En un mundo cada vez más conectado, la sofisticación de los planes de los delincuentes cibernéticos aumenta cada día para conseguir engañar al máximo número de personas e instituciones desprevenidas. Un ejemplo reciente es el caso de Solomon Ekunke Okpe y Johnson Uke Obogo, dos ciberdelincuentes nigerianos que orquestaron una operación fraudulenta, dejando un rastro de pérdidas millonarias a su paso. Recientemente, un tribunal estadounidense los condenó a varios años de prisión por su participación en estas actividades delictivas.

Durante más de cinco años, estos criminales llevaron a cabo diversas estafas a personas desprotegidas en todo el mundo, incluyendo la suplantación de identidad en correos electrónicos empresariales (conocido como BEC, por sus siglas en inglés), el engaño a trabajadores en remoto, el fraude con cheques y las estafas con tarjetas de crédito. Desde ESET, nos sumergiremos en los entresijos de la operación de estos ciberdelincuentes para revelar cómo lograron sus metas y a partir del análisis de su manera de operar, brindaremos consejos prácticos sobre cómo evitar ser víctima de estratagemas similares.

Técnicas más usadas por los ciberdelincuentes y cómo protegerse ante ellas

Paso 1, piratear las cuentas de correo electrónico: para acceder a las cuentas de correo electrónico de las víctimas, Okpe y sus cómplices lanzaron ataques de suplantación de identidad con los que consiguieron recopilar miles de direcciones de correo electrónico y contraseñas. Además, acumulaban grandes cantidades de datos de tarjetas de crédito e información personal identificable de los más incautos.

Por lo general, la variedad más común de phishing consiste en enviar correos electrónicos que se hacen pasar por mensajes oficiales que tienen un sentido de urgencia y proceden de instituciones reputadas, como bancos, proveedores de correo electrónico y empleadores. Utilizando pretextos y evocando un sentido de urgencia, estas comunicaciones intentan embaucar a los usuarios para que entreguen su dinero, credenciales de acceso, información de tarjetas de crédito u otros datos valiosos.

Otra técnica para entrar en una cuenta es simplemente superar una contraseña débil. Las contraseñas demasiado cortas o compuestas por un conjunto de caracteres demasiado simple son muy fáciles de descifrar con la ayuda de herramientas automatizadas. Por ejemplo, si tu contraseña tiene ocho caracteres y sólo está formada por minúsculas, una herramienta automatizada puede adivinarla en untan solo par de segundos. Aunque se utilice una contraseña compleja, si cuenta con sólo seis caracteres podrá ser descifrada con la misma rapidez.

Los ciber delincuentes también suelen aprovecharse de que la gente tienda a crear contraseñas que son extremadamente fáciles de adivinar sin necesidad de ayuda de herramientas especializadas. Según una base de datos de 3TB de contraseñas divulgadas en incidentes de seguridad, la contraseña más popular en 30 países era, "password" (contraseña). En segundo lugar, estaba "123456", seguida de la ligeramente más larga (pero en realidad no mucho mejor) "123456789". Completan los cinco primeros puestos "guest" (invitado) y "qwerty". La mayoría de estos nombres de usuario pueden descifrarse en menos de un segundo.

¿Cuál es la solución entonces? La mejor opción como usuarios es utilizar siempre contraseñas o frases largas, complejas y únicas para evitar que sean fácilmente adivinadas o forzadas.

Paso 2, atacar a los socios comerciales: tras obtener acceso a las cuentas de las víctimas, Okpe y su equipo enviaban correos electrónicos a empleados de empresas que hacían negocios con la víctima, indicándoles que transfirieran dinero a cuentas bancarias controladas por los delincuentes, sus cómplices o "mulas de dinero". Estos correos electrónicos parecían proceder de la víctima, pero eran instrucciones para transferencias de dinero no autorizadas de Okpe y sus cómplices.

Estos ataques, denominados ataques de compromiso del correo electrónico comercial, son una forma de spear phishing. Mientras que los ataques de phishing habituales se extienden por toda la red y se dirigen a víctimas desconocidas, el spear phishing apunta a una persona o grupo de personas concretas. Los delincuentes estudian toda la información disponible en Internet sobre la persona objetivo y adaptan sus correos electrónicos en consecuencia.

Obviamente, esto hace que estos mensajes sean más difíciles de reconocer, pero hay algunos indicios obvios. Por ejemplo, estos mensajes suelen salir de la nada, evocan una sensación de urgencia o utilizan otras tácticas de presión, y contienen archivos adjuntos o URL (acortadas) que llevan a sitios dudosos.

Si el objetivo de una campaña de spear phishing es robar tus credenciales, la autenticación de doble factor (2FA) puede ayudarte mucho a mantenerte a salvo. Requiere que proporciones dos o más factores de verificación de identidad para acceder a una cuenta. La opción más popular son los códigos de autenticación a través de mensajes SMS, pero las aplicaciones 2FA específicas y las llaves físicas proporcionan un mayor nivel de seguridad. Cuando a un empleado le piden que haga alguna transferencia, sobre todo en un plazo muy corto de tiempo, la mejor opción es comprobar la petición con la persona que supuestamente la ha realizado.

Paso 3, engañar a la gente para que transfiera el dinero robado: en las estafas a trabajadores en remoto, la banda se hacía pasar falsamente por empleadores en línea y publicaba anuncios en sitios web y foros de empleo bajo una variedad de personajes ficticios en línea. Fingían contratar a un gran número de personas de todo Estados Unidos para puestos de trabajo desde casa y aunque los puestos se presentaban como legítimos, los estafadores obligaban a los trabajadores a realizar tareas que facilitaban las estafas del grupo. Así, las víctimas ayudaban sin saberlo a los estafadores a crear cuentas bancarias y de procesamiento de pagos, transferir o retirar dinero de cuentas y cobrar o ingresar cheques falsos.

Para evitar caer en una estafa de trabajo en remoto, lo mejor es investigar buscando el nombre, la dirección de correo electrónico y el número de teléfono de la empresa y comprobar siempre si existen quejas sobre el comportamiento y las prácticas en Internet.

Pero además de estas artimañas, Okpe y sus cómplices llevaron las estafas incluso al ámbito romántico. Estos ciberdelincuentes crearon identidades ficticias en sitios web de citas fingiendo interés en mantener relaciones románticas con personas en busca de amor. Tras ganarse la confianza de las víctimas, Okpe y otros las utilizaban como mulas de dinero para transferir dinero al extranjero y recibir efectivo de transferencias bancarias fraudulentas.

“Muchos estafadores toman prestadas estrategias del libro de jugadas de estos delincuentes lo que, a nuestro favor, hace más fácil reconocer cada movimiento y elaborar estrategias para mantenernos a salvo de ellos. Este tipo de timadores que se aprovechan de las personas en busca del amor suelen cumplir un mismo patrón” destaca Josep Albors, director de Investigación y Concienciación de ESET España.

Algunas de las tácticas más utilizadas por los ciberdelincuentes en este tipo de estafas son: profesar su amor rápidamente; hacer muchas preguntas personales a sus víctimas, pero mostrarse evasivos cuando les hacen preguntas sobre sus vidas; trasladar rápidamente la conversación del sitio de citas a un chat privado; ponen excusas enrevesadas para no quedar en persona o para participar en una videollamada; fingir vivir o trabajar en el extranjero; tener fotos de perfil demasiado perfectas y, en muchos casos contar historias tristes sobre por qué necesitan dinero, como por ejemplo para pagar gastos médicos o de viaje, visados u otros documentos importantes.

En resumen, estar informado sobre las tácticas más comunes de los ciberdelincuentes y seguir las claves de seguridad proporcionadas por expertos como ESET son fundamentales para anticiparse y protegerse contra los ciberataques más comunes. Mantener contraseñas seguras, estar atento a los intentos de phishing, verificar solicitudes de transferencia y ser conscientes de las estafas en línea son pasos cruciales y no muy laboriosos que los usuarios deben adoptar para mantenerse a salvo en un mundo digital cada vez más complejo.