Un delito en apogeo

Eduardo Zepeda

Con la brecha tecnológica y la publicación de contenidos, actualmente en internet se puede encontrar desde un manual de una bomba atómica hasta los tutoriales para hacer carding . Antes se requería mucha técnica para poder hackear, ahora se requiere ver

Si bien es sabido que el fraude en el comercio electrónico es el ilícito número uno en todo el mundo cibernético, los fraudes o robos digitales financieros son por mucho más cuantiosos y con mayores ganancias económicas, más complicados de rastrear y van a la alza de manera exponencial.

Todo empezó cuando los hackers, rompían código, ingresaban a computadoras y vulneraban sistemas informáticos para buscar el reconocimiento de sus colegas, hacerse famosos por liberar información confidencial, hacer virus de difícil detección o ser el mejor hacker, lamentablemente la fama ya no es lo más importante y ahora en un mundo tan capitalista y comercial lo que buscan son ganancias económicas, actividades que requieren inteligencia, recursos tecnológicos, mañas y conocimientos para aprovecharse ya sea de un sistema informático, una tecnología o algo más sencillo aún, aprovecharse de un ciudadano que no sabe operar debidamente el sistema o la tecnología.

El uso de la Ingeniería Social es una de las mejores herramientas que tienen los delincuentes la cual consiste en mentiras y artilugios para hacer creer al usuario que algo positivo le ocurrirá y cuando menos se da cuenta, pumm él mismo ya proporcionó información y le clonaron su tarjeta, o ya comprometió su identidad crediticia.
Siempre en las conferencias que imparto, digo que en la época de los Gánster (Al Capone o John Dillinger), para asaltar un banco se requería de 2 camionetas con 7 personas fuertemente armadas y se llevaban un buen botín, ahora en la actualidad con los mecanismos informáticos a los que tiene acceso casi todo el mundo, se requiere de una computadora, una conexión a internet y mucho ingenio malicioso. Supongamos que un comando armado ingresa a un banco y quiere asaltar, cada cajero cuenta con menos de $25,000.00 pesos y para ingresar a la bóveda para llevarse más dinero se requiere autorizar el acceso desde el centro de monitoreo del banco, lo cual tarda mínimo 5 minutos, lo cual complica mucho el robo.

Sin embargo con una computadora una persona malintencionada puede:

1.-  Crear un sitio falso bancario idéntico, enviar 5,000 correos electrónicos a personas indicando que su cuenta será cancelada en caso de no accesar al portal, al ingresar el delincuente se apodera del usuario, contraseña y más datos sensibles que el incauto ingrese. Esta práctica es conocida como Phishing Scam, sin embargo el delincuente está muy limitado ya que solo tendría acceso para entrar y verificar la información y no podría realizar movimientos ya que para eso se requiere un Token bancario (una clave dinámica)
que requiere el portal bancario tanto para agregar cuentas como para depositar.

2.- Puede crear un sitio falso de aplicaciones, productos, servicios o descuentos muy llamativos los cuales al ingresar requieren información crediticia sensible y confidencial como pude ser los 16 dígitos de la tarjeta de crédito, fecha de vencimiento y CVV, justo la información necesaria para poder hacer compras electrónicas.

3.- Enviar un correo electrónico el cual contenga un archivo adjunto que al ejecutarse se instala de manera automática e invisible un malware (software maligno), que guarde toda la información que se captura en el teclado o cada click que se da con el mouse, para enviar la información de manera incógnita por mail.

4.- Enviar un correo electrónico con un virus que cifre la información de documentos y a menos que se pague un rescate le quita la encripción (Ransomware o Software de Secuestro de información), esta práctica ha aumentado mucho en los últimos años y no hay mejor mecanismo de protección que el realizar respaldos de la información de manera periódica, actualizar el antivirus, los parches de seguridad del sistema informático, no confiarse de los correos electrónicos de personas desconocidas y entender que el sentido común puede ayudar a evitarse muchos dolores de cabeza.

5.- Generar y vender manuales de cómo hacer clonación de tarjetas con skimmers (chismosa, ratón, etc), y publicar anuncios en la red de toda la gama de servicios que existen con estas modalidades, a nivel nacional e internacional.

De hecho se tiene conocimiento como las mafias y grupos de delincuencia organizada buscan ingenieros informáticos o afines, los contratan y requieren que se hagan trabajos especiales y dedicados a la clonación de tarjetas, clonación de sitios electrónicos y otras actividades específicas de Hackeo, esto ha pasado en Brasil, Rusia inclusive en México, donde lamentablemente los informáticos no han tenido un final feliz y han salido del negocio con los pies por delante.

En fin, con la brecha tecnológica y la publicación de contenidos tan basta, actualmente en internet se puede encontrar desde un manual de una bomba atómica hasta los tutoriales para hacer carding, los hay en cualquier idioma y para cualquier nivel de conocimientos. Antes se requería mucha técnica, conocimientos y herramientas para poder hackear un equipo informático, ahora se requiere ver un manual de YouTube y listo, ya pululan hackers.

En estos días los delincuentes lo hacen como todo una carrera profesional. Basta con hacer una búsqueda web y se pueden encontrar infinidad de personas que ofrecen pago de servicios al 50%, compra de boletos de avión, compra de artículos en portales web, compra de tiempo aire, servicios de tv por cable, inclusive existe el pago de tenencias, agua, predial. Obviamente todos estos pagos los hacen desde servidores proxy o VPN, lo cual complica su rastreo, ubicación y logre su detención y si en algún caso uno de estos vendedores te queda mal o te hace fraude (cosa que es muy común), no hay manera lógica o moral de ir a denunciar que te hicieron un fraude al querer hacer un fraude.

Recuerdo muchos casos cuando estaba en la Policía Cibernética, los cuales impactaban mucho con referencia a estos casos:

1.-  Una vez llamó y denunció el Doctor Ramírez de 68 años, comentó que justo se había retirado hacía 2 años y le llegó un correo indicando que como tenía un apellido común en Uganda lo invitaban a un negocio familiar, ya que el príncipe había heredado 3,000 millones de dólares, pero por cuestiones legales no podía retirar el dinero ni ocuparlo, por lo que si el prestaba su nombre comprobando que era un legítimo Ramírez, le hacían una transferencia del 10% de la herencia y que de esos 300 millones, él podría quedarse con 30 millones de dólares. Obviamente el Dr. Ramírez accedió, envió su pasaporte, acta de nacimiento, sin embargo los documentos carecían de la certificación Oficial del consulado de Uganda, por lo que le fueron solicitando diversas cantidades económicas para ir comprobando la legitimidad del parentesco. Lamentablemente el doctor terminó depositando aproximadamente $900,0000.00 pesos, y estaba a punto de hipotecar su casa para depositar los últimos 25,000 dólares que le pedían para ya poder hacer el traspaso económico a una cuenta bancaria. Sin más que decir, se trató de un fraude Nigeriano (muy común por aquellas tierras), para su investigación se requiere el apoyo de Interpol y con la información obtenida no se logró ubicar a los responsables ya que en Nigeria (desde donde eran las conexiones de las direcciones IP’s, no había una entidad que se dedicara al rastreo e investigación de delitos electrónicos).

2. Hace unos años un denunciante informó que se encontró vacacionando en Cancún y en una tienda departamental al comprar una cámara acuática estrenó su tarjeta de crédito ocupándola solamente en esa ocasión durante toda su estadía, al terminar su periodo corriente recibió su estado de cuenta y se dio por enterado que alguien había realizado compras y se terminaron su crédito disponible, obviamente el banco hizo la investigación que duró 45 días y le restituyeron su crédito a favor. En este caso al menos lo rescatable, es que la clonación fue a su tarjeta de crédito ya que si hubieran clonado su tarjeta de débito, se hubieran acabado su dinero en unos minutos y durante el tiempo que realizan la investigación lo dejarían sin dinero durante por lo menos mes y medio.

3.- Hace ya algunos años, los amigos de la Policía Cibernética de Jalisco, nos invitaron a un operativo y una investigación que se realizó en conjunto ya que habían recibido diversas denuncias relacionadas a la existencia de un cajero automático en una gasolinera que no expedía el dinero, al realizar la investigación se encontró que el cajero era falso de un banco norteamericano el cuál solo servía de gancho para extranjeros, se logró la detención y puesta a disposición del M.P. de 3 sujetos de origen venezolano, el equipo con el que realizaban las clonaciones y la información de muchos cuentahabientes que habían caído
en el engaño. La cuestión importante es como profesionalizan el ataque, ya que en esa
ocasión habían rentado un cubículo al lado de la gasolinera y crearon a semejanza un cajero bancario, es decir en este caso le invirtieron tiempo y dinero, el cuál seguro si lograron recuperar.

Una vez más les pido es tener mucho cuidado y más en tiempo de vacaciones, ya que esta situación sigue generándose en un sitio tan turístico ya que hace un año se detectó en el aeropuerto de Vallarta, Jalisco, un cajero con carcasa sobrepuesta. Por lo que recomiendo verifiquen bien donde meten su tarjeta bancaria. http://www.tribunadelabahia.com.mx/detectan-cajero-falso-aeropuerto/

4.- Esposa por internet, una vez un ciudadano de nombre Daniel X, nos pidió le ayudáramos a encontrar a su novia, casi esposa Svetlana ya que no aparecía, sucede que entró a un sitio de citas con mujeres rusas y conoció a una chica de la cual se enamoró, se enamoraron y ella estaba decidida a dejar su vida en Rusia y venir a México a vivir felizmente casada, pero necesitaba realizar diversos pagos, por lo que Daniel, le realizó diversos traspasos económicos para los pagos pendientes, el pago de visa, pasaporte, ropa y hasta el boleto de avión, sin embargo de la noche a la mañana Svetlana desapareció del internet. Obviamente al realizar el rastreo de los correos electrónicos nos percatamos que las conexiones eran de Croacia, que no podían ser rastreables, pero ese es hasta la fecha modus operandi de un fraude que brinda el anonimato del internet.

En todos estos casos que he comentado, quiero hacer hincapié que las instituciones financieras no tienen que ver con el fraude o el quebranto, al final de cuentas y siendo muy honestos el usuario propietario de su tarjeta ha sido el que la ha proporcionado, o sus datos o ha sido el que ha dado los click’s del mouse.

Hay que tener mucho ojo con todas estas actividades y situaciones, ya que en los contratos que se firman con las instituciones financieras, el usuario es responsable de su número de usuario, nombre de usuario, su Password y siendo él mismo el que lo proporciona, el banco no se hace responsable y le dan la espalda.

Es vano hablar de estadísticas durante mi instancia en la policía cibernética, de cómo en el año 2002 se atendieron sólo 80 casos de sitios de Phishing, y que a mi salida en el año 2008 eran ya más de 1,500 casos al mes. Según la AMIPCI en su estudio anual tendencias del uso de internet, en el año 2008 éramos solo 27.2 millones de cibernautas en México y ya para el año 2016 superábamos los 70 millones de usuarios de internet.

Desde mi salida de la policía Cibernética me dedico a dar asesorías en mi firma Eternal Data, ayudo con la investigación de robo, fraudes y otros ilícitos cibernéticos, en especial de este tipo:

1.- El departamento de finanzas recibe una llamada telefónica de un proveedor X,
indicando que no ha recibido el pago de su factura ya con un retraso de 1 mes o más, el área verifica e indica que si realizaron el pago, sin embargo al rastrear el pago, se dan cuenta que “alguien” modificó el número de cuenta clabe interbancaria a donde se realizaron los depósitos. Para este tipo de casos, forzosamente existe un trabajador implicado que conozca el movimiento interno de:

o Alta de proveedores
o Dónde se guarda la información de pago, pueda modificarla.
o Y realizar el pago de la factura.

2.- También se han atendido diversos casos de hackers que ingresan a los sistemas de información y modifican la misma, para realizar las transacciones electrónicas.

Sin embargo lo que es común en los casos, es que en las empresas o instituciones:

3.- No cuentan con departamentos de seguridad de la investigación, por falta de personal y el encargado de informática debe hacer toda la labor.

 No tienen mecanismos de software, hardware de seguridad de la información.
 No cuentan con políticas de seguridad de la información.
 No tienen restricciones a documentación sensible.
 En muchas de las ocasiones existe un empleado desleal que está coludido.

En mi estancia en la policía Cibernética llegamos a encontrar y desarticular diversas “banditas” de jóvenes menores de edad, los cuáles hacían esta práctica como travesura, los cuales con sus ganancias compraban carros, viajes, y diversos artículos en portales web, los cuales había veces, tenían que esconder para que sus padres no los cuestionaran y regañaran.

No era una situación sencilla para tanta actividad maliciosa y tan poco personal en ese entonces (comenzaron 2, luego éramos 5 y ya a mi salida éramos 27 elementos), ahora sé que es diferente ya que hay más Ciberpolicias en todo el país, sin embargo no los suficientes para todos los males que acontecen, un ejemplo es que según la Policía Cibernética de la Policía Federal sólo existen 5 estados con un nivel óptimo para realizar actividades de: Prevención (fase cero), Patrullaje en la Red, Inteligencia digital (fase 1), Investigación y realización de operativos que concreten en detenciones de responsables (fase 2). Sólo los estados que cuentan con el nivel óptimo son: CDMX, Chihuahua, Edo Mex, Jalisco y Nuevo León, quedando varios estados sólo en el nivel cero y todavía hay uno que otro que no cuentan con nadie que atienda estos ilícitos, si bien la Policía Federal ha hecho mucho en este rubro es necesario que cada estado se comprometa y proporcione recursos para que sus ciudadanos encuentren una atención a estos ilícitos, ya que es bien sabido que en la actualidad más del 95% de los ilícitos interviene un dispositivo electrónico el cuál forzosamente tendría que pasar por algún especialista que permita ayudar a la investigación y aclaramiento del ilícito.

Recomendaciones generales:

 Que tu contraseña sea robusta que incluya mayúsculas, minúsculas, caracteres especiales, que sea única para cada servicio y cambiarla por lo menos una vez al año. Ejemplo: [email protected]

 Activar el doble factor de autenticación en tus servicios, es decir que cada vez que inicies sesión en un dispositivo diferente te llegue un mensaje de texto a tu celular para verificar un código y determinar si eres tú el que ingresaste. (esto funciona gratuito en correos electrónicos y redes sociales)

 Activar tus alertas por mensajes de tus compras a tu teléfono celular.

 Verificar en donde ingresa su tarjeta bancaria, no perderla de vista y pedir que le lleven la terminar inalámbrica, en caso de que no tengan, acompañar físicamente hasta donde efectúen el cargo.

 No ser ingenuos, no hay nada gratis en internet.

 Hacer caso omiso a correos electrónicos de destinatarios desconocidos y menos abrir documentos de esos correos.

 Debemos recordar que al final de cuentas, cada quien sabe el trabajo que nos cuesta conseguir nuestro dinero, por lo que debemos cuidarlo mucho.
 

Director de Investigaciones en Eternal Data, consultoría
en seguridad a tecnologías de información e investigaciones
a crímenes electrónicos, hackeo ético,
informática forense y procedimientos de seguridad.

TEMAS RELACIONADOS
Guardando favorito...

Comentarios