El cibercrimen mueve muchísimo, muchísimo dinero. Un dinero que proviene, por regla general, de las víctimas a las que engañan.
Y todo ese volumen de dinero hay que blanquearlo.
De hecho, en los pasos que requiere ese blanqueamiento de dinero es donde más susceptibles son los cibercriminales de ser cazados. Lo vemos a diario con campañas que llegan a la opinión pública, como fue el caso del ransomware WannaCry, y cómo las cuentas de bitcoin asociadas a dicha campaña pasaron meses sin ser tocadas por sus creadores. Simplemente había demasiados ojos pendientes de ellas.
Lo que obliga a los cibercriminales a buscar maneras alternativas y creativas de transformar ese dinero negro en dinero que pueda ser utilizado en su día a día.
Hace tiempo hablé de cómo funcionan los fraudes basados en SMS premium, y también de cómo identificar sorteos falsos en redes sociales. Hoy me voy a centrar en el ecosistema de blanqueo de capital mediante la compraventa de bienes digitales en plataformas de videojuegos.
Empecemos.
Índice de contenido
Paso 1: La captación de dinero
Puede venir de múltiples fuentes. Desde aquellas que se basan en estafar directamente a la víctima, como aquellas otras en las que la víctima es solo el Caballo de Troya de los cibercriminales, hasta las tergiversaciones de plataformas que permiten monetizar vía volúmen, como es el caso del mundo de la publicidad.
La cuestión es que de una u otra manera la víctima es engañada para que:
- Dé sus datos, y con ellos explotar vías de monetización.
- Realice alguna acción, lo que repercute económicamente en los cibercriminales.
- Engañe a otros usuarios, creando un círculo vicioso.
Y todo ese dinero va a parar generalmente a servicios digitales y monedas que tengan difícil traceabilidad. Western Union es de las plataformas más habituales de fraude entre particulares precisamente porque permite, en algunos países, sacar dinero sin tan siquiera requerir un documento de identidad. Bitcoin, Ethereum y el resto de criptomonedas suelen contar con sistemas de anonimización y una red descentralizada que, de nuevo, complica el saber a ciencia cierta quién está detrás.
Pero solo con esto no sirve. Nada es 100% privado y seguro. De hecho ya hemos visto por estos lares cómo redes en teoría anónimas como TOR o la propia bitcoin son débiles a ataques del 51% que comprometan, precisamente, su principal virtud (la descentralización).
Recientemente en The Independent (EN) la firma de ciberseguridad Sixgill hablaba de una campaña basada en estafas vía PayPal, cuyos pasos serían los siguientes:
- Identificar usuarios del popular sistema de pagos, por ejemplo en base a las múltiples filtraciones de cuentas que cada mes se hacen públicas en la dark web, y probando cuáles de ellas han utilizado la misma contraseña en este servicio, o bien infectando a víctimas de botnets con software de espionaje que nos permita tener acceso a dichas cuentas.
- Se crean nuevas cuentas de PayPal de forma masiva, y generalmente automatizada.
- Se envía el dinero de las cuentas de las víctimas (recuerdo que en PayPal además de poder tener dinero, suele estar asociado a una tarjeta o entidad bancaria y puede emitir pagos desde éstas) a estas cuentas temporales.
Pasamos así de un entorno en el que el dinero estaba en cuentas de las víctimas, a otro en el que el dinero está disponible en muchas más cuentas ya bajo control del cibercriminal.
Es entonces cuando entran en acción las plataformas de videojuegos.
Paso 2: De dinero digital, a dinero virtual en videojuegos
El siguiente paso es crear múltiples cuentas en los videojuegos online de moda.
En nuestros días quien se lleva la palma es el Fornite, que es en el que me voy a centrar, pero lo cierto es que esto ha estado ocurriendo desde que existen videojuegos con micropagos. Juegos como el Word Of Warcraft, Pokemon Go o The Division son caldo de cultivo indirecto de estas mafias, y últimamente han empezado a pulular varias campañas que afectan al Apex Legends (EN).
Hablamos de muchas cuentas nuevas asociadas a cuentas de PayPal y en las que se transfiere el dinero real a dinero del juego. PaVos y skins en el caso de Fornite, Oro u objetos con Word Of Warcraft…
De esta manera, tenemos ahora miles de cuentas en diferentes juegos que valen dinero real. Otro paso más para complicar el seguimiento de ese dinero asociado.
El último paso creo que es por todos conocido. Se crean campañas en redes sociales y en plataformas de compraventa en las que se venden este tipo de cuentas de videojuegos.
Recientemente publicaba un artículo explicando cómo habían estafado a mi pareja con un producto vendido en Instagram, y esto compete perfectamente al tema tratado en esta pieza.
El usuario que las compra, y presuponiendo que en efecto reciba la cuenta y no sea un estafado más, compra con ellas una cuenta que tiene asociado dinero del juego a un precio muy inferior a lo que valen esos bienes digitales en la plataforma oficial. Y de paso, está ayudando a blanquear dicho dinero, que se produce de una transacción que, según el país y la plataforma, puede ser totalmente lícita.
¿De quién es la culpa?
Realmente de todos los miembros que conforman la cadena:
- La desarrolladora de videojuegos: Por regla general no hace mucho para asegurarse de que ese dinero es lícito. Si viene de una cuenta de un servicio compatible con los métodos de pago, se presupone que se ha obtenido a buena fe. A fin de cuentas el negocio de la compañía se basa en cobrar a los jugadores, y estas cuentas no tienen por qué diferenciarse realmente del resto de cuentas legítimas. En todo caso su deber es banear dichas cuentas tan pronto es consciente de ello (screapeando las webs de compraventa, por ejemplo) y prohibir legalmente la compraventa fuera de su plataforma, aunque esto suponga que a veces los mayores afectados sean aquellos que compraron las cuentas, en vez de los criminales que las están vendiendo.
- Las plataformas de intermediación: Resulta a priori muy complicado discernir cuándo alguien crea una cuenta de PayPal (por seguir con el símil) orgánicamente, de cuándo lo hace con intereses maquiavélicos. De hecho puede haber miles de casos de usuarios legítimos que se crean una cuenta de estas única y exclusivamente para hacer pagos en un juego, por lo que este criterio, que sería el primero a considerar, no es válido de cara a identificar buenos usos de malos usos.
- Las redes sociales y los servicios de compraventa: En principio hacen una labor de moderación para eliminar todas estas cuentas que aseguran vender productos digitales que son falsos o no cumplen con la política de compraventa de la plataforma. Pero ya hemos visto que fallan más que una escopeta de perdigones, y en todo caso, esa moderación se realiza a posteriori, después de que múltiples usuarios hayan denunciado a dicha cuenta (cosa que no siempre ocurre). Al igual que en el caso de la desarrolladora, también viven de ello, por lo que no parecen a priori muy preocupados en controlarlo. No hace falta más que hacer una búsqueda rápida en Instagram (ES) o en Milanuncios (ES) para encontrarte con múltiples ejemplos.
- Los usuarios: Aquellos que compran estas cuentas están dando de comer a los cibercriminales. Nada nuevo bajo el sol. Sigue sorprendiéndome cómo en plena Atocha se montan calles enteras de manteros con productos que claramente son robados (móviles, tablets, carteras, bolsos… cada “vendedor” tiene casualmente un poco de todo) y siempre está lleno de gente buscando algún chollo.
En fin, que espero que al menos este artículo sirva para concienciar de la situación, y forzar poco a poco a que todos colaboremos para erradicar estos negocios fraudulentos. Mayores controles del lado de todos los stakeholders involucrados en el ciclo de blanqueo de capital, y sobre todo, el no comprar este tipo de cuentas.
Para eso tenemos otros servicios de venta de códigos que sí son legítimos y pueden contar con ofertas interesantes.
Más que nada porque además puede que paguemos y no recibamos nada. Que a fin de cuentas, el vendedor no deja de ser un grupo de personas que ya ha demostrado no tener escrúpulos engañando a otra gente. Y esa cuenta puede ser baneada en cualquier momento por la compañía.
Tanto por una como por la otra cosa, nosotros podemos ser los siguientes.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.