noviembre 30, 2019

DESMONTANDO A LUPIN: La prevención de la estafa informática, desde y para el usuario

CAMBIO EN LOS DELITOS CLÁSICOS

De vez en cuando, la realidad nos golpea con noticias tan impactantes como la que  recibimos hace ya unos meses. Un chico, hasta entonces desconocido, se convierte en el ciberdelincuente más buscado por la unidad de delitos informáticos de la Guardia Civil que le atribuye una serie de delitos que, más o menos, le reportan un beneficio de unos 300.000 euros al mes. Lupin aparece en el panorama de la actualidad con la mejor puesta en escena posible.

Sin embargo, esta no es la realidad. La realidad dista mucho de lo que se puede considerar un caso aislado. La realidad es que, si quitamos los focos, la epicidad de los sucesos y la atmósfera que se crea al ser noticia en los medios de comunicación, el delito de estafa informática es un delito que estaba aquí y que está para quedarse. Lo cierto es que no es una novedad que los delitos clásicos están evolucionando y transformándose gracias a la aparición de otros espacios de oportunidad delincuencial, tales como el ciberespacio.

Muestra de esto último se encuentra en la última memoria presentada por la Fiscalía General del Estado donde se expone que: “(…) es incuestionable el efecto que el desarrollo tecnológico está teniendo en la mayoría de las actividades delictivas, dando lugar a un cambio progresivo en su planificación y ejecución para aprovechar las ventajas y potencialidades que ofrecen las herramientas informáticas”.

En adición, comentan que: “(…) en el año 2018 en el conjunto del Estado se incoaron por estas categorías delictivas un total de 9.069 procedimientos judiciales. Esta cifra implica un incremento en un 35,84 por ciento respecto de los asuntos registrados en 2017, año en el que el volumen de incoaciones ascendió a 6.676”. Y finaliza: “Es evidente que estamos asistiendo a un incremento de las actividades delictivas vinculadas al uso de las TIC y esta afirmación se ve avalada por la información facilitada por el Ministerio del Interior, a cuyo tenor las investigaciones por ciberdelitos se incrementaron en un 36 por ciento respecto a 2017 y en un 84 por ciento respecto a 2015, llegando a alcanzar en 2018 la cifra de 110.613”.

 

LA ESTAFA INFORMÁTICA.

De entre todos los delitos informáticos, destaca especialmente la estafa informática. Siguiendo esta línea, el ‘Informe de amenazas y tendencias’ en su edición de 2019 recoge que “otra tendencia clara en los ciberataques delincuenciales de 2018 ha sido el refinamiento del phishing (…)”.

Pues bien, ¿qué es el phishing? Atendiendo a su etimología, “El término phishing proviene de la unión de los siguientes vocablos en inglés password, harvesting y fishing, con lo que se viene a hacer alusión a “cosecha y pesca de contraseñas”. A la persona que pone en práctica este delito se le conoce como phisher” (Rodríguez, 2015).

En la práctica, se puede decir que el phishing se compone de un conjunto de técnicas que persiguen el engaño una víctima, con el fin de apoderarse de información personal valiosa. Generalmente, cuando el phishing está dirigido al ciudadano, esta información se usa para el robo del patrimonio de la víctima. Pero cabe puntualizar que, el delito de phishing se está usando también contra organizaciones y empresas con otros fines diferentes.

En cuanto a las modalidades de phishing, podemos destacar unas cuantas, que atienden al objetivo contra el que se dirige el ataque, el fin y el medio que se utiliza:

  1. a) Phishing general o tradicional. Consiste generalmente en la emisión masiva de correos electrónicos al usuario. Estos correos suplantan la identidad de entidades bancarias u otras organizaciones de confianza y persiguen el engaño del usuario y la consecución de información personal, tal como contraseñas de banco, tarjetas de crédito, etc…
  2. b) Vishing. La diferencia en este tipo de phishing es que el engaño se produce a través de una llamada telefónica.
  3. c) Smishing. El engaño se produce a través del envío de SMS.
  4. d) URL Phishing. Se trata de engañar al usuario haciéndole clicar en una dirección URL con el fin de robar información personal.
  5. e) Pharming. El engaño consiste en redirigir al usuario a una dirección URL falsa.
  6. f) Otros: Whaling, Spear Phishing, Search Engine phishing, etc….

Desde el punto de vista penal, existen una serie de requisitos previstos, que definen a los delitos de estafa informática y los diferencian del delito de estafa clásica. Aunque bien es cierto que la mayoría de sus características se mantienen.

“En definitiva, como en la estafa clásica, debe existir un ánimo de lucro, debe existir la manipulación informática o artificio semejante que es la modalidad comisiva mediante la que torticeramente se hace que la máquina actúe y también un acto de disposición económica en perjuicio de tercero que se concreta en una transferencia no consentida. Subsiste la defraudación y el engaño, que es propio de la relación personal, es sustituido como medio comisivo defraudatorio por la manipulación informática o artificio semejante en el que lo relevante es que la máquina, informática o mecánica, actúe a impulsos de una actuación ilegítima que bien puede consistir en la alteración de los elementos físicos, de aquellos que permite su programación, o por la introducción de datos falsos” (STS 369/07, de 9 de mayo), (Rodríguez, 2015).

 

EL MODUS OPERANDI DE LUPIN.

Según la Guardia Civil, Lupin no era precisamente un experto en todo lo relativo a la informática. Lo que sí reconocen es que este joven de 23 años es “una persona con un perfil psicológico muy peculiar: con un gran ego, inteligente y, sobre todo, muy disciplinado” (Valle, 2019).

Realmente este “perfil” se refleja a la perfección en su comportamiento y en la manera en la que urde toda esta trama de principio a fin. Sin entrar en todos los detalles, del ‘modus operandi’ de Lupin podemos dividir su estrategia criminal en dos partes bien diferenciadas:

A) Preparación de la estafa en la red.

   En esta etapa, lo principal es establecer una serie de pautas que permitan que la estafa se complete, es decir, se produzca el pago por parte del usuario, sin que este obtenga el servicio o el producto que se oferta. Para ello, nos encontramos con el uso de la primera técnica que recibe el nombre de SEO o Search Engine Optimization. Esta técnica no es ilegal, ni mucho menos. En realidad, la mayoría de las empresas o de servicios web se nutren de ella para que su página web aparezca en una de las primeras posiciones al realizar una búsqueda en algún motor, tal como Google o similares.

Y es que eso es precisamente el SEO, que “no es otra cosa que optimizar un sitio web para mejorar su posición en los resultados obtenidos por los motores de búsqueda; es decir, intentar que tu web salga la primera cuando los usuarios busquen en Google”, (Alonso, s.f.).

En esta línea, para garantizar que su web parezca de lo más fiable y significativa, es capaz de comprar cuentas de usuarios reconocidos como grandes vendedores en plataformas web de compra venta de artículos, (Wallapop, Milanuncios, VIVO…).

Otra característica que Lupin manejaba es que el precio del producto o servicio debía de estar rebajado, debía aparentar ser una gran oportunidad. Pero no podía caer tanto como para que levantara sospechas. Es decir, necesitaba un precio ajustado a mercado y que al mismo tiempo que pareciera una ganga, no apestara a fraude.

En cuanto a la forma de pago, sí que tenía que asegurarse de que fuera aquella que no le planteara un problema para su seguridad. Optó por la transferencia bancaria y, únicamente por esta vía, se podía abonar la cantidad. Así, aprovechaba la ocasión para sacar tantos datos del usuario como podía: DNI, nombre y apellidos, número de cuenta, número de tarjeta, número de teléfono (este último clave por si falla el plan A), etc…

Finalmente, por la obsesión por aparentar la realidad que luego no sería tal, Lupin apostaba por la creación de páginas webs falsas, pero insertaba en ellas el protocolo de comunicación segura HTTPS, haciéndolas fiables a ojo del consumidor.

 

B) Uso de la Ingeniería Social a través de la técnica de Vishing.

   La ingeniería social es “(…) conocida como un conjunto de técnicas de interacción psicológica y sociológica, utilizadas por los ciberdelincuentes, con la finalidad de ganarse la confianza de las víctimas y obtener una determinada información con un objetivo ilegal e ilícito”. Combinando la ingeniería social con el Vishing,

Lupin pretendía conseguir varias cosas a la vez. Primero, ofrecer a todas aquellas personas que no podían efectuar el pago por transferencia bancaria, otra vía para el pago. En principio, esto le servía para hacerse con el dinero de la víctima y de paso, con su número de tarjeta de crédito. Segundo, ofrecer al cliente la posibilidad de descargarse una app que le permitiría visualizar el seguimiento del paquete que contenía su producto. Realmente, esta app permitía a Lupin visualizar los SMS de la víctima donde, esta recibía los números clave que la entidad bancaria manda al usuario para asegurar la identidad de este al realizar cualquier compra on-line. Tercero, y esto es lo más sorprendente, utilizaba a las víctimas para acceder a información de la propia investigación, haciéndose pasar por un miembro de la misma GDT de la Guardia Civil.

 

LA IMPORTANCIA DE LA EDUCACIÓN INFORMÁTICA.

En este apartado nos toca agachar las orejas y entonar el mea culpa. No lo digo yo, lo dicen los expertos. Y es que según el resumen ejecutivo del CCN- CERT, “los seres humanos siguen siendo el eslabón débil en todos los sistemas de seguridad, por lo que, a medida que aumente la eficacia de las protecciones contra código dañino, los agentes de las amenazas modificarán su objetivo, atacando a las personas. Es de esperar que los próximos años sean testigo de un mayor volumen de correos electrónicos de suplantación de identidad (phishing) y sitios web falsos diseñados para engañar al usuario y facilitar el acceso a datos confidenciales, tales como contraseñas o números de tarjetas de crédito”.

Es por esto por lo que profesionales de la informática y profesionales de la seguridad debemos estar comprometidos con, no solo la mejora de los sistemas de seguridad en sí, si no con la educación en seguridad informática desde el usuario y para el usuario.

Así, merece la pena tomar como ejemplo este caso tan mediático para el menos hacer ver los errores más comunes, o los signos de alerta de los que debemos estar atentos para la detección de la estafa informática. Por destacar algunos de los que se ha hablado anteriormente podemos decir que:

  1. Ingeniería social y phising.

Primero, es necesario ser consciente de que la estafa informática es el delito con mayor progresión en los últimos años. Así lo muestra la estadística “Phishing continues to be the top threat vector for cyberattacks. Exploiting human vulnerabilities continues to be the most successful path for threat actors targeting the assets of organizations and individuals. As the adoption of technology gains momentum, we see threat actors progressively shifting methods and leveraging social engineering through email, social media, and mobile attacks to trick users”.

El Phishing continúa siendo la mayor amenaza en la comisión de ciberataques. Explotar las vulnerabilidades en humanos sigue siendo el camino más acertado para conseguir los activos de organizaciones e individuos. A medida que la adopción de la tecnología gana impulso, vemos que los actores de la amenaza cambian progresivamente sus métodos y aprovechan la ingeniería social a través del correo electrónico, las redes sociales y los ataques a smartphones para engañar a los usuarios. (Phishlabs.com, 2018).

Además, la tendencia principal para los próximos años es el uso del Phishing en sistemas SaaS (Software as a Service). El SaaS es, “un sistema SaaS o Software as a Service, un modelo de distribución de software en el que tanto el software como los datos manejados son centralizados y alojados en un único servidor externo a la empresa. Esto implica que el software utilizado por la empresa no se encuentra en la misma, sino que un proveedor se ocupa del hosting de dicho software en la nube, así como del mantenimiento y el soporte”. (Goikolea, 2014).

Pensemos en Netflix.com como un SaaS. Es una plataforma que ofrece el visionado de una serie de ficheros, que no necesita actualización y que no necesita que descargues una aplicación. Es un servicio al que, como usuario, te conectas cuando quieres y que siempre está en la nube. Ahora pensemos en webs de compraventa on-line que funcionan igual. Este va a ser el objetivo de los cibercriminales para, a través del phishing y las técnicas de ingeniería social, obtener los activos de los usuarios. Ya sea datos personales u otra serie de bienes.

 

1 1 DESMONTANDO A LUPIN: La prevención de la estafa informática, desde y para el usuario

             Fig. 1. “Changes in Phishing Volume (2017)”. Info.phishlabs.com, 2018.

 

  1. Uso del protocolo HTTPS.

Otra de las tendencias dominantes en el uso de la estafa informática como delito es el uso de páginas webs fraudulentas que usan el protocolo de comunicación HTTPS. ¿Qué es HTTPS? Según Google, HTTPS es “(HyperText Transfer Protocol Secure, Protocolo de transferencia de hipertexto) un protocolo de comunicación de Internet que protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web. Dado que los usuarios esperan que su experiencia on-line sea segura y privada, te recomendamos que adoptes HTTPS para proteger sus conexiones con tu sitio web, independientemente de lo que este contenga”.

¿Entonces, qué problema hay? Parece todo seguro, ¿no? No, realmente no. En principio el protocolo HTTPS fue diseñado como una mejora del anterior HTTP. Pero hoy, existen técnicas suficientes que desvirtúan el uso seguro de este tipo de conexión. Aun así, que la conexión fuese segura, ¡tampoco garantiza que los servicios que esa web ofrece sean fiables!

“Despite what many people believe, HTTPS domains do NOT mean a website has been secured, or that any vulnerabilities on the site have been patched. Consequently, attackers can exploit vulnerabilities in HTTPS websites just as easily as they can compromise standard HTTP websites” [A pesar de lo que mucha gente cree, los dominios HTTPS NO significan que un sitio web ha sido protegido o que cualquier vulnerabilidad en el sitio ha sido parcheada. En consecuencia, los atacantes pueden explotar vulnerabilidades en los sitios web HTTPS tan fácilmente como pueden comprometer los sitios web HTTP estándar].

“In November 2017, we conducted an informal poll to see how many people actually knew the meaning of the green padlock that is associated with HTTPS websites. More than 80 percent of the respondents believed the green lock indicated that a website was either legitimate and/or safe, neither of which is true”. [En noviembre de 2017 realizamos una encuesta informal para ver cuántas personas realmente sabían el significado del candado verde que está asociado con los sitios web HTTPS. Más del 80 por ciento de los encuestados creía que el bloqueo verde indicaba que un sitio web era legítimo y/o seguro, ninguno de los cuales es cierto]. (Phishlabs.com, 2018).

img 5de29ed0eb855 DESMONTANDO A LUPIN: La prevención de la estafa informática, desde y para el usuario

     Fig. 2 ‘Results of an Informal Poll About the Meaning of the Green Lock in a Browser URL Bar’. Info.phishlabs.com, 2018.

 

  1. Métodos de pago y leaks de información personal.

Desconfía de webs en las que el único método de pago sea la transferencia bancaria o el envío de dinero a través de plataformas como MoneyGram o Western Union. Generalmente, estos métodos de pago están asociados con las típicas estafas informáticas. De hecho, tanto es así que desde las propias plataformas lo advierten con total naturalidad, enumerando incluso algunas estafas comunes (1).

Desconfía también de llamadas telefónicas o correos electrónicos que pidan información personal para completar o efectuar el pago, para confirmar el seguimiento del pedido, que pidan claves de seguridad o contraseñas, etc… Confirma siempre la veracidad de la llamada o el correo, tratando directamente con la empresa o el servicio oficial a través de sus métodos de comunicación oficiales.

 

 

(1) https://www.moneygram.com/mgo/es/es/help/fraud-aware/common-consumer-scams

https://www.moneygram.com/mgo/es/es/help/fraud-aware/protect-against-fraud

https://www.westernunion.com/es/es/fraud-awareness/fraud-types.html

 

Artículo escrito por ADRIÁN CARMONA CABALLERO, graduado en Criminología de la Universidad Rey Juan Carlos y miembro del Grupo de Victimología en Delitos Violentos del Colegio Profesional de la Criminología de la Comunidad de Madrid.

 

BIBLIOGRAFÍA.

RODRIGUEZ, María Victoria. 2015. “Estafa informática. El denominado phishing y la conducta del ‘mulero bancario’: categorización y doctrina de la Sala Segunda del Tribunal Supremo”. Recurso web extraído el 24/11/2019 de: http://noticias.juridicas.com/conocimiento/articulos-doctrinales/10617-estafa-informatica-el-denominado-phishing-y-la-conducta-del-ldquo%3Bmulero/

CENTRO CRIPTOLÓGICO NACIONAL. 2019. “Ciberamenazas y tendencias 2019”. Recurso web extraído el 24/11/2019 de: https://www.ccn-cert.cni.es/informes/informes-ccn-cert publicos/3767-ccn-cert-ia-13-19-ciberamenazas-y-tendencias-resumen-ejecutivo-2019/file.html

VALLE, Mónica. 2019. “«Era muy difícil no caer en su trampa»: Operación Lupin, así cayó el mayor ciberestafador de España”. Recurso web extraído el 24/11/2019 de: https://bitlifemedia.com/2019/07/era-muy-difioperacion-lupin-asi-cayo-el-mayor-ciberestafador-de-espana/

ALONSO, Rubén. S.f. “Guía de SEO”. Recurso web extraído el 24/11/2019 de: https://miposicionamientoweb.es/guia-seo-para-principiantes/

PHISHLABS. 2018. “2018 PHISHING TRENDS& INTELLIGENCE REPORT. Hacking the Human”. Recurso web extraído el 24/11/2019 de: https://info.phishlabs.com/hubfs/2018%20PT %20Report/PhishLabs%20Trend%20Report_2018-digital.pdf

GOIKOLEA, Marcos. 2014. “¿Qué es un sistema SaaS? Definición y ventajas”. Recurso web extraído el 24/11/2019 de: https://www.iebschool.com/blog/que-es-saas-definicion-ventajas-digital-business/

GOOGLE. S.f. “Proteger sitios web con el protocolo HTTPS”. Recurso web extraído el 24/11/2019 de: https://support.google.com/webmasters/answer/6073543?hl=es-419

FISCALÍA GENERAL DEL ESTADO. 2019. “Memoria Fiscalía 2019”. Recurso web extraído el 24/11/2019 de: https://d3cra5ec8gdi8w.cloudfront.net/uploads/documentos/2019/09/10/_memoria2019_76609dd4.pdf

 

Colegio Profesional de Criminología de la Comunidad de Madrid