Peritajes & Peritos

Creo que hoy en día cualquier persona ha oído hablar de Phishing. Pero en este artículo queremos ir un poco más allá, realmente el phishing es un primer paso. Consiste en utilizar técnicas OSINT (búsquedas en fuentes abiertas) para engañar al usuario y así obtener credenciales de acceso (correos electrónicos, redes sociales, etc) u otra información confidencial,

Pero ¿qué se puede hacer con estas contraseñas una vez obtenidas?. Una identidad en la Deep Web se puede vender por 35$ con lo cual ahí ya tenemos una fuente de ingresos. Pero, a criterio de este perito, lo realmente peligroso son los ataques dirigidos, cuando se utilizan esas credenciales para acceder a información y/o sistemas y cometer un delito. Os comento un caso real, debidamente anonimizado que muestra una casuística en la que, sin una gran especialización tecnológica, se consiguió estafar a una empresa una cantidad importante de dinero.

Ataque dirigido, un caso real

Una empresa necesitaba renovar su flota de vehículos haciendo una adquisición importante (hablamos de una cantidad cercana a los 300.000 €). Dicha empresa comenzó sus negociaciones con sus proveedores comparando presupuestos, calidades, características, etc hasta encontrar el producto que encajaba en sus necesidades. Tras acordar el pedido realizó el pago de la señal del vehículo. Meses más tarde, recibió una comunicación indicando que ya estaba disponible y que debían abonar el importe restante de la transacción para cerrar la adquisición, enviándoles una factura pro-forma con un número de cuenta en el que realizar el ingreso.

La empresa realizó el abono y se quedó a la espera de recibir su vehículo hasta que un par de semanas más tarde su proveedor reclamó el pago de la deuda pendiente. Transferencia que ya se había realizado

¿Qué había ocurrido? A partir de un Phishing, la cuenta de correo de la empresa había sido comprometida. Los delincuentes se limitaban a esperar su oportunidad leyendo los correos recibidos. Cuando encontraron el correo que les interesaba (el correo en el que se solicitaba el pago del importe pendiente), procedieron a descargar su contenido. En este momento editaron con Photoshop, GIMP o un programa similar la factura proforma cambiando el número de cuenta bancaria destino de la transacción por una cuenta de una tercera persona. Crearon un dominio muy parecido al original y desde el mismo enviaron el mismo correo electrónico solicitando el pago del pedido pero adjuntando el documento con el número de cuenta cambiado.

Dado que la empresa esperaba el requerimiento de pago, coincidían los contenidos, importes, etc y que el correo origen era similar al recibido, no fueron conscientes del engaño. Cuando la empresa quiso deshacer la transacción, el dinero había volado de la cuenta destino (que por supuesto no tenía nada que ver con su proveedor).

Por supuesto se presentó una denuncia en comisaría y se investigó al titular de la cuenta destino de la transacción, pero normalmente en estos casos se trata de una “mula” la cual ha sido engañada para ceder su cuenta bancaria para una transacción aparentemente legal (a cambio de una compensación) que luego resulta que no lo es (aunque el hecho de haber sido engañado no exime de la responsabilidad por los hechos acaecidos). Las personas que acceden a este tipo de tratos suelen tener problemas económicos y buscan otra fuente de ingresos, por lo que suelen rozar la insolvencia, lo que prácticamente imposibilita la recuperación del dinero estafado.

Consideraciones y medidas a tomar

¿Qué es lo que realmente me llama la atención de este caso? Qué una vez conseguidas las credenciales del correo electrónico de la víctima, los conocimientos informáticos requeridos para poder efectuar esta estafa son medios-bajos. Ni siquiera tendría que requerir un seguimiento constante de la cuenta comprometida, bastaría con establecer una regla en el correo electrónico para que cuando se recibiera un correo electrónico del proveedor enviara este correo a una carpeta oculta o incluso lo redirigiera a un correo externo (del atacante). Bastaría con posteriormente que todos los correos “no relacionados con la estafa” fueran movidos de nuevo a la bandeja de entrada para que este hecho no fuera detectado.

¿Cómo se podría evitar este delito? Una vez comprometidas las credenciales de la cuenta, la verdad es que lo veo complicado de evitar, este tipo de estafas juegan con la confianza del usuario y adicionalmente está el hecho de que se trata de una operación que estaba planificada y esperada. La prevención en este caso pasa por una educación de los empleados para evitar el phishing que dio lugar a la vulneración de las credenciales de acceso. Aun así se pueden tomar ciertas medidas.

1.- Si un correo te resulta sospechoso verifica la dirección de origen

2.- Escribe las direcciones de correo en vez de responder al correo recibido

3.- En caso de operaciones importantes se debe hacer una verificación adicional utilizando otras vías (teléfono, etc)

4.- Otras medidas organizativas para verificar las cuentas asociadas a los pagos. Si se cuenta con una “ficha de proveedor” con una cuenta de pago predefinida, cualquier alteración de la misma generaría una alerta.

Cierto es que este caso, por ser un ataque dirigido y personalizado, tiene un nivel de dificultad en su detección mucho más alta. Pero hay otras medidas que se pueden tomar que pueden ayudar a mitigar este tipo de situaciones.

1.- Muchos de estos ataques vienen del extranjero, o incluso viniendo desde nuestro país, se pueden establecer medidas para controlar y limitar las direcciones IPs de entrada que se conectan a nuestros recursos (correo electrónico, red, ficheros, etc) de esta forma se podría evitar que, incluso con las credenciales comprometidas, se pudiera acceder al contenido.

2.- Establecer medidas en la red para controlar accesos simultáneos desde distintas direcciones IPs a los recursos corporativos. Es decir si un usuario se conecta habitualmente desde unas direcciones IP, el acceso desde otras o un acceso simultáneo desde dos localidades distintas debieran generar una alerta para los administradores (aunque esto es muy difícil de llevar a cabo en PYMES por la falta de recursos)

Desde un punto de vista pericial, las actuaciones aquí están orientadas a la búsqueda del origen de la filtración, identificación del modus operandi, identificación de los delincuentes, redacción de informe que apoye la denuncia e incluso establecer medidas para evitar casos similares en el futuro. La experiencia del profesional en este tipo de casos puede ser crítica de cara a la preservación de las evidencias, investigación y exposición de un caso que sea defendible ante instancias judiciales.

De una forma o de otra, lo que muestra este caso es la necesidad de invertir en medidas de seguridad, bien sea formación, software, hardware y/o auditorías. Y sobre todo ser prudente y verificar las operaciones, los ataques dirigidos son los más complicados de evitar y nadie está a salvo de los mismos.

Carlos Pintos

Fuente: Informática y Peritaje

Source