están mucho más expuestas a contrapartes ilícitas que las reguladas, según TRM Labs de TRM Labs. Algunas bolsas de alto riesgo también operan como bolsas parásitas y suelen tener procesos de CSC y ALD laxos o inexistentes. Esto las convierte en plataformas atractivas para los ciberdelincuentes que quieren blanquear dinero o financiar actividades ilícitas. Los administradores de este tipo de bolsas afirman ganar entre un 0,5% y un 1,0% de comisión sobre el volumen de transacciones, en función de la parte de los ingresos asignada a la publicidad y el marketing de afiliación necesarios para atraer tráfico a su bolsa.  

‍

En el siguiente ejemplo, después de saltar de cadena y desviar parte de los fondos robados a un mezclador, un estafador envía el resto de las ganancias mal habidas a una serie de cuentas en una bolsa de alto riesgo con sede en Rusia.

‍

El blanqueo programático de capitales (LMP) consiste en utilizar software para mover fondos rápidamente a través de cientos o miles de transacciones, en un intento de ocultar el origen ilícito. Uno de los ejemplos más sonados de LMP basado en criptomonedas fue el del ejército norcoreano en 2021.

‍

En el ejemplo siguiente, un actor envió fondos ilícitos de un mezclador a través de una serie de cadenas de pelado para "pelar" pequeñas cantidades de BTC (representadas por los nodos verdes) que luego se envían a un intercambio.

‍

El salto de cadena se refiere a la práctica de mover criptomonedas de una cadena de bloques a otra. Aunque el salto de cadena no es intrínsecamente ilícito, los blanqueadores de dinero pueden utilizarlo para ocultar el rastro de las transacciones.

‍

Por ejemplo, Bitfinex, una bolsa de criptomonedas, fue víctima en 2016 de una brecha que provocó el robo de casi 120.000 BTC. En 2022, el Department of Justice de Estados UnidosDOJ) utilizó análisis en cadena para acusar a los dos sospechosos del caso de fraude y blanqueo de capitales. Los blanqueadores de dinero realizaron saltos en cadena de Bitcoin a otras blockchains, incluidos cambios a criptomonedas mejoradas para el anonimato como Monero, antes de depositar los fondos en cuentas financieras tradicionales.

‍

TRM Labs también ha descubierto que el bridge-hopping es una metodología de blanqueo de capitales muy utilizada por los actores del CSAM.

Las monedas de privacidad, como Monero, Zcash y Dash, ofrecen mayores prestaciones de privacidad y anonimato que las criptomonedas estándar como Bitcoin. Aunque las monedas de privacidad no son ilegales, su capacidad para dificultar el rastreo de las transacciones las hace atractivas para los delincuentes que buscan blanquear ingresos ilícitos. 

‍

Varios países han tomado medidas enérgicas contra su uso. Australia y Corea del Sur han prohibido que los intercambios ofrezcan monedas de privacidad, mientras que Japón las prohibió por completo en 2018. El uso de herramientas Inteligencia en Blockchain para supervisar los servicios de criptomonedas que ofrecen monedas de privacidad ayuda a las fuerzas de seguridad y a los reguladores a identificar las rampas de entrada y salida de estos protocolos. 

‍

Uno de los problemas de la vigilancia en la cadena es que los delincuentes suelen cobrar a través de intermediarios que cambian billetes físicos por monedas privadas depositadas en su dirección de destino. A continuación, el dinero se pasa de contrabando a través de las fronteras, mientras que la criptomoneda se negocia en las bolsas.

Dado que los VASP de alto riesgo y los VASP parásitos suelen tener requisitos de KYC y AML débiles o inexistentes, son el vehículo preferido de los ciberdelincuentes y blanqueadores de dinero para mover fondos como parte del proceso de estratificación. Estos intercambios a veces se denominan servicios de intercambio, porque permiten a los delincuentes pasar fondos a través del servicio cambiando un tipo de criptomoneda por otro, lo que dificulta el rastreo. Los ciberdelincuentes también pueden utilizar estos servicios para cobrar en el sistema financiero tradicional.

Los mercados de la Darknet (DNM) también se utilizan para estratificar fondos ilícitos. El siguiente ejemplo muestra a un vendedor de drogas cobrando sus beneficios del DNM (representado por los nodos rojos) y enviando los fondos a direcciones controladas por ellos en dos intercambios distintos.

‍

‍

El colapso de la cooperación entre Rusia y Occidente en materia de ciberdelincuencia desde el inicio de la guerra de Ucrania ha creado entre los delincuentes la percepción de que los DNM en ruso se han convertido en un refugio seguro frente a las fuerzas de seguridad estadounidenses y europeas. Como tal, se ha observado a una amplia gama de delincuentes -incluidos actores de amenazas CSAM- depositando criptodivisas en DNM con el fin de ocultar su fuente original: una vez que los criptofondos se retiran de las cuentas de custodia de los DNM, ya no son las mismas monedas que las depositadas originalmente.

La estratificación entre VASP implica el uso de varias bolsas u otros VASP para dividir y mover fondos durante el proceso de blanqueo de capitales con el fin de dificultar su rastreo por parte de los investigadores. La estratificación entre proveedores de servicios de valor añadido es un reflejo de las técnicas tradicionales de blanqueo de capitales, en las que los delincuentes utilizan múltiples servicios bancarios para ocultar el origen de los fondos. 

‍

Aunque las herramientas forenses de blockchain pueden ayudar a identificar las transacciones que llegan al VASP, los investigadores están obligados a solicitar acceso legal a los datos para obtener los datos de transacción necesarios para identificar las rampas de salida.

Los procesadores de pagos pueden ser utilizados indebidamente por diversos delincuentes y actores de amenazas, incluidos grupos extremistas y militantes, para colocar sus fondos en capas. TRM Labs ha identificado numerosos esquemas de fraude de inversión que han utilizado procesadores de pago convencionales. Los grupos extremistas violentos, incluidos los neonazis con sede en Estados Unidos, han utilizado procesadores de pagos para generar direcciones dinámicas, normalmente para el intercambio de bienes, servicios o suscripciones. Tras las incautaciones por parte del gobierno israelí, Hamás y otros grupos militantes con base en Gaza dejaron de publicar sus direcciones de donaciones en criptomoneda y recurrieron a procesadores de pagos, normalmente incrustándolos en las páginas de recaudación de fondos de sus sitios web.

Aunque el juego es legal y socialmente aceptable en muchas jurisdicciones, ha sido durante mucho tiempo un método útil para blanquear fondos procedentes de actividades ilícitas. En el proceso del juego, los clientes ingresan dinero en un casino o en una casa de apuestas y, posteriormente, cobran las ganancias junto con los fondos restantes y un recibo oficial. Esto da a los blanqueadores de capitales la oportunidad de alegar que los fondos obtenidos ilícitamente no son más que ganancias del juego. 

‍

Las plataformas de juego basadas en criptomonedas dificultan el seguimiento de los fondos a través del servicio. Sin embargo, cada vez están más sujetas a normativas de cumplimiento. Esto significa que los casinos deben realizar comprobaciones de CSC y del origen de la riqueza de los clientes que deseen depositar grandes cantidades. Más adelante, si un presunto delincuente alega que el origen de sus fondos son las ganancias del juego, el casino en línea en cuestión puede recibir una citación de las fuerzas de seguridad locales para que divulgue los registros relacionados con ese usuario.

Las finanzasDeFi corren el riesgo de ser utilizadas indebidamente por los blanqueadores de dinero. Aunque la financiación DeFi tiene potencial para aumentar la inclusión financiera y ofrecer servicios más accesibles y transparentes, también puede ser explotada por quienes pretenden dedicarse a actividades ilícitas. 

‍

Es importante señalar que muchas plataformas DeFi están aplicando activamente medidas para mejorar la seguridad, el cumplimiento y la transparencia. Las autoridades reguladoras también están trabajando en marcos para hacer frente a los riesgos de blanqueo de capitales en el contexto de la DeFi.

La minería de criptomonedas ha sido utilizada para blanquear fondos por grupos de ransomware , como APT43, y otros actores ilícitos. Las monedas acuñadas en equipos de minería adquiridos con fondos ilícitos no tienen vínculos aparentes con la actividad delictiva, lo que permite a los delincuentes cobrar sin dejar rastro en la cadena de bloques.

‍

Por ejemplo, TRM Labs ha identificado a un vendedor de DNM que utilizaba fondos ilícitos procedentes de la venta de drogas para comprar cuentas de minería en la nube. Los resultados de las transacciones de minería se blanqueaban a través de un cajero automático de Bitcoin controlado por el vendedor, que servía de tapadera para la actividad ilícita. Desde allí, los fondos se retiraban a un monedero personal.

‍

Existen numerosas opciones para transformar criptomonedas obtenidas de forma delictiva en moneda fiduciaria. Bitcoin, Ethereum y una serie de otros activos pueden utilizarse en línea para comprar cheques regalo, tarjetas de débito prepago o vales de iTunes, sin someterse a controles KYC o de origen de la riqueza. Los operadores OTC ("over the counter") sin escrúpulos y las bolsas P2P también ofrecen servicios de cambio de efectivo con un escrutinio mínimo y manteniendo el anonimato del cliente. 

‍

Este mecanismo de transacción suele considerarse parte del proceso de integración de los blanqueadores. A menudo contratan servicios o comerciantes que no hacen preguntas sobre el origen de los fondos para que la transferencia no esté sujeta a escrutinio.

Es posible que los delincuentes integren su riqueza basada en criptomonedas sin recurrir a las rampas de salida de la moneda fiduciaria. En los últimos cinco años, cada vez más bienes y servicios se han podido adquirir directamente con criptomoneda. Esto abarca desde bienes digitales como NFT y compras dentro del juego hasta bienes de lujo e incluso propiedades inmobiliarias. Estas compras también pueden considerarse depósitos de valor, dependiendo de cómo el delincuente pretenda utilizar el activo en el futuro.