#MundoHacker: Estafas online, certificados y muleros

En este domingo de época de exámenes y lamentos por parte de los universitarios, vuelvo a traeros un nuevo artículo de la serie  #MundoHacker, en el que hablaremos de algunas de las estafas online más comunes, y otros conceptos adyacentes a este negocio que quizás no os sean conocidos.

estafas online

Estafas online

En internet está ahora el verdadero potencial. Desde la red, podemos mover dinero de nuestras cuentas, podemos registrarnos en servicios y crear avatares digitales nuestros, y lo usamos para la comunicación entre los cientos de amigos que tenemos diseminados por la geografía mundial.

Y lo mejor de todo es que la mayoría de las personas usan todo esto sin conocer su funcionamiento, y con la aparente tranquilidad de que al hacerlo desde su móvil o desde casa, no hay peligro alguno.

Pero lo cierto es que hay tanto peligro en la red como en la calle ¿Si no le darías a un conocido tu tarjeta de crédito para que te sacase dinero en un cajero, porqué le das tus contraseñas en internet? ¿Si vas con cautela cuando llevas dinero encima por un barrio conflictivo, por qué no haces lo propio antes de meter tu número en cualquier web de compra online?

Hay un verdadero negocio detrás de las estafas online. Hablamos de un sistema industrializado, nada que ver con la idea de unos maquiavélicos hackers en una habitación oscura. Son cadenas de empresas, con decenas o cientos de ingenieros que hacen su trabajo como todos nosotros, y que seguramente no tengan ni idea de que están contribuyendo con las mafias de cualquier país. Una sistematización de procesos semejantes a la cadena de producción industrial, que abstraen el objetivo común entre todos los trabajadores, de tal manera que un grupo puede estar preparando un servicio y otros tantos otro, y que juntos forman el arma del crimen ¿Es culpable aquel que diseña el cañón de una pistola?

Bienvenidos, por tanto, al oscuro mundo de los muleros.

Los muleros

Seguramente al oír hablar de muleros lo relacionáis con el mundo de la droga, pero en la práctica puede hablarse de cualquier sector. Son personas como tú y como yo, que tienen su pareja y su trabajo, y viven en un pisito o en una casa familiar.

Un buen día, recibes una oferta de trabajo interesante. Un empleo desde la comodidad de tu casa, en el que harás de intermediario entre una conocida empresa y sus clientes. Puesto que la empresa normalmente está en el extranjero, y suele operar en tu país, prefieren pagarte justo a tí un 5% de todas las transferencias que hagan. El interesado se pondrá a investigar, y en efecto la empresa existe, y quizás le de por llamar y también tendrán servicio al cliente. Te pasarán contrato, te pasarán todo lo que pidas, porque la empresa funciona como un organismo legal.

Si aceptas, periódicamente ingresarán en tu cuenta dinero. Un dinero que tendrás que sacar (descontando el porcentaje acordado), y enviar mediante un sistema de pagos inrrastreable de los muchos que existen (Western Union, Adac Rentals Ltd,…). Dinero fácil y rápido, ¿verdad?

Pero un día te llega una llamada. Es tu banco, que te pregunta si sabes de dónde te está viniendo ese dinero. Tú le explicas tranquilamente que tienes ese negocio, que es totalmente legal y que tienes todos los papeles, pero la policía que te detiene no opina lo mismo. Acabas de transformarte en un mulero, y te enfrentas a años de cárcel por blanqueo de dinero. Lamentablemente, en estos casos, lo más probable es que sea el mulero quien paga y echa a perder su vida, ya que la verdadera mafia que hay por detrás destituyen la compañía y montan otra en cualquier otro lado.

Esta estafa puede ser llevada de muchas otras maneras, y de hecho solo es un engranaje más en la cadena de estafas de las mafias digitales. Con tu trabajo, has favorecido el buen quehacer de los interesados en lo ajeno, y serás tú el damnificado, no ellos.

Casos de éxito: El virus de la Policía

Existen mil y un variantes, y es a día de hoy uno de los virus secuestradores (también llamados Ransomwares) que más ordenadores ha infectado. Su funcionamiento, en cualquier caso, es semejante.

De la noche a la mañana, tu ordenador mostrará una pantalla en el que se te avisa que ha sido bloqueado por el organismo legal de tu país (en nuestro caso, la policía o la guardia civil) por alguna de las razones abajo mencionadas (visionado de pornografía infantil, descargas ilegales,…), y que para desbloquearlo, hay que pagar X dinero (100 euros normalmente).

Ransom

En algunas otras variantes, incluso te muestran una foto sacada desde la webcam de tu ordenador (recordar la importancia de tener la webcam tapada sino la usáis), en la que sales, para demostrarte que en efecto eras tú (o algún familiar) quien lo ha hecho.

Resulta curioso que en este caso, el desprestigio (tienen pruebas de que has visto pornografía, cuando tu JAMÁS lo has hecho) y en muchos casos la necesidad urgente de usar el terminal (por ejemplo para trabajo), hace que la gente lo pague. Son solo 100 euros, pero multiplicado por miles de personas, da una cantidad de dinero apabullante.

Cuando lo pagas, es posible que en efecto se desbloquee (seguirás infectado y seguramente sirvas de ahora en adelante como ordenador zombie de una botnet para otras estafas futuras), o que te vuelvan a pedir X dinero por un trámite administrativo, o directamente siga bloqueado. Y la gente vuelve a pagar, y cuando no se le desbloquea, llama a la policía y les dice que porqué no está desbloqueado ya, que han pagado dos veces y nada…

Sentido común, por favor… Si eres consumidor de pornografía infantil (ESPERO que no sea el caso de ninguno), no te van a bloquear el ordenador, te llegará la policía o la guardia civil a tu casa y pasarás el resto de tu vida en la cárcel.

Sobre cómo quitarlo, me parece una tontería explicarlo ya que hay tantas variantes que no existe una única forma. Un servidor probaría suerte entrando en el modo seguro de tu sistema operativo (windows seguramente), tecleando MSCONFIG en la pestaña de ejecutar, y matando los procesos que no tengan identificador legal (aparecen como desconocido). Luego, pasar un buen antivirus. Si esto no lo consigue solucionar, probaría con alguna medicina sacada de internet, y en último caso, intentar salvar todo lo que pudiera del disco y formatear.

Casos de éxito: La estafa del Nigeriano

¿Os acordáis de los muleros que hablamos un poco más arriba verdad? Pues en este timo tienen mucho que ver.

Un día te levantas, desayunas, te vistes y sales a “disfrutar” del tráfico de la ciudad hasta la oficina. Una vez allí, consultas como siempre tu email, llamándote la atención uno que nunca habías visto. Resulta que eres el flamante ganador de la lotería nacional de a saber qué país (todo el mundo sabe que el que no hayas jugado no significa que no puedas ganar), o bien una adorable ancianita que está al borde de la muerte te a elegido justo a tí para cederle parte de su herencia (casualmente tú, completo desconocido, eres la mejor alternativa que ve esta mujer/hombre/lo que sea para ceder su dinero).

loteria-nigeriana

La cosa es bien sencilla. Vas a ganar dinero sin pedir nada a cambio ¿Quién se niega a esto? Rápidamente, te pones en contacto con la mafia con el interesado para enterarte mejor, y empiezan a suceder uno tras otro una larga conversación vía email.

Quizás también quieras hablar con la persona, así que te pasarán un número de teléfono y también estaréis en contacto por ahí. Todo genial.

Te vamos a dar 40 millones, pero, mira tú que mala suerte, que puesto que la administración de loteria/adorable ancianita está en Nigeria/Zululandia/el Imperio Romano, va a tocarte pagar unos mínimos trámites (pon 150 euros) ¿Qué son 150 euros si voy a ganar 40 millones? Para allá que los mando.

Ahora resulta que la aduana los tiene retenidos, y tocará pagar 400… Bueno anda, si luego los voy a recuperar, qué importa. Para allá que van.

Ahora…

Y así entramos en un círculo vicioso en el que ya no te puedes echar para atrás (perderías dinero si lo hicieras). Ya puedes esperar sentado, que nunca verás ese dinero, pero los muleros estarán enviando el tuyo de forma segura y totalmente inrrastreable. Para cuando te quieras dar cuenta, ya será tarde. Adios dinero.

Como suele ocurrir, hay mil y un versiones, siendo otro de los grandes el alquiler de pisos o la venta de productos de segunda mano. Chollos que te encuentras en internet, con situaciones tan disparatadas, y que siempre tienen una máxima en común: pagar antes de recibir.

Casos de éxito: Robo de credenciales

Y llegamos al último punto que quería tratar en esta entrada. El robo de credenciales de acceso a cuentas (normalmente de banco). Los vectores de ataque, los de siempre: email, links acortados o incluso telefonazos. Y el objetivo, desde el robo directo, a la extorsión, como ya hemos visto en la entrada sobre suplantación de identidad digital.

Acabas de llegar a la oficina y ves un email en la bandeja: ¡Anda, el banco se pone en contacto conmigo para ofrecer cualquier cambio! Pues qué bien, me facilita hasta un enlace para entrar y activarlo.

Mejor que ponerse a trabajar… Pues ale, entro en la web, toda ella muy mona. Exactamente igual. Meto mis datos y me lleva a mi cuenta, pero no veo nada nuevo.

Va, se habrán confundido… Pues a seguir leyendo emails.

Acabamos de dar nuestro acceso a la cuenta a los timadores. Y eso pasa por no fijarse en los certificados digitales de la web que visitamos.

Siempre que vayáis a entrar en un servicio que tiene nuestros datos, debéis fijaros en el candado que aparece justo antes de la URL en la barra de direcciones. Pinchando en él, se despliega la información. Todos estos servicios, usan protocolos HTTPS certificados, por lo que sino hay certificado (o el certificado os lleva a una página roja que os avisa que no se puede asegurar la validez del mismo), desconfiar.

PabloYglesias-certificados

Diferencia entre una página de Google certificada, y otra página llamada Gogle que es un timo

El cómo llegamos a la web puede variar de mil maneras, pero al final, siempre acabamos delante de una web que se parece muchísimo, pero que no es la verdadera. Todo lo que metamos ahí, quedará registrado en un fichero, que seguramente se acabe vendiendo por la Dark Web a otras mafias que usarán esos datos para mil y un negocios negros.

Y ocurre, sobre todo con la llegada del mundo móvil, y en especial con los dispositivos iOS (y esa absurda sandbox que evita poder comunicarse entre aplicaciones), que muchas veces acabamos abriendo webs e insertando datos desde navegadores propios de un servicio que no muestran la barra de dirección, y mucho menos el certificado. Ser desconfiados, si algo huele mal, seguramente es que esté podrido.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias