21 de marzo de 2017

Detenido un jubilado exinspector de Trabajo

Los Mossos d'Esquadra han detenido dos veces en diez días en Barcelonaa un exinspector de trabajo de 64 años, ya jubilado, acusado de hacerse pasar por inspector en activo para estafar a una quincena de comercios, a los que exigía dinero a cambio de evitar una multa que simulaba haberles impuesto.
El detenido, autor de varios libros de derecho y doctorado en materia de inspección laboral, generaba confianza en las víctimas y les proponía pasar por alto la sanción que previamente les había comunicado, a cambio de dinero en efectivo, hecho al que accedían algunos de los comerciantes, según la policía catalana.
Exigía dinero a cambio de evitar una multa que simulaba haber impuesto a comercios
El acusado había trabajado como inspector de Trabajo y Seguridad Social del Ministerio de Trabajo e inspector de Trabajo de la Generalitat de Catalunya, si bien ya estaba jubilado, aunque aprovechaba sus conocimientos para dirigirse a establecimientos regentados por extranjeros, con barrera idiomática y falta de información en la legislación vigente para hacer inspecciones de trabajo falsas.
Según los Mossos, el detenido pedía documentación tanto del local como de los trabajadores, tomaba notas de todos los datos y cumplimentaba una sanción, que retiraba a cambio de dinero.
El jubilado estafador fue detenido en dos ocasiones en un margen de diez días, si bien en ambos casos ha quedado en libertad con cargos tras comparecer ante el juez, acusado de 16 delitos de usurpación de funciones públicas, ocho delitos de estafa, dos más en grado de tentativa y nueve delitos de falsificación de documento público.

La estafadora sigue en el barrio

María Navarro Estrada ha arruinado (literalmente) a decenas de vecinos de su barrio. Muchos eran amigos (o eso creían), también eran familiares. María tomó su dinero —y el que no tenían, porque las víctimas se embarcaron en préstamos de riesgo— y les prometió que lo invertiría en un negocio fabuloso. Nada de eso. Se quedó el dinero y voló, mientras sus vecinos de la Zona Franca de Barcelona perdían sus pisos. La Audiencia de Barcelona la ha condenado ahora por estafa a ocho años y medio de cárcel y a devolver el dinero: más de 1,7 millones de euros.



Las víctimas tienen pocas esperanzas de cobrar, porque María Navarro dice no disponer de recursos. Pese a que los vecinos no pueden ni verla, y pese a que ha tenido otros procesos judiciales también por estafa —uno, en Vitoria, se archivó porque accedió a devolver las cantidades defraudadas— la estafadora sigue en el barrio de la Zona Franca. "Continúa trabajando en negocios inmobiliarios y en intermediación de captación de clientes" y lo hace "en el mismo local de la asesoría" de Zona Franca, recoge la sentencia. Los jueces, sin embargo, no decretan ninguna medida para que la mujer no pueda seguir desarrollando esa actividad.

En otros tiempos, antes de que los vecinos descubrieran la estafa, María Navarro se hacía querer en el barrio. Se preocupaba por sus problemas, les preguntaba por su estado de salud, quería saber si atravesaban dificultades económicas... Fue así como logró ganarse la confianza de muchos de ellos. Les unía, al final, "la pertenencia a un mismo estrato social", señala la sentencia. María, con un FP de administrativa y su negocio de asesoría, era una más del barrio. Y la mujer aprovechó esa cercanía bien labrada.

La sentencia recoge un total de 13 casos en los que se ha logrado probar la estafa. Cuatro de ellos llegaron a la "asesoría financiera" de María a través de la publicidad. El resto, porque la conocían. La mujer "urdió una trama" para lograr que los vecinos pusieran su patrimonio en sus manos. ¿Y quiénes eran las víctimas? Los humildes del barrio. Personas que apenas tenían "la enseñanza obligatoria de su época", un “limitado entendimiento en cuestiones jurídico-financieras” y que soportaban, además, "economías precarias o de subsistencia”.

María actuaba de dos modos. A unos les ofrecía hacerse cargo de sus deudas. Y a otros les proponía inversiones. En ambos casos iban a obtener, supuestamente, un gran beneficio. En realidad solo quería apoderarse del dinero. La mujer daba apariencia de realidad a los contratos porque hacía firmarlos ante notario o una entidad bancaria. Las víctimas "no leían lo que firmaban" ni "pedían explicaciones al notario". Uno de ellos declaró como testigo. La sentencia le reprocha su falta de profesionalidad por no dar explicaciones a todas esas personas que acudían a firmar.
Hipoteca por un préstamo

Los casos citados en la sentencia son todos, por sí mismos, dramas personales con nombres y apellidos. Afectan, a menudo, a familias enteras. Como Emilio Sánchez, electricista, y su madre. Emilio estaba enfermo y María quiso echarle una mano. Le propuso participar en una línea de crédito de 600.000 euros para prestarlo a otras personas. El negocio iba a reportarle, según le dijo, entre un 12% y un 15% extra de la cantidad que aportase. Emilio no tenía dinero para invertir. Ni siquiera para pedir un préstamo. Así que tuvo que pedirle a su madre, Catalina Alarcón, que solicitara un préstamo para participar en el negocio.

En diciembre de 2006 —las estafas se produjeron hasta 2009— un prestamista concedió a Catalina 129.000 euros. La mujer se comprometió a devolver el dinero en apenas un mes y con un interés del 7%. Como garantía del préstamo —y eso explica por qué los afectados acabaron perdiendo sus pisos— se constituyó una hipoteca sobre el piso de la mujer, en la Zona Franca. "Conforme a lo pactado", Emilio y su madre entregaron a María Navarro tres cheques con el dinero. La mujer no los ingresó en su cuenta —adujo que tenía "problemas con Hacienda"— pero hizo que dos personas lo ingresaran en las suyas y, después, se lo entregaran

19 de marzo de 2017

Este ingenioso timo pretende robar tu cuenta y tu contraseña de Gmail

Una nueva estafa se extiende a través de Gmail y pretende hacerse con los datos de tu cuenta mediante un ingenioso truco. El correo fraudulento incluye un archivo adjunto que en realidad no es tal, sino una imagen que tiene el mismo aspecto que si fuera un añadido. Al pinchar en ella, el navegador se redirige a una falsa página de inicio de sesión de Gmail en la que se pretenden robar los datos de los internautas que han caído en la trampa.

La página es falsa, ya que no es una url que cuente con el habitual https:/que incluyen los sitios web seguros, como es la página de inicio de Gmail en la que se introducen los datos de cada cuenta. Este tuitero se dio cuenta de la estafa por un detalle puramente visual: la imagen se había pixelado hasta el punto de que pudo darse cuenta de que lo que había llegado a su buzón de correo no era un archivo adjunto.

La última versión de Chrome, la 56.0.2924, muestra un mensaje en la barra de dirección en la que se puede leer que el sitio "no es seguro", tal y como ha indicado WordFende, la firma especializada en seguridad informática. El problema con ese mensaje es que aparece de forma tan discreta que es probable que muchos usuarios que hayan aterrizado en esa página sin conocer el alcance de la estafa sigan adelante con el inicio de sesión.

El adjunto suele llegar desde correos conocidos por lo que es importante extremar las medidas de cautela si, al pulsar en un archivo, este nos redirige a una supuesta página de inicio de sesión. Y si llegamos a esa página, basta con comprobar que la dirección comienza por https:// y no por data:text/htyml, la fórmula empleada por los responsables de la estafa.

14 de marzo de 2017

"Su disco duro será borrado": el 'timo del soporte técnico' hace estragos en España

Colapso total del sistema. Su disco duro será borrado. Llame al 91xxxxxxx para solucionarlo". Miles de personas están recibiendo cada día avisos como este en sus ordenadores, según datos de la empresa de ciberseguridad ESET. El llamado 'timo del falso soporte técnico' se ceba en España desde hace meses y no hay signos de que dejemos de ser los números uno del mundo en sufrir esta estafa.


Estamos navegando tan tranquilamente y, de repente, se abre una ventana en nuestro ordenador que nos avisa de un agujero de seguridad gordísimo que sólo podremos solucionar llamando a un soporte técnico y pagando entre 100 y 200 euros. De todas las amenazas que nos acechan en internet, este timo es el top 1. Representa el 37,8%, y subiendo: "Es un porcentaje realmente elevado y ahora mismo está teniendo máximos que superan el 50%, con una tendencia alcista a corto plazo", explica Josep Albors, jefe de concienciación e investigación de ESET.
El secreto del éxito de este fraude en España ha sido tan simple como que quienes responden las llamadas telefónicas de las atribuladas víctimas hablan en perfecto castellano. Este mismo timo se intentó hace años, con falsos técnicos ingleses que leían con acento un guión en español, y fue un fracaso. El hecho de que al otro lado de la línea haya alguien que hable el mismo idioma da confianza y credibilidad.

Gráfico donde se muestran la incidencia del timo y puede verse como en fin de semana cae en picado, bien porque los timadores 'hacen fiesta' o bien porque sus principales víctimas son empresas, que no trabajan en fin de semana.
Gráfico donde se muestran la incidencia del timo y puede verse como en fin de semana cae en picado, bien porque los timadores 'hacen fiesta' o bien porque sus principales víctimas son empresas, que no trabajan en fin de semana.
Los técnicos de ESET lo han estado investigando y, explica Josep Albors, "cuando llamamos a uno de estos 'call center', supuestamente ubicado en Barcelona, nos atendió una persona con acento de Latinoamérica, entrenada para tener mucha paciencia y dar un trato bastante cordial". Por el ruido de fondo que se oía, la persona no estaba sola, asegura el experto: "Oíamos de fondo muchas otras llamadas siendo atendidas".
Los Mossos d'Esquadra emitieron a finales del año pasado una alerta respecto a este timo, tras haber recibido diez denuncias de personas a quienes estafaron más de 6.000 euros con la variante antigua del timo: un falso técnico de Microsoft llama a un usuario o pequeña empresa y les avisa que ha detectado alertas de seguridad, procedentes de su ordenador.
Los estafadores generan mensajes que engañan a la víctima para que piense que su sistema está gravemente amenazado
El "problema de seguridad" suele ser un supuesto virus que el técnico se ofrece a eliminar a distancia. La víctima debe instalar un programa de control remoto para que el técnico pueda entrar en su ordenador y "limpiarlo", a cambio de una cantidad de dinero. Otra modalidad es hacer que la víctima vaya a una falsa web de soporte de Microsoft e introduzca información confidencial que después el delincuente usará fraudulentamente.
El timo detectado ahora mismo en España es una variante más nueva donde "hacen que sea la víctima quien llame al estafador y no al revés, generando mensajes que la engañan para que piense que su sistema está seriamente amenazado", explica el investigador de ESET David Harley. Estos mensajes los provocan anuncios maliciosos, algo que puede pasarnos en cualquier web, incluso la más popular o el medio de comunicación más respetado, que no sabe que le están sirviendo publicidad maliciosa.

España, con un 37,86%, es el país que más sufre este tipo de timo. Francia y Australia, con un 31 y un 25 por ciento respectivamente, completan el podio.
España, con un 37,86%, es el país que más sufre este tipo de timo. Francia y Australia, con un 31 y un 25 por ciento respectivamente, completan el podio.
También podemos ser redigirigos a una web fraudulenta sin darnos cuenta mientras navegamos. Los anuncios y webs fraudulentas son los que generan los avisos, pero estos dan la impresión de venir del propio sistema, en ventanas emergentes, a pantalla completa o imitando el 'pantallazo azul de la muerte'. Pueden bloquear o no nuestro ordenador y siempre muestran mensajes terribles como "Windows detectó una falla en el disco duro. Llame al servicio técnico +932 20 23 38 y comparta este código IQUTQ con el agente para que pueda solucionar el problema".
Las víctimas más frecuentes son, según Albors, "usuarios de ordenadores domésticos de avanzada edad y con pocos conocimientos informáticos". Cuando llaman al 'call center', lo primero que les piden es que instalen un programa de control remoto que quedará ya para siempre en su ordenador, como una puerta trasera. Últimamente, aseguran desde ESET, se han visto casos que han instalado "ransomware" a sus víctimas a través de esta puerta abierta.
Las víctimas más frecuentes son, según Albors, "usuarios de ordenadores domésticos de avanzada edad y con pocos conocimientos informáticos"
Para convencer a los 'pardillos' de que ya han arreglado su ordenador, hacen que el visor de eventos de Windows muestre alertas que son perfectamente normales pero, bajo sugestión, parecen lo que el falso técnico les diga. El pago, de entre 100 y 200 euros, se realiza por tarjeta de crédito o Paypal. Otra modalidad es vender una suscripción de un año de "protección", engaño que ya usaban los falsos antivirus años atrás, recuerda Albors.
Y es que este timo, de pura ingeniería social, es casi tan viejo como la informática y ha tenido y tiene diferentes variantes, como las 'apps' gratuitas que instalamos en el móvil para, por ejemplo, ver el estado de la batería, que acaban bombardeándonos con avisos de "graves problemas de seguridad" que solucionará otra 'app' que nos recomiendan.

España, líder mundial

Nunca ha habido datos fidedignos de estas estafas porque se realizaban vía telefónica, hasta que han empezado a usar anuncios maliciosos en la web para mandar los avisos falsos. Gracias a esto, explica David Harley, "al haber un programa malicioso en juego puede ser detectado por un antivirus".
Esta detección permite, por un lado, avisar a los usuarios del antivirus de que están ante un timo. Pero, además, cuando el antivirus lo detecta lo informa a la central, que puede hacer estadísticas y estimaciones precisas de dónde se están realizando estos ataques. Así fue como ESET detectó el aumento espectacular de intentos de realizar este timo en España. No es la cifra de víctimas, que sigue siendo desconocida, pero es importante porque demuestra, según Albors, que "en los últimos meses un número importante de usuarios en España ha visto alguna de estas falsas alertas mientras navegaba por internet".

Ejemplo de uno de los mensajes que se puede encontrar un internauta cuando se topa con un anuncio malicioso.
Ejemplo de uno de los mensajes que se puede encontrar un internauta cuando se topa con un anuncio malicioso.
Detener a los estafadores es difícil. Se puede investigar quién ha contratado los teléfonos de los falsos 'call centers', pero normalmente el propietario de la línea no tiene nada que ver y se descubre que los estafadores han asaltado una centralita mal protegida de Voz IP: "Se han observado casos en los que el número proporcionado pertenecía incluso a una administración pública y estaba siendo utilizado temporalmente para redirigir las llamadas a un 'call center', sin conocimiento de los propietarios", explica Albors.
¿Como evitar caer en este engaño? Sentido común, dice Albors: "Si realmente tenemos un problema o dudas sobre la seguridad de nuestros sistemas, debemos contactar con los números de soporte oficial que las empresas ponen a disposición de sus usuarios en sus webs". Y usar antivirus, claro.

28 de febrero de 2017

Por qué las nuevas tarjetas 'contactless' no son tan seguras como crees

Será un gesto cada vez más cotidiano: al pagar, ya no meteremos la tarjeta de crédito por la ranura del datáfono, sino que la acercaremos unos centímetros al dispositivo de pago y, sin contacto físico (de ahí lo de 'contactless'), vía comunicación inalámbrica, pagaremos. Si la compra es menor de 20€ no tendremos ni que poner el PIN. Rápido, fácil, indoloro pero... ¿seguro? No tanto como parece.
"Alrededor del 80% de nuestras tarjetas ya son 'contactless' y el objetivo es que a finales de 2016 sea el 100%", asegura a Teknautas un portavoz de ING Direct. La misma situación se comparte en el resto de entidades financieras españolas, decididas a acabar el año con esta nueva forma de pago convertida en estándar. Pero algunos no lo ven tan claro, como el profesor de la Universidad de Zaragoza, Ricardo J. Rodríguez, quien lleva años investigando los posibles fallos del 'contactless'.
El año pasado, Rodríguez y su alumno José Vila demostraron en diversas conferencias de seguridad informática cómo una 'app' maliciosa en el móvil, con capacidad para "leer" de forma inalámbrica los datos de nuestra tarjeta, podría robarlos. Por ejemplo, si móvil y tarjeta estuviesen en el mismo bolsillo. Después, la 'app' mandaría los datos a otro 'smartphone', desde el que se pagarían compras por cantidades que no necesitan PIN.
Expertos en seguridad consiguieron pagar en un TPV en Madrid con una tarjeta de crédito 'contactless' ubicada en Nueva York, a más de 8.000 km
En una prueba de concepto, consiguieron pagar en un terminal punto de venta (TPV) TPV en Madrid con una tarjeta de crédito ubicada físicamente en Nueva York, a más de 8.000 km, donde Rodríguez estaba dando la charla. La demostración provocó expectación mundial y, aunque algunos fabricantes de tarjetas trabajan en solucionarlo, a día de hoy el ataque sigue siendo viable. "Las tarjetas de crédito NFC son parcialmente seguras", explica a Teknautas el investigador. El problema reside en el protocolo de comunicación de la tarjeta, llamado NFC por ser las siglas en inglés de "Comunicación en el Campo Cercano".
Miguel Herrero, del Instituto Nacional de Ciberseguridad (INCIBE), lo explica muy bien: "En el campo cercano se produce un fenómeno de inducción magnética entre las dos antenas de los elementos que se desean comunicar", en este caso el TPV y la tarjeta. Esta tiene la antena embutida dentro, no se ve a simple vista, sólo a través de rayos X. La antena NFC se puede meter también en teléfonos móviles o pulseras, dispositivos que ya están bastante maduros para funcionar como métodos de pago".

Delincuentes a 10 centímetros

El campo de acción de una tarjeta NFC se limita, según Herrero, a unos 20 centímetros, "10 centímetros en la práctica". Esto obliga al delincuente que quiera robar datos de la tarjeta a acercarse mucho a la víctima, en entornos de masificación como el tren en hora punta o una discoteca. Pero, si lo consigue, tiene vía libre porque el problema de estas tarjetas es que "son simpáticas con los desconocidos", bromea Ricardo J. Rodríguez. O sea: sus datos no viajan cifrados y los dan a cualquier 'app' o dispositivo que se los pidan.

(Foto: Corbis)
(Foto: Corbis)
En un informe reciente, el CERT gubernamental español avisa claramente sobre este problema: "La tecnología NFC es insegura tal y como se ha demostrado en multitud de trabajos científicos, en donde se han relatado sus problemas de seguridad inherentes que son, básicamente, la escucha secreta o a escondidas, la alteración de la información transmitida y los ataques de retransmisión".
Según el informe, un dispositivo equipado con antena NFC puede leer y copiar los siguientes datos de una tarjeta de crédito también NFC: "Número de tarjeta, fecha de expiración, titular de la tarjeta e histórico de transacciones realizadas con la tarjeta, no sólo mediante NFC sinó también las verificadas con el chip de la tarjeta", algo que entra ya en el terreno no sólo del robo sino también de la violación de la privacidad.
Con esta información es posible clonar la tarjeta y usarla en compras menores, como sugiere Rodríguez: "Una tarjeta clónica para sacar el café en la máqina, subir al metro o fichar en la oficina". Cabe aclarar, dice el informe, que "los fabricantes de tarjetas están limitando al máximo la información que se filtra por NFC, evitando que las nuevas tarjetas emitan el titular y el histórico".
Otro ataque sería la modificación de la información que se transmite entre la tarjeta y el TPV: se podrían abortar la transacción o bloquear la tarjeta
Por contra, las nuevas 'apps' que están emitiendo las entidades bancarias, que permiten que nuestro móvil funcione como un TPV con tecnología NFC, aumentan el parque de teléfonos con capacidad para espiar los datos de las tarjetas de las personas que tienen más cerca. Ahora bien: estas 'apps' llevan los datos del dueño del móvil asociados, incluído su número de cuenta, por lo que si hubiese un robo por esta vía sería muy fácil localizar al ladrón.
Otro tipo de ataque que detalla el informe del CCN-CERT español sería la modificación de la información que se transmite entre la tarjeta y el TPV: algunas triquiñuelas podrían conseguir abortar la transacción o bloquear la tarjeta.
Por último, las tarjetas NFC son vulnerables a ataques de "relay" como el demostrado por Rodríguez y Vila. En un convención en Nueva York, Ricardo robó en directo los datos de una tarjeta NFC con una 'app' en su móvil y los mandó al móvil de Pepe, en Madrid, quien con este móvil realizó un pago de un euro en el TPV de su oficina. Así, una tarjeta que teóricamente sólo puede pagar a 10 centímetros de distancia, pagó a 8.000 kilémetros.

Ataques solo posibles con móviles Android

Este ataque, aún vigente, sólo es posible usando móviles Android pues, a partir de la versión 4.4 de este sistema operativo se incorporó la "mejora" de que el móvil pueda emular una tarjeta. En este contexto se entiende que, hace un par de semanas, corriese como la pólvora en las redes sociales la foto de una persona en el metro, con un terminal de punto de venta (TPV) en la mano.

El investigador zaragozano Ricardo J. Rodríguez
El investigador zaragozano Ricardo J. Rodríguez
El texto que acompañaba la foto aseguraba que el ladrón se acercaba a las personas que tuviesen tarjetas NFC en su cartera y, al ser la distancia entre ellos menor a 10 centímetrosm, podía cobrarles compras por menos de 20€, sin PIN. Investigadores de seguridad, fuerzas de la ley y bancos se apresuraron a desmentir la información, entre ellos Carlos García, quien aseguraba en su blog: "No podemos decir que sea falso, pero personalmente sí me atrevería a afirmar que es poco probable que algún delincuente realice el fraude de este modo".
Los motivos que aduce García son el hecho de que ir con un TPV en la mano "canta", aunque cantaría menos si fuese un móvil con una 'app' que lo convierte en TPV. Por otra parte, asegura García, gran experto en ondas, hay dispositivos como los Proxmark3, pensados para espiar y clonar señales de radio frecuencia (RFID), cuya antena aumentaría mucho el alcance del TPV o del móvil que funcionase como tal: "Su coste puede parecer elevado (unos 400 euros), pero si se valora el beneficio que un cibercriminal puede obtener, la cosa cambia. Además de este dispositivo existen otros con capacidades técnicas superiores a las de un TPV y un precio no superior a los 50 euros".
Pero el argumento más convincente para nuestra tranquilidad es, como asegura Carlos García, que ni la policía ni Visa aseguran haber detectado robos usando esta técnica. Fuentes bancarias nos lo confirman: "Tras haber migrado una importante cifra de nuestras tarjetas a NFC no ha aumentado el fraude; más bien ha disminuido respecto de aquellos tiempos en que se llevaban nuestras tarjetas y nuestro DNI en un platillo para cobrarnos".
Los bancos tranquilizan: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia de uso y el posible fraude"
No hay banco consultado que no asegure que estamos ante una tecnología "madura y segura". Así lo afirman en ING Direct: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia, la mejora de un servicio, y el posible fraude". O en el blog de BBVA: "La tecnología 'contactless' es segura y además existen mecanismos para aumentar la seguridad de tus tarjetas".
Estos mecanismos serían la posibilidad de que el banco ponga a 0 el monto de compras que se pueden hacer sin PIN o, lo que es lo mismo, que todas las compras con NFC requieran PIN, también las de menos de 20€, posibilidad que algunos bancos permiten, como BBVA, y otros no, como ING Direct, por razones logísticas.
En todo caso, la mayoría de bancos bloquearán nuestra tarjeta NFC si durante un mismo día se han realizado demasiadas compras sin PIN, siendo el número tope entre 5 y 7. Otra medida es que no se permiten realizar dos compras sin PIN muy seguidas. Hay bancos cuyas 'apps' nos avisan cuando hemos hecho una compra y que incluso nos permiten configurar la tarjeta para que se "apague" temporalmente o en determinadas circunstancias, como compras en una tienda o vía datáfono. En todo caso, seamos clientes del banco que seamos, si somos víctimas de un fraude el banco nos devolverá el dinero, previa presentación de denuncia a la policía.
Para no llegar a este extremo existen estrategias de protección que evitan que alguien "chupe" los datos de nuestra tarjeta: llevarla dentro de una funda de papel de aluminio o en un billetero creado especialmente para este menester. Desde INCIBE añaden: "La mejor medida para nuestras tarjetas NFC es la prevención, no descuidarlas y desconfiar de la gente que se arrime demasiado a tus bolsillos".

(Foto: Corbis)
(Foto: Corbis)
El investigador zaragozano Ricardo J. Rodríguez añade, respecto a los ataques de "relay" que demostró que eran posibles: "Las tarjetas nuevas, al menos las de Mastercard, están empezando a incorporar mecanismos de protección, como los protocolos de acotamiento de distancia que permitirían poder detectar cuándo una tarjeta NFC se está leyendo de manera ilegítima. Sin embargo, esto puede ser complicado llevar a la práctica ante la cantidad de dispositivos móviles NFC que abundan en el mercado, o las propias apps de determinados móviles que "realmente" están haciendo ellas mismas un relay con el banco".
¿Usa Ricardo J. Rodríguez tarjetas de crédito 'contactless'? "Sí, me parecen muy útiles y es una tecnología que ha venido a quedarse, e irá a más en los próximos años. Quizá hasta desaparezcan las tarjetas de crédito y llevemos únicamente el móvil con capacidades NFC o... ¿el reloj inteligente con NFC?". Seguro que lo veremos.

Se disparan las estafas a empresas españolas con los 'emails' del 'fraude al CEO'

Banca, infraestructura, seguros... no hay prácticamente gran empresa española que en los últimos meses no haya sufrido un intento de lo que se conoce como 'fraude al CEO'. Consultoras y organizaciones de ciberseguridad avisan de un importante repunte de este delito, que consiste en mandar 'emails' falsos, creados a la medida de los altos directivos de una compañía, donde se les engaña para que realicen transferencias de cientos de miles de euros.


Lo que se describe a continuación es el caso real de lo que sucedió recientemente en una empresa española, según han confirmado varias fuentes consultadas: los criminales investigaron durante semanas a los directivos, así como a la empresa. Todas las vías de información públicas sobre la firma estaban controladas: blogs, Twitter, Facebook... Usaron LinkedIn para saber con qué otras compañías y directivos hacían negocios. Y en el apartado "Quiénes somos" de la web corporativa les fue fácil ver el árbol jerárquico de cargos, nombres y direcciones de correo.
Cuando los criminales se sintieron seguros, mandaron un email al consejero delegado (CEO), con un archivo adjunto que simulaba ser el fichero de nóminas. El email tenía una peculiaridad: no se mandaba desde el dominio auténtico de la empresa (CEO@laempresa.es), sino desde CEO@1aempresa.es. La letra "l" se había convertido en el número "1", pero no era fácil distinguirlo, sobre todo porque lo mandaron a una hora en que sabían que el CEO lo recibiría en el teléfono móvil.

Todo comienza con un correo aparentemente normal.
Todo comienza con un correo aparentemente normal.
"Si lo ves en el ordenador, te chirría, pero muchos altos directivos lo ven a través del móvil, donde sólo te sale el nombre y no te das cuenta de que la dirección no es correcta. Eso está produciendo que este tipo de ataques tengan más éxito", explica a Teknautas Jorge Chimea, experto del Instituto Nacional de Ciberseguridad (INCIBE). El CEO no vio el cambio y no desconfió, pinchó en el fichero de nóminas adjunto y dió entrada a un código malicioso en su teléfono. A partir de aquí, los criminales pudieron espiar todo lo que pasaba por su móvil, especialmente mensajería y correo.
Unas semanas más tarde, los defraudadores ya se habían empapado de con quién solía hablar el directivo, cuál era la jerga de la empresa, con qué compañías operaban, en qué contratos se estaba trabajando en aquel momento y, muy importante, los procedimientos para ordenar transferencias y quién las realizaba. Ya sólo bastó esperar a que el CEO hiciese un viaje que requería un par de horas de avión.
Muchos altos directivos ven el correo a través del móvil, donde sólo te sale el nombre y no ven que la dirección no es correcta
Media hora antes de que saliese el avión, el contable encargado de las transferencias recibió un email del CEO (recordemos que su cuenta había sido 'hackeada' y los criminales podían mandar emails en su nombre). El supuesto CEO le ordenaba pagar 600.000 euros a una cuenta bancaria, advirtiéndole: "Dale total prioridad". Al estar el CEO en un avión, el contable no pudo contactar con él para confirmar la orden. Y la ejecutó.
Cada vez hay más empresas españolas, grandes y también pymes, que han sufrido intentos de "fraude al CEO" y cada vez más con éxito. No existen estadísticas oficiales al respecto, pues este fraude se diluye estadísticamente con el resto de fraudes informáticos, pero las principales consultoras de seguridad y el INCIBE comparten la percepción de un importante aumento. "Desde principios de 2017 está creciendo mucho, al menos que se nos haya informado, pues muchas veces ni se enteran", explica Jorge Chimea.

De 30.000 euros hasta los dos millones

Dentro del "fraude al CEO" hay variantes: a veces, la cuenta de correo asaltada no es la del CEO sino la del contable y las transferencias se ordenan directamente desde la misma. Puede que tampoco se robe el dinero de golpe sino por partes: un día se ordena una transferencia de 30.000, otro día de 600.000 y quizás el contable ya sospeche cuando se le pida que transfiera un millón.
En otras ocasiones, los criminales no necesitan espiar el correo del directivo para saber cuándo no estará en la ciudad: basta con ver que su nombre aparece en la agenda pública de un acto. Muchas veces no se entra en los ordenadores de la empresa, simplemente se mandan 'emails' para ver si pican, aprovechándose de la buena fe e ignorancia respecto a esta estafa. Lo que es común es dar prisas, poner nervioso al contable para que no tenga tiempo de pensar en lo que hace.

En otro reciente ataque a un bufete de abogados español, donde se habían ordenado varias transferencias fraudulentas, el banco se avino a anularlas, pero otras veces no se llega a tiempo, sobre todo si el fraude se descubre meses después, lo que puede suceder cuando no llevamos un registro exhaustivo de los movimientos bancarios.
"La 'estafa al CEO' está teniendo una gran incidencia debido a su gran efectividad, bajo riesgo para los criminales y los grandes beneficios obtenidos", aseguran fuentes consultadas de la Policía Nacional. En mayo del año pasado, este cuerpo desarticuló a una importante banda que había realizado estafas que iban de los 20.000 a casi los dos millones de euros, siendo la mayoría de 600.000 euros.
En total, 43 personas fueron detenidas en Madrid y Toledo y una en Reino Unido. Entre ellos había bastantes empresarios españoles que blanqueaban el dinero, y algunos cabecillas nigerianos. 'Hackeaban' las cuentas de correo de directivos de empresas y, cuando habían entrado en una, se hacían pasar por el directivo para engañar a otros empleados o clientes, simulando compartir un documento en la nube, por ejemplo en Google Drive, donde había que introducir nombre y contraseña para acceder. Así conseguían más credenciales para seguir con las estafas.

Efectivo incautado en una de las operaciones a ciberdelincuentes que utilizaban el método del 'fraude al CEO'. (Foto: Policía Nacional)
Efectivo incautado en una de las operaciones a ciberdelincuentes que utilizaban el método del 'fraude al CEO'. (Foto: Policía Nacional)
Una de sus tácticas consistía en buscar indicios de transacciones que estuviesen en proceso de realizarse en las cuentas de correo comprometidas. Entonces, explican fuentes de la Policía, "intervenían en el último momento, mediante el envío de un correo en el que suplantaban la identidad de la cuenta monitorizada, para modificar la cuenta bancaria destinataria de la contraprestación económica del negocio, alegando problemas con la entidad original".
El negocio de los cibercriminales eran tan boyante como para que los agentes les interviniesen 200.000 euros en efectivo, 12.820 dólares en metálico, 10.000 libras y 500.000 euros bloqueados en tres bancos, procedentes de los últimos golpes, más 12 vehículos y el material de 'trabajo': 35 ordenadores, 80 móviles y 20 tabletas.

¿Cómo evitar el 'fraude al CEO'?

La formación de los empleados y directivos es el arma más importante para combatir este delito, afirma Jorge Chimea. Recientemente, el INCIBE publicaba una alerta de nivel 4 (Alta) relativa al 'fraude al CEO', donde se muestran emails extraídos de casos reales. Según el INCIBE, además de la formación debe haber una correcta seguridad informática en la empresa e implantar procedimientos seguros para realizar pagos, que exijan doble verificación mediante una llamada al director.
Desde la consultora Deloitte, el experto en ciberinteligencia Samuel de Tomás recomienda, además de la tan necesaria concienciación, "informar siempre al departamento de seguridad si se sospecha de algo, como correos o transferencias raras; también incorporar controles a la hora de mover el dinero y revisar de forma constante las transferencias para evitar anomalías, porque puede que te estafen y no te des cuenta".

Dridex, el troyano más temido que roba tu cuenta corriente vuelve a la carga

Clientes de al menos tres entidades bancarias españolas han sido víctimas del virus Dridex. Este programa malicioso es uno de los ladrones virtuales más sofisticados conocidos hasta la fecha, orientado a robar nuestra cuenta corriente sin que nos demos cuenta. Después de más de un año inactivo en España, vuelve en el contexto de una campaña de ataques a bancos de toda Europa.


Gran Bretaña, Suiza, Alemania y otros países europeos están en alerta por una campaña de ataques del troyano bancario Dridex, que amenaza también a bancos españoles, según ha confirmado a Teknautas las firmas de seguridad GoNet Fraud Prevention & Intelligence e Hispasec Sistemas. Ambas han investigado varios ataques recientes a clientes de al menos tres entidades bancarias en nuestro país, aunque han preferido no desvelar el nombre de las compañías.
La campaña se inició en enero y está usando nuevas versiones de Dridex, que ha sido mejorado con complejos métodos para evitar ser detectado cuando infecta los ordenadores: "Se hace pasar por procesos legítimos de Windows", explica Fernando Díaz, de Hispasec. Además, en vez de instalarse en el disco duro, como la mayoría, se esconde en la memoria, donde los antivirus no pueden "verle".

(Foto: Reuters)
(Foto: Reuters)
Este nivel de complejidad y refinadas técnicas de engaño son los que hacen que Dridex sea admirado incluso por quienes lo combaten. Lo más preciado es su motor de exploración avanzada, capaz de detectar el banco en el que opera su víctima y, sea el que sea, navegar automáticamente por la web de esa entidad hasta realizar él solito una transferencia.

Cómo funciona

Dridex es un troyano de élite desde el principio, desde que se manda en campañas de correo electrónico no solicitado que distan mucho de ser el típico spam cutre. Los mensajes llevan nombres y apellidos correctos y se mandan desde proveedores legítimos que son abusados, lo que significa que no serán marcados como spam. El virus viaja en una factura adjunta en formato Word que pide que se activen las Macros para verla. O en un .zip que lleva un Javascript dentro.
Si se abren estos ficheros, el código malicioso entra en el ordenador y se pasea como Pedro por su casa, mirando qué programas tenemos instalados. Abre una comunicación con los malos y les informa de si está en un ordenador particular o de una empresa. Si está en una empresa, le mandarán programas para espionaje y robo industrial. Si está en un ordenador particular, le instalan Dridex.
Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco
El ordenador infectado pasa a formar parte de una botnet, con miles o millones de ordenadores bajo el control de los delincuentes, que pueden incluso instalarles ransomware. Según investigadores suizos, las nuevas muestras de Dridex detectadas "están usando diferentes botnets, cada una con su propia configuración dirigida a atacar un país concreto o un grupo de países".
Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco. Entonces, nos muestra una simulación de la web en el navegador y, cuando escribimos las credenciales para entrar, creyendo que estamos en el portal del banco, las graba. Este es el punto de no retorno.
"Es muy difícil para un usuario común detectar algo raro en el comportamiento de su banca a distancia, la 'experiencia de usuario' conseguida por el malware es completamente creible", asegura Fernando Carrazón, COO de GoNet FPI, para quien lo que hace más peligroso a Dridex es "la total apariencia de legitimidad, pasando desapercibido a los ojos del usuario, y las técnicas de engaño simulando transferencias erróneas".

(Foto: Reuters)
(Foto: Reuters)
Cuando Dridex tiene nuestras credenciales, ya no nos necesita, es todo automático: mira cuánto dinero hay en la cuenta, calcula un tanto por cierto y realiza una transferencia por este monto a la cuenta de una "mula". Carrazón destaca "la velocidad a la que Dridex realiza las operaciones, completamente integradas en los portales de banca a distancia por las inyecciones de código que realiza su motor".
Además explican desde GoNet, en esta campaña los delincuentes están yendo muy rápido, realizando los robos "en un único día, desmantelando y empezando de nuevo en otro lado". No se conocen de momento cifras de afectados, de dinero robado ni entidades afectadas, sólo los avisos tempranos de investigadores en toda Europa.

Sigue vivo

A Dridex se le creyó muerto a finales de 2015, cuando ya había robado 40 millones de euros a clientes de bancos en Estados Unidos y Europa, también en España. Una operación conjunta de las fuerzas de la ley europeas, el FBI, entidades bancarias e incluso empresas de seguridad como la española S21sec, que jugó un importante papel, consiguieron desmantelar a parte del grupo de delincuentes del Este de Europa que operaban la botnet, una banda llamada Evil Corp.
A principios de 2016, la botnet de Dridex empezó sorpresivamente a instalar en los ordenadores que tenía esclavizados un antivirus gratuito de la empresa Avira, capaz de detectar y eliminar el troyano. "Se sospecha que un hacker de sombrero blanco habría discretamente penetrado la red de distribución de Dridex y cambiado la configuración para distribuir el antivirus", explica la Wikipedia.

Un especialista en seguridad informática analiza el impacto de un ciberataque reciente en Europa. (Foto: Reuters)
Un especialista en seguridad informática analiza el impacto de un ciberataque reciente en Europa. (Foto: Reuters)
el código no muere ni puede ser encarcelado, así que otras bandas, mayoritariamente del Este, lo retomaron durante 2016, en campañas más pequeñas, usando la botnet de Dridex para distribuir ransomware, como Cerber o Locky, o bien para robar a clientes de bancos. Desde agosto de 2016 no se sabía nada de Dridex en Europa. Y, en España, desde finales de 2015. Mientras, aquí nos han infestado otros troyanos bancarios, menos estilosos pero mucho más implantados, siendo el rey ZBot y sus variantes Panda o Sphinx.
Las mejores medidas preventivas para no caer en las garras de estos virus son "desconfiar de correos electrónicos con remitentes desconocidos y obviamente, no ejecutar los adjuntos", resume Fernando Carrazón. No ejecutar Macros aunque nos lo pidan es también recomendable. Asimismo, usar antivirus pero no fiarse ciegamente, porque a veces no detectan estos troyanos.

Twitter Facebook Favorites

 
Design by NewWpThemes | Blogger Theme by Lasantha - Premium Blogger Themes | New Blogger Themes