El estafador estafado

En un post anterior hablé sobre el crimen organizado en el mercado negro y siguiendo un poco la misma temática, vamos a ver de forma breve en este post algunos de los delitos orientados en este caso al sector bancario, además de las técnicas y métodos que utilizan los delincuentes para llevarlos a cabo.

Phishing

Probablemente es la reina de las técnicas de fraude online. El phishing es una técnica empleada por los delincuentes que mediante ingeniería social o por distribución de malware tiene como finalidad obtener información privada para acceder de manera no autorizada a determinados servicios, suplantando para ello la identidad legítima del titular.

La vía más utilizada de esta técnica es mediante correo electrónico, aunque existen variantes, descritas a continuación, dependiendo del método que se emplee.

Smishing

Consiste en la técnica de obtener información privada a través de mensajes SMS o MMS. Aunque su uso ha tenido un decremento considerable en comparación con hace unos años, todavía se pueden dar casos de este tipo.

Normalmente, se envía el mensaje suplantando una entidad bancaria, informando al usuario que ha habido un error de validación con la tarjeta y que ha sido bloqueada por motivos de seguridad, por lo que deben rellenar un formulario a través de la web para activarla.

Tal y como se espera, la web no es legítima, por lo que los usuarios si rellenan el formulario entregarán todos los datos relativos a su tarjeta a los criminales.

Vishing

En este caso los delincuentes contactan directamente con la víctima a través de llamadas telefónicas. Entre otro tipo de estafas, es común simular una entidad bancaria, informando al usuario que su tarjeta ha sido utilizada de forma fraudulenta, y al igual que en otros casos, se pide al usuario los datos bancarios, número de tarjeta, PIN, CVV y fecha de caducidad, con el supuesto fin de comprobar la identidad del usuario y posteriormente ser atendido por un operador, aunque evidentemente esto nunca llega a suceder una vez han sido robados los datos.

Whaling

Esta técnica es un caso similar al phishing tradicional, pero con la diferencia que los correos electrónicos suplantan una identidad bancaria legítima y van dirigidos hacia un destino específico, usuario habitual de banca online. El objetivo suelen ser personas con altos cargos en compañías, empresarios, o personas con importantes activos económicos.

Pharming

La finalidad del pharming es que el usuario acceda a una página maliciosa controlada por el criminal, empleando la técnica de pharming que consiste en modificar el servicio de DNS para que el usuario cuando quiera acceder a la página legítima se muestre la fraudulenta. De este modo, todo parece transparente para el usuario final, ya que ni ha tenido que pinchar en un enlace ni llevar a cabo ningún comportamiento de riesgo.

Skimming

En este caso, esta técnica es más compleja y costosa que las anteriores, ya que se trata de realizar una clonación física de las tarjetas bancarias. No vamos a entrar en detalle como sería el proceso completo (ya que esto da para otro post), simplemente mencionar que el proceso de clonación consiste en obtener la información almacenada en la banda magnética y posteriormente clonar la tarjeta físicamente.

En los delitos que hemos comentados de robo de información bancaria, todos convergen a lo mismo: obtener la información de acceso a banca online de las víctimas y también en otros casos toda la información de la tarjeta bancaria. Llegado ese punto, ¿qué hacen los delincuentes con esa información? No hay mucho misterio: robar el dinero de las víctimas y que éste llegue a manos de los cibercriminales. Para poder recibir dicho dinero los delincuentes utilizan unas personas intermedias llamadas mulas o muleros.

Una mula o mulero, en el contexto de delitos informáticos, es una persona que actúa de intermedia entre las víctimas y los criminales. El modus operandi es el siguiente: mediante diferentes técnicas se convence a personas de que reciban una cantidad de dinero, quedándose un porcentaje de dicha cantidad. El resto del dinero deben enviarlo al destino que los delincuentes le indican, normalmente mediante compañías de envío internacional de dinero como MoneyTransfer, MoneyGram, Western Union, etc. Por ejemplo, una persona recibe 3000 euros, se queda con 600 euros, y los 2400 euros restantes los envía a un destino diferente.

El método tradicional de captación de mulas se realiza mediante el envío de correos electrónicos ofreciendo una oferta de empleo para trabajar desde casa, con una dedicación de pocas horas a la semana, flexibilidad horaria y con una suculenta compensación económica.

La oferta de trabajo tiene un aspecto similar al de la siguiente imagen:

yolm

Al igual que otras estafas de phishing, dependiendo de la capacidad de los criminales, este tipo de correos estará más elaborado o menos. Los correos más elaborados adornan este tipo de estafas con detalles de todo tipo de detalles como logotipos, explicaciones argumentadas o una página web de consulta (obviamente ilícita), por lo que a mayor complejidad de elaboración aumenta de forma proporcional la credibilidad por parte de las víctimas.

Sin embargo existen otras vías para captar muleros. Por ejemplo, se suelen mandar correos para captar colaboradores en campañas de ayuda para zonas afectas por crisis, guerras o desastres naturales. En estos casos, se solicitan a los muleros que colaboren como parte de la cadena de remisión de dinero a los damnificados. Deben proporcionar una cuenta de bancaria donde recibirán un importe económico donado por parte de particulares y empresas que deberán reenviar a los responsables de la organización humanitaria.

Una vez que los criminales han captado a las mulas, se establece una red con ellos con el fin de asegurar la disponibilidad para que se puedan realizar las transferencias. Las redes de mulas se utilizan de manera que se permita a los criminales distribuir y minimizar los riesgos. Realizar esto de forma distribuida asegura que si una mula se arrepiente y se queda con el total del dinero recibido (lo que en cualquier caso no parece una táctica muy recomendable) o las transferencias se detectan como fraudulentas, los criminales no pierdan el total del dinero estafado.

Los muleros son un factor fundamental en la cadena de ejecución de este tipo de delitos, ya que sin su colaboración el dinero robado no se puede materializar y llegar a mano de los criminales.

Muchos muleros es muy probable que no sepan que se trata de una estafa, por lo que aunque son víctimas, pero en el momento que colaboran con los criminales se convierten en estafadores, cómplices y culpables del delito.