El ciberdelito está en constante evolución y sofisticación, sin embargo, la mayoría de las modalidades de fraudes de tipo económico y de robo de identidad que vemos ocurriendo hoy en día están basados en una antigua técnica denominada “ingeniería social”, que no es más que una serie de técnicas de manipulación para obtener información de las personas o convencerlas de realizar alguna acción.
El phishing es una modalidad delictiva en la cual se realizan envíos masivos, típicamente por correo electrónico, de supuestas advertencias de que se debe actualizar rápidamente algún dato o las credenciales de acceso a un sistema, o de ofertas por tiempo limitado, premios y muchos otros subterfugios utilizados para lograr que el usuario haga click en un enlace determinado y registre sus credenciales de acceso o alguna otra información personal a través del mismo.

El compromiso de correo corporativo es una modalidad de estafa dirigida a empresas que realizan pagos mediante transferencias bancarias a proveedores en el extranjero, que se lleva a cabo mediante el compromiso o falsificación de cuentas de correo electrónico corporativas de ejecutivos o empleados de alto nivel, responsables de la autorización y de la ejecución de pagos, logrando que se produzcan transferencias a cuentas fraudulentas.

Hemos visto evolucionar los ciberdelitos desde los “hackers” de los años 80 cuya motivación principal era la competencia, el reconocimiento o la satisfacción personal de haber logrado su objetivo a motivaciones monetarias, políticas, estratégicas, llegando a convertirse en uno de los ámbitos de acción del crimen organizado. Utilizando una derivación de la famosa respuesta atribuida a Willy Sutton, un famoso ladrón de bancos de los Estados Unidos de los años 1930, a quien el periodista Mitch Ohnstad le preguntó el por qué se dedicaba a robar bancos, cuya respuesta fue la siguiente: “porque ahí es donde está el dinero”, resulta evidente que uno de los principales objetivos de los ciberdelincuentes sea obtener beneficios económicos por distintas vías y utilizando distintas modalidades novedosas. El ciberdelito está en constante evolución y sofisticación, sin embargo, la mayoría de las modalidades de  CLAUDIO PEGUERO CASTILLO cmpeguero@gmail.com General de Brigada. Ingeniero de Sistemas del Instituto Tecnológico de Santo Domingo (INTEC). Maestría en Comercio Electrónico de la Universidad APEC. Director de Planificación y Desarrollo de la Policía Nacional y asesor del director general de la PN en Asuntos Cibernéticos. Representante ante la Comisión Interinstitucional contra Crímenes y Delitos de Alta Tecnología (CICDAT). Delegado de República Dominicana ante el Comité del Convenio de Budapest sobre Ciberdelincuencia. fraudes de tipo económico y de robo de identidad que vemos ocurriendo hoy en día están basados en una antigua técnica denominada “ingeniería social”.

Ingeniería social

El uso de esta expresión aparece por primera vez en 1894, en un ensayo del empresario y filántropo holandés J.C. Van Marken, difundido en Francia por Émile Cheysson (uno de los integrantes del Musée Social); pero recibió su mayor impulso en Estados Unidos, a través del libro “Social Engineering”, del reformista social W.H. Tolman, conocido en aquella época por “ayudar a los pobres”. La idea central es que no había en las empresas una función social, por lo que el ingeniero social tenía una función de mediador para resolver los conflictos como intermediador racional entre el capital y el trabajo. En esta acepción, el ingeniero social debía contar con habilidades sociales, en contraste con el uso posterior del término, basado en la metáfora de la máquina que se convierte en el núcleo del concepto peyorativo actual, popularizado a partir de 1911. Varias décadas después se generaliza el concepto de que la ingeniería social puede ser una técnica o método para lograr una variedad de resultados, es decir, deja de ser un instrumento para resolver problemas sociales y se transforma en uno para manipular a la población. Es evidente en este punto que la propaganda puede ser considerada ingeniería social, así como las campañas políticas y la religión, dado que buscan lograr un comportamiento específico en las masas1. El concepto actual de ingeniería social es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. En el mundo de la tecnología es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectados2.

Pretexto

Un pretexto es una historia elaborada que inventa el cibercriminal a fin de crear una situación en la cual atrapar a sus víctimas. A veces, es una historia trágica de una persona varada en el exterior o una tan inverosímil como la de un príncipe de un país desconocido cuyo padre acaba de fallecer y que necesita 500 dólares para asumir el trono. Estos tipos de situaciones apelan a la tendencia de las personas a ayudar a quienes lo necesitan. Los pretextos normalmente se usan en combinación con varios de los otros métodos, debido a que la mayoría de las situaciones requieren alguna historia para atraer la atención del objetivo o a que el atacante se hace pasar por otra persona en una llamada telefónica. Algunas de las modalidades delictivas basadas en ingeniería social que más están afectando actualmente, tanto en términos de volumen como de impacto económico a victimas en nuestro país son:

Phishing (y sus variantes)

El phishing (derivación de la palabra fishing – pescar en ingles) es una modalidad delictiva en la cual se realizan envíos masivos (típicamente por correo electrónico, aunque hay variantes que utilizan otros canales) de supuestas advertencias de que se debe actualizar rápidamente algún dato o las credenciales de acceso a un sistema, por lo general de internet banking, o de ofertas por tiempo limitado, premios y muchos otros subterfugios utilizados para lograr que el usuario haga click en un enlace determinado y registre sus credenciales de acceso o alguna otra información personal a través del mismo. En algunos casos la información recolectada puede ser usada por sí sola para la comisión de un fraude y, en otros casos, para desarrollar o “cosechar” la información de interés para el atacante.

Variantes del phishing:

• Spear phishing (Pesca con lanza o arpón). En esta variante el esquema de phishing va dirigido a una víctima específica (por ejemplo, por espionaje industrial o para obtener credenciales o información para ser utilizada como parte de un ataque determinado). El ataque es diseñado para esa victima en particular, con base en una inteligencia previa, apuntando hacia gustos particulares o actividades específicas en las que participa frecuentemente (por ejemplo, si la víctima es golfista podría ser una invitación a un torneo de golf).

• Pharming. El pharming es un ataque que permite a un atacante redirigir un nombre de dominio de una página web a un servidor fraudulento, utilizando un código malicioso que, insertado en un archivo de configuración del sistema operativo, provoca que al digitar la dirección no se consulte el DNS, llevando a la víctima a un sitio fraudulento. Los nombres de dominio no son las direcciones reales de los servidores, sino nombres que podemos recordar con facilidad en lugar de memorizar la dirección IP (por ejemplo, www.elpaisdominicano.do es en realidad la dirección IP 109.199.127.254). Este ataque asocia una dirección IP al nombre de dominio del sitio web en cuestión, forzando al navegador a redireccionar al sitio falso del atacante.

• Smishing (SMS phishing). Cuando los ataques de phishing son realizados a través de mensajes SMS (u otro tipo de mensajería instantánea) se denomina smishing. Los delincuentes con frecuencia envían SMS (minimensajes) diciendo que hemos sido ganadores de un concurso determinado (en República Dominicana se han utilizado marcas famosas de café o caldos de pollo, entre otras) o líneas aéreas ofreciendo dos boletos aéreos gratuitos, como parte de un programa promocional determinado.

• Vishing (Voice phishing). Estos ataques se producen también a través de llamadas telefónicas en las que el/la atacante simula estar llamando desde un call center de un banco o una empresa determinada, haciendo una oferta de algún producto (una tarjeta de crédito, por ejemplo) para lo cual se debe llenar un formulario o validar algunos datos. Esta modalidad es denominada vishing.

Estafas por suplantación de identidad de WhatsApp

Esta modalidad, también basada en ingeniería social, ha tenido un gran auge en nuestro país y en toda la región durante el ultimo año. En esta el delincuente registra el numero de teléfono de la víctima cuya identidad quiere suplantar en un dispositivo, solicita el código de verificación, que es enviado por SMS al número de teléfono registrado del usuario legítimo del servicio, y logra mediante técnicas de ingeniería social engañar al usuario legitimo para que le suministre o reenvíe el código recibido por SMS. Una vez obtenido este código, el delincuente registra en su dispositivo el número de la víctima y, con éste, su lista de contactos de WhatsApp, y suplanta la identidad de la victima, diciendo tener una emergencia y pidiendo que le transfieran una suma de dinero determinada a título de préstamo para poder resolver.

Compromiso de correo corporativo (Business E-mail Compromise – BEC)

Esta modalidad de estafa esta dirigida a empresas que realizan pagos mediante transferencias bancarias a proveedores en el extranjero. Tiene un alto componente de ingeniería social combinado con una labor de inteligencia previa de su objetivo, muchas veces ejecutada a través de otras modalidades de ingeniería social, de phishing, de keyloggers, etc. Se lleva a cabo mediante el compromiso o falsificación de cuentas de correo electrónico corporativas de ejecutivos o empleados de alto nivel responsables de la autorización y de la ejecución de pagos.

Según Europol, hay 5 tipos de estafas BEC3:

• Fraude del CEO: Los atacantes se hacen pasar por el CEO de la empresa o cualquier ejecutivo y envían un correo electrónico a los empleados en finanzas, solicitándoles que transfieran dinero a la cuenta que controlan.

• El esquema de facturas falsas: Las empresas con proveedores extranjeros a menudo son atacadas con esta táctica, en la que los atacantes pretenden ser los proveedores que solicitan transferencias de fondos para pagos a una cuenta que es propiedad de estafadores.

• Compromiso de cuenta: Un ejecutivo o una cuenta de correo electrónico del empleado es pirateada y se utiliza para solicitar pagos de facturas a los proveedores que figuran en sus contactos de correo electrónico. Los pagos se envían a cuentas bancarias fraudulentas.

• Suplantación de abogado: Los atacantes pretenden ser un abogado o alguien de la firma de abogados que, supuestamente, está a cargo de asuntos cruciales y confidenciales. Normalmente, estas solicitudes falsas se realizan por correo electrónico o por teléfono, y durante el final del día hábil.

• Robo de datos: Los empleados de Recursos Humanos y contabilidad están destinados a obtener información de identificación personal (PII) o declaraciones de impuestos de empleados y ejecutivos. Dichos datos pueden ser utilizados para futuros ataques.

¿Cómo se producen los ataques BEC?

Para poder llevar a cabo este tipo de ataques complejos son realizados por grupos de cibercriminales organizados alrededor del mundo, los cuales estudian a sus víctimas en el día a día laboral durante semanas o incluso meses, utilizan software malicioso (malware) para robar credenciales de correo electrónico, analizan el contenido de los correos electrónicos comprometidos y luego usan la información recopilada para, a través de técnicas de ingeniería social, sustraer el dinero de las víctimas. Para evitar la detección utilizan “spoofing”, para falsear sus direcciones IP de origen y parecer que se encuentran en la red del cliente.

Vectores de ataques del BEC:

1. El primer paso es lograr ganar acceso a las comunicaciones internas, correos electrónicos y equipos informáticos, para lo cual utilizan técnicas como las siguientes: a) Ingeniería Social: A través de técnicas de engaño, logran manipular a empleados de la empresa asi obtienen informacion y datos confidenciales que luego podrán utilizar para identificar a las personas claves a las cuales deberán dirigir el ataque.

b) Mail Spoofing: Conociendo ciertos datos de importancia de la empresa, utilizan técnicas de suplantación de identidad, enviando correos electrónicos, haciéndose pasar por alguien de confianza: un cliente, proveedor, un compañero de trabajo, etc. Por lo general este correo tendrá un archivo adjunto o un link dirigido a una página, la víctima abre el archivo o visita la página y es infectada con un malware, también podría dejar datos confidenciales en algún formulario a través de técnicas de phishing.

c) Malware: Una vez lograda la infección de malware en la red de la compañía, los ciberatacantes logran acceso a los correos electrónicos y computadoras de las víctimas.

d) Keylogger: También a través de herramientas de Keylogger, los atacantes recopilan valiosos datos, como claves de acceso y otra información confidencial de la empresa en general.

e) Otras técnicas: Dentro de otro tipo de ataques está el aprovechamiento de vulnerabilidades dentro del sistema informático de la empresa, así podrán lograr atacar y tener acceso a la red wifi, a los enrutadores o directamente al servidor.

2. Una vez que los ciberdelincuentes han logrado penetrar y permanecer desapercibidos en la red de comunicaciones de la institución o la empresa, inician una fase de inteligencia en la cual aprenden de sus víctimas y sus funciones diarias, estudian sus rutinas de compras y pagos, su estilo de lenguaje a través de los correos electrónicos, la documentación utilizada para los procesos de compras, las cuentas bancarias, etc. 3. Después de conocer suficientemente la operación financiera de la empresa, lanzan el ataque enviando un email al encargado de los pagos, ya sea el gerente general, el gerente de finanzas o el de contabilidad; en este email los ciberdelincuentes se hacen pasar por el proveedor o por el mismo gerente o director de la empresa, autorizando y solicitando el pago y enviando documentos iguales a los originales que siempre utilizan para los giros internacionales, pero con el número de cuenta bancaria de los cibercriminales. A diferencia de los ataques de phishing tradicionales (con excepción del spear phishing), los ataques BEC son dirigidos, diseñados para cada víctima. La mayoría de las ocasiones los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para hacer que el ataque sea lo más convincente posible. Este nivel de personalización es lo que ayuda a que este tipo de estafas por correo electrónico superen los filtros de spam y otras protecciones.
Casos BEC RD
$700,000.00 $600,000.00 $500,000.00 $400,000.00 $300,000.00 $200,000.00 $100,000.00 $
MONTO USD 2017 2018
AÑO MONTO USD
2017 $ 88,579.19
2018 $ 589,999.45
Estadísticas DICAT
De acuerdo al Internet Crime Complaint Center (IC3), del FBI, entre diciembre de 2016 y mayo de 2018, se registró un incremento de un 136% en los reportes que reciben casos de BEC. Las siguientes estadísticas están basadas en las quejas/denuncias levantadas por el IC3 en los 50 Estados de los Estados Unidos y en 150 otros países. Bancos asiáticos ubicados en China y Hong Kong continúan siendo los destinos primarios de los fondos fraudulentos; aunque se han identificado también instituciones financieras en Reino Unido, México y Turquía como destinos frecuentes.

Recomendaciones para mitigar el riesgo de fraudes BEC

1. Sea cauto con correos inesperados enviados por altos ejecutivos e intente obtener una verificación secundaria de la solicitud por un canal distinto.

2. Despliegue una campaña de concienciación a ejecutivos y otros empleados sobre ésta y otras amenazas. La mayoría de las brechas de seguridad se producen o son facilitadas por errores humanos.

3. Ajuste sus procedimientos internos para que la realización de cambios en la información o instrucciones de pago a suplidores requieran una segunda autorización.

4. Verifique doblemente las solicitudes de transferencias bancarias.

5. Asegúrese de utilizar herramientas de seguridad avanzada de correos electrónicos, no basta con soluciones anti-SPAM.

6. Utilice el sentido común.

7. En caso de que llegue a producir una transferencia fraudulenta actúe rápidamente:

a. Contacte a su institución financiera inmediatamente, ellos podrían estar a tiempo de reversar la transferencia o solicitar la congelación de los fondos.

b. Acto seguido, denuncie el caso en el Departamento de Investigación de Crímenes y Delitos de alta tecnología (DICAT) de la Policía Nacional. En adición a los procesos de investigación, la Policía tiene otros mecanismos para intentar detener las transferencias internacionales o congelar los fondos provisionalmente.