Me gustaría enlazar un paper en el que se pone, de una manera ordenada y por escrito, lo que muchos piensan desde hace mucho tiempo: no siempre las implementaciones del protocolo 3-D Secure para tarjetas financieras están bien hechas.

Este protocolo, utilizado en los programas Verified by Visa y MasterCard Securecode, tiene como objetivo principal reducir el fraude con medio de pago no presente. La idea es generar, para cada plástico, un código que será requerido para autenticar una transacción de comercio electrónico. Este código ha de introducirse en una ventana generalmente independiente con el objetivo de que el legítimo titular de la tarjeta demuestre que es él y no otra persona el que está ejecutando la transacción. Este protocolo, tal y como hemos comentado, surgió con la idea de proteger a los usuarios de los fraudes con medio de pago no presente, es decir, de aquellas compras realizadas por los atacantes sin estar en posesión de la tarjeta, pero en las que se utilizan datos previamente adquiridos (generalmente por skimming o troyanización de estaciones), como el titular, el PAN o número de tarjeta, la fecha de caducidad y el código de verificación.

El documento se titula Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication y es una crítica a cómo algunas implementaciones de estos formularios de autenticación de transacciones obvian que al usuario se le lleva años educando para, entre otras cosas, tratar de discernir si el dominio donde introduce datos casa con el dominio habitual de un negocio o empresa, o para advertir la presencia de certificados HTTPS, entre otras cosas. Por otro lado, los navegadores han empujado en este sentido bastante, introduciendo mejoras como la coloración de la barra de herramientas, el resalte del nombre de dominio, la gestión de certificados, los controles antiphishing ... todo con una única finalidad: intentar que los usuarios detecten por sí mismos sitios fraudulentos o sospechosos.

Y claro, si implementas 3-D Secure y te cepillas esas medidas, flaco favor le haces a la seguridad de tus clientes y en general, al esfuerzo que durante años muchísimas personas han invertido en tratar de que las cifras de fraude, en vez de aumentar constantemente, se estabilicen o reduzcan.

Un saludo,

Aprovechando la migración a Thunderbird 3 he descargado el correo de uno de los pozos de spam con el que tengo la mala costumbre de leer correo basura de vez en cuando.

Me ha sorprendido que en esta época de industrialización de la actividad criminal tecnológica el cutrephishing siga estando vivo. He podido contar hasta 6 mensajes de finales de septiembre que ejemplifican perfectamente que no todo el mundo lleva por bandera la sofisticación. Lógicamente no se trata de un ataque fresco, y de hecho los sitios fraudulentos a los que eran remitidas las credenciales ya no funcionan, pero es un caso curioso que desde luego no suele ser el habitual cuando los amigos de lo ajeno se ponen manos a la obra.

Lo llamativo de este ataque es que es el propio usuario el que tiene que hacerse el phishing a sí mismo. Ni te invitan a seguir un enlace que simula ser la página de tu banco, ni contaminan un sitio legítimo para redirigirte a un sitio malicioso, ni te pretenden colar un troyano financiero con el objetivo de desplumarte. Cualquier cosa vale para tratar de robar datos sensibles, y si no, atentos al ejemplo. Los mensajes de correo fraudulentos que recibe el usuario son similares al siguiente:

El ataque invitaba al usuario a abrir el fichero adjunto y usar el formulario, en este caso, para realizar una hipotética reactivación de su tarjeta. Todo ello en texto plano, y sin look and feel corporativo alguno.

No os creáis que ese fichero es en realidad un downloader camuflado bajo la forma de un fichero HTML. Parte del código de ese fichero es el siguiente:

El adjunto es un triste fichero HTML que pretendía que el usuario introdujese número de tarjeta y PIN:

Lo triste de estos ejemplos es que por muy inverosímiles que parezcan, siempre hay usuarios que acaban picando. No os quepa duda.

Un saludo,

Mal día para la industria de los medios de pago española, tradicionalmente ajena a problemas severos relacionados con el fraude más allá que los delitos cometidos a través de skimming y obtención de pines en cajeros automáticos.

La noticia se ha propagado como la pólvora por los medios nacionales e internacionales. Según Expansión, las autoridades españolas están investigando, junto a las marcas Visa y Mastercard, un potencial evento de fraude masivo que según BBC tiene su origen en un presunto acto delictivo en un procesador de medios de pago.

La información publicada no es muy clara y casi todas las fuentes se refieren fundamentalmente a que algunas entidades alemanas han bloqueado preventivamente un número ingente de plásticos ante el temor de un compromiso masivo cuyo origen parece estar en España. Según comenta El Mundo, en torno a 100.000 tarjetas de débito y crédito de clientes alemanes que pasaron sus vacaciones veraniegas en España han sido bloqueadas y serán próximamente reestampadas.

La BBC va un poco más lejos, y se aventura a declarar que cualquier persona que haya usado una tarjeta Visa o Mastercard en España está en riesgo de sufrir un compromiso de su plástico. Creo que este extremo debe ser aún confirmado, y que es pronto para hacer este tipo de aseveraciones estando la investigación en marcha, pero obviamente, si finalmente es cierto que el origen del problema está en una de las procesadoras de medios de pago, a buen seguro habrá víctimas de muchas más entidades que las alemanas, ya que las redes de pago las usamos todos, no sólo los turistas alemanes. El problema podría ser de un calado sin precedentes.

Para aquellos que no sepáis lo que es una procesadora de medios de pago, comentaros que es una empresa que, como su propio nombre indica, permite procesar pagos efectuados con tarjetas, interconectando a las distintas entidades emisoras de plásticos para que las transacciones puedan ser completadas sin importar ni el origen del emisor ni del adquirente. Por poner un ejemplo claro, la interconexión entre redes de procesamiento permite que un titular de tarjeta de Unicaja (cuya red natural es Red 6000) pueda pagar en un TPV de La Caixa (cuya procesadora natural es Servired) sin que exista el más mínimo problema (más allá de que, como es lógico, la interconexión tiene unos costes). Hasta el punto que conozco en España hay tres procesadoras que operan 3 redes principales: Sermepa (Red Servired), Redy (Red 4B) y Ceca (Red 6000). Las dos primeras tenían intención de cerrar un proceso de fusión en junio de 2009, pero desconozco si están ya operando de manera conjunta o no.

Lecciones a aprender de este evento: Muchas. Estos son sólo algunos ejemplos:

• Desde el punto de vista del usuario, Usted y yo, que usamos nuestras tarjetas. No se alarme ni salga corriendo por la calle llevándose las manos a la cabeza en un acto de histeria. Las procesadoras y entidades emisoras tienen medios para detectar el fraude y la actividad inusual, por tanto, si su tarjeta dispara la más mínima alerta y es finalmente clasificada como comprometida, su entidad se encargará de bloquear la tarjeta y reemitirla de acuerdo a las condiciones del servicio. Es buena práctica, no obstante, que consulte con regularidad sus extractos (en un cajero, en línea o en una oficina) y verifique que no hay cargos no reconocidos en su tarjeta.
• Desde el punto de vista de los medios, no caigamos en el sensacionalismo y dejemos que la investigación concluya. Será entonces cuando conozcamos el auténtico alcance del evento con todo lujo de detalles. Hasta entonces, tratemos de ser razonables en lo que decimos si avanzamos información: si la prensa española se centra en que unos pobres turistas alemanes pueden haber sido víctimas de fraude, y la BBC dice que cualquiera que haya pasado por la procesadora puede tener su tarjeta comprometida, es que tenemos un problema grave en cuanto a la calidad periodística de alguna de las dos partes. Seamos un poco más críticos cuando recibimos información, ya que de poco o nada ayuda la propagación de noticias sensacionalistas sin sustento.
• Por último, en general, desde el punto de vista de la industria financiera, ratificar una vez más que la seguridad en medios de pago es un proceso que tiene que cubrir todas las etapas. Desde que se desarrolla el software que genera los datos de la tarjeta hasta que el plástico alcanza el final de su vida útil, pasando por todos los estadios posibles e imaginables, e incluyendo a todos los partícipes del proceso. Si te despistas en un sólo eslabón de la cadena, tarde o temprano llegan los amigos de lo ajeno y te hacen un agujero. Visto y comprobado.

Un saludo,

Tranquilos los amantes de Hotmail, o mejor dicho, lo que últimamente se viene llamando Windows Live Mail, que este no es un post para aburrir a nadie con comparativas absurdas sobre si es mejor Hotmail que Yahoo!, AOL o Gmail.

La noticia que nos ocupa tiene que ver con el robo de credenciales. En este ocasión los afectados no son usuarios de instituciones financieras, sino que las víctimas del ataque original, que después ha ido ampliando su ámbito a otros proveedores de correo, han sido usuarios de Hotmail.

La compañía ha reconocido en uno de sus múltiples blogs el incidente. No vamos a ahondar en la frase Phishing scheme affecting some Hotmail customers, y cómo ese some puede sonar raro cuando esos "algunos" son aproximadamente 10.000 usuarios. El caso es que mediante phishing tradicional unos atacantes han comprometido unas 10.000 cuentas Hotmail. Otros medios contabilizan 20.000 cuentas comprometidas en la segunda oleada de un ataque similar al que originalmente estaba orientado a los usuarios de Hotmail, y en el que también han caído cuentas de Gmail, Yahoo! y AOL. Google reconoce que en el paquete hay 500 cuentas suyas, y que han actuado sobre ellas. De lo que dice Yahoo! o AOL poco hay escrito.

Cuando pasan estas cosas siempre hay aspectos a reseñar de los que quizás podamos aprender. Es nuestra obligación, aunque no seamos los responsables de Hotmail ni de los otros proveedores de correo, realizar un ejercicio de crítica constructiva si vamos a opinar sobre el incidente. Estos asuntos son siempre preocupantes por muchos motivos, sobre todo porque la calidad de las contraseñas capturadas deja mucho que desear, especialmente si la contraseña más frecuente entre las sustraídas es 123456. También es preocupante comprobar como el phishing tradicional, que lleva detrás años de concienciación y esfuerzos de educación, sigue haciedo mella y produciendo resultados.

Resulta obvio que tenemos delante de las narices un problema de educación en materia de seguridad del usuario, que debería poner de su parte para mejorar en este aspecto, ya que cuando uno navega por Internet y se suscribe a servicios, hay que leerse todas las letras, entre las cuales están las recomendaciones de seguridad de los proveedores, la aceptación de unas condiciones de privacidad y confidencialidad y la aceptación de unas normas generales de uso. Cuando uno se va a hacer una cuenta Hotmail hay un apartado de preguntas frecuentes (todo sea dicho, no es que resalte tampoco), y os puedo dar fé que la respuesta a la pregunta "Cómo crear una contraseña segura" está claramente escrita y explicada, aunque se ve que parte de la gente sólo quiere recurrir al siguiente, siguiente, siguiente para irse corriendo al MSN a chatear con su flamante cuenta recién creada, dejando a un lado su obligación de entender y aceptar lo que está suscribiendo antes de usar el servicio, y qué puede aportar o qué se espera que aporte para que la experiencia sea positiva y segura.

Seamos realistas: no son pocos los casos en los que la primera necesidad que tiene el usuario al usar el MSN es pensar en qué nick chorra se pondrá para demostrar lo mafioso que es, qué frase de comentario emplear para saludar a la ristra completa de los 40 amiguetes que tiene en línea y cuál será la pose de cuarto de baño que usará a modo de fotografía. No podemos esperar que todo el mundo tenga como primera necesidad leer la documentación del producto y mostrar interés por salvaguardar su información.

Es por esto que la seguridad de los usuarios no deja de ser también responsabilidad del proveedor, ya que permite crear y utilizar contraseñas triviales como 123456 a los sujetos descritos en el párrafo anterior. Un total de las 2000 contraseñas capturadas tenía una longitud igual o inferior a 6 caracteres (las estadísticas completas las tenéis en este post de Acunetix). No sólo podemos echarle el muerto a la falta de educación y al ceporrismo de buena parte de los usuarios, que es manifiesto, sino que también hay que impedir todo lo posible que un usuario que no lee absolutamente nada salga a Internet con una clave 123456 para salvaguardar sus contactos, datos personales, correo, fotos y vida social.

¿Quieres poner de tu parte? ¿Quieres saber cómo crear una contraseña segura? Pincha en este enlace. Verás que no es tan complicado :)

Un saludo, y por favor, tratad de evitar estos engaños que recibimos por el correo. Nos va en ello nuestra privacidad, entre otras muchas cosas.

En un mundo donde se ha ido profesionalizado progresivamente el crimen, especialmente el que está relacionado con los delitos tecnológicos, somos muchos los que hacemos referencia a la complejidad creciente de la actividad delictiva, y a cómo se apoyan los delincuentes en la igualmente creciente sofisticación tecnológica.

Sin embargo, en numerosas ocasiones los fraudes más efectivos son los más simples, y no necesitan de complejas organizaciones del crimen soportando sus actividades. Creo que a estas alturas no hace falta sacar a la palestra el timo de la estampita para ejemplificar un caso de sencillez en la ejecución de un fraude. Con relación a esta simplicidad, Schneier comenta el último caso de lo que muchos considerarán inversímil, pero que por desgracia, acaba aconteciendo. Tiene que ver con tarjetas, uno de los principales focos de fraude existentes en la actualidad.

En este caso los atacantes se han valido de una tarjeta sin respaldo, es decir, no asociada a una cuenta de la que poder satisfacer débito ni crédito. Entran en una tienda, compran efectos por valor de 8000 dólares americanos, y cuando van a pagar, ante el más que previsible error del terminal punto de venta, le entregan al cajero un teléfono para que llame y verifique que la tarjeta está perfectamente respaldada. El cajero llama, un atacante coaligado con los compradores fraudulentos responde a la llamada y tranquiliza al cajero: la tarjeta está perfecta, no se preocupe. La transacción ha sido procesada correctamente. Incluso le dan un número de operación asociado al cargo. Acto seguido, los estafadores se van por la puerta con el género, y lógicamente, como podéis imaginar, mal lo tiene el comercio para no terminar asumiendo el fraude.

Sencillo pero efectivo. Los fraudes son a veces tan simples como la propia naturaleza del engaño que los sustentan.

Los casos de phishing tradicional, en su mayoría en un claro declive, siguen ofreciendo opciones para los atacantes. El cambio ha sido radical en los últimos tiempos, donde se ha pasado de ataques dirigidos casi en exclusiva a la banca a distancia a otros modelos de intento de robo de credenciales vinculados a otros servicios no financieros.

Dentro de esa tendencia de abrir nuevos nichos, las redes sociales son, aparentemente, objetivos apetecibles. Es el caso de Twitter, un conocido y extendido servicio de microblogging que goza de las simpatías de millones de usuarios. En ausencia de un móvil económico directo, me inclino a pensar que estos ataques quizás persigan generar listas de usuarios y credenciales que podrían ser comunes a otros servicios, como por ejemplo, la banca electrónica, los servicios Web de las Administraciones Públicas y en general cualquier servicio en línea en el que sí exista posibilidad de consumar fraude financiero. Habida cuenta que los usuarios de Twitter comparten mucha información personal en el servicio, realizando un mínimo seguimiento es factible crear perfiles de los mismos, los cuales podrían ser explotados igualmente en eventos de extorsión. No es descartable tampoco la ejecución de otros delitos relacionados con la suplantación de identidad, como por ejemplo, delitos contra el honor de las personas.

El sitio sigue vivo, lo que permite visitarlo para ver el montaje. La dirección es http://twitterblogs.access-logins.com/login/, y si la publico es porque las barras antiphishing principales ya tienen censada la URL como fraudulenta y es previsible su desactivación en breve. No obstante, se recomienda visitar el sitio única y exclusivamente en caso de tener muy claro lo que se está haciendo.

El falso formulario (muy logrado) efectúa una petición POST con los parámetros usuario y clave, y posteriormente, genera una redirección 302 que lleva al usuario al sitio oficial de Twitter. A lo largo de ese proceso, el formulario fraudulento se encargará de enviar las credenciales sustraídas a los atacantes. El usuario que efectúe un intento de acceso en la página falsa sólo observará como se le vuelve a mostrar la página de inicio del servicio, la legítima, un comportamiento que no todo el mundo asociará a un robo de credenciales, sino más bien como un fallo puntual del servicio, o un error en la autenticación.

Los responsables de Twitter han comentan el asunto en el blog corporativo. Recomiendo a todos los usuarios de este servicio su lectura, especialmente a los que no sabéis bien qué es el phishing.

Un saludo,

Acabo de ver en el blog de Enrique un artículo que habla de una de mis temáticas favoritas: el spam. Me gusta el texto porque enlaza a una investigación reciente en la que podemos ver números, lo que siempre ayuda a comprender la magnitud de los riesgos y amenazas tecnológicas.

Los números siempre son interesantes, ya que somos muchos los que hablamos de amenazas, pero muy pocos los que ejemplifican con magnitudes (y salvo excepciones, yo soy el primero que no se moja con frecuencia en cifras). Hoy en día, en ausencia de criterios fiables y estandarizados, cada cual cuenta la feria según la ha vivido (generalmente, en función a lo que quiere vender o promulgar), con lo que resulta muy difícil formarse criterio propio a la hora de comprender cómo de importantes son los problemas de seguridad. En otras palabras: aquí cada cual decide si lo que investiga es importante o no.

El spam, el phishing, los troyanos, las intrusiones, las extorsiones, las denegaciones de servicio, el robo o revelación de secretos industriales ... si no sabemos qué impactos tienen, a duras penas sabremos si son relevantes o no. Esas amenazas existen para ejecutar principalmente delitos financieros, provocar problemáticas legales y lograr el deterioro reputacional, con lo que sin una traducción a términos económicos las clasificaciones de lo que es importante o no dejan de ser relevantes y se tornan en papel mojado.

Spam gets 1 response per 12,500,000 emails narra cómo un grupo de siete especialistas de la Universidad de California, Berkeley y San Diego se infiltraron en la archifamosa Storm Botnet. Estos investigadores tomaron control de 75,869 máquinas comprometidas para realizar sus propias campañas de spam. Para ello reprodujeron el ciclo real de sitios ilegítimos de farmacia y venta de sucedáneos de Viagra, dos reclamos muy habituales en el correo basura.

Las cifras son contundentes: Tras 26 días, 350 millones de mensajes, el retorno de los leads se tradujo tan sólo en 28 eventos de venta, lo que implica una tasa de conversión inferior al 0.00001%. No obstante, que nadie se deje llevar por esta aparentemente pobre cifra de retornos, ya que los investigadores han estimado, en función al experimentos, que los propietarios de una red como Storm provoca ingresos de unos 7000 USD diarios (unos 5495 euros), lo que arroja unas ganancias de unos 2 millones de euros anuales. No está nada mal.

Estoy convencido que si le decimos a alguien que el correo basura sirve para ganar millones de euros, con datos en la mano, nos entenderá mejor que si les decimos que el spam es una amenaza en la que se aprovechan vulnerabilidades en máquinas conectadas a Internet para someterlas al control de botnets, y así poder integrarlas en una red de máquinas zombie mediante las cuales ejecutar envíos coordinados de correo basura cuya finalidad es la realización de fraudes, de ventas no sometidas a control y en general, cualquier evento que conduzca al enriquecimiento ilegítimo.

Un saludo,

Las redes de fraude tienen mentes inquietas, y prácticamente a diario aparecen nuevas modalidades para tender trampas a los usuarios.

Según la información de eWeek, lo último en scams son los intentos de fraude relacionados con billetes electrónicos de compañías aéreas.

Los chicos de Bitdefender tienen el honor en esta ocasión de ser el primer laboratorio que ha hecho pública la gran oleada de intentos de fraude con la temática de los billetes electrónicos de fondo. El pasado 17 de septiembre emitieron la alerta, y desde entonces, se han sucedido los ataques de este tipo. El método es clásico, pero efectivo: un correo con un adjunto comprimido ZIP, presuntamente información sobre un billete electrónico, que al descomprimirse y ejecutarse, infecta con troyanos la máquina del usuario.

Los troyanos identificados son de las familias Trojan.Spy.Zbot.KJ, Trojan.Spy.Wsnpoem.HA, Trojan.Injector.CH, con componentes rootkit para mimetizar su presencia en los sistemas. En su mayoría inyectan código orientado a crear excepciones en el firewall integrado de Windows, lo que permite crear puertas traseras a los atacantes remotos. Los analistas de Bitdefender han notado igualmente que los troyanos efectúan descargas desde servidores ubicados en la Federación Rusa, una escuela de alta productividad en términos de e-crime, con el permiso de sus socios de Brasil, China, Estados Unidos y Reino Unido.

De momento el ataque está principalmente dirigido a la población norteamericana, al menos atendiendo a las compañías aéreas que protagonizan los mensajes fraudulentos, que en su mayoría operan en los Estados Unidos. Esta segmentación por parte de los atacantes debe considerarse inteligente e intencionada, ya que la tasa de penetración de uso de servicios en línea en EEUU es muy elevada, y también es muy elevado el número de usuarios que emplean los aviones como medio de transporte en ese país, contratando un gran número de pasajes en las oficinas virtuales de las compañías. El volumen de receptores es elevado, y por una simple cuestión estadística, las probabilidades de fraude consumado se incrementan notoriamente al incrementarse la población objetivo a la que van dirigidos los intentos.

Como siempre, desconfiar de todo lo que nos llegue por correo es, por duro que parezca, la medida más eficaz para protegerse. Únicamente debemos confiar en los mensajes esperados de remitentes conocidos, recelando de cualquier otro contenido. Ante la duda, conviene ser cautos y recurrir a medidas adicionales de verificación, como por ejemplo, una llamada de teléfono ¿oye Juan, me has enviado un mensaje sobre un ticket aéreo?, ya que hablamos de especímenes capaces no sólo de capturar nuestras credenciales, sino de permitir que los atacantes se apoderen de nuestras máquinas.

Hace ya mucho tiempo que conviene ir abandonando la idea de que los intentos de fraude a usuarios sólo se producen empleando técnicas relacionadas con el ámbito bancario. Los atacantes se han diversificado, y emplean reclamos de todo tipo para ejecutar sus acciones: además de los tickets aéreos, otros ámbitos en boga son el entretenimiento, subastas en línea, servicios financieros y de intermediación, servicios informativos, impuestos, terrorismo, estudios y formación, la crisis financiera, servicios de búsqueda de empleo, redes sociales ... llegando incluso a casos donde el reclamo son las propias estafas: ver para creer.

Un saludo,

Comentan en SANS que el número de máquinas zombie integradas en botnets se ha multiplicado por cuatro en los últimos 90 días. Las máquinas zombie son aquellas que pasan a formar parte de una red gobernada (botnet) por usuarios maliciosos (botmasters), sin el conocimiento del propietario de la máquina. La integración suele basarse en la instalación de componentes maliciosos para el control remoto, principalmente a través de malware, lo que permite a los botmasters disponer de miles de máquinas para todo tipo de actividades delictivas y fraudulentas: envío masivo de spam y scams, así como ataques distribuidos de denegación de servicio, como ejemplos más representativos.

Que se hayan cuadruplicado el número de máquinas integradas en estas redes es preocupante. Por sí mismo, es un dato que indica que las máquinas vulnerables han crecido mucho (ya que de otro modo, no estarían integradas en estas redes) y por otro lado indica que los botmasters están, tras un período más o menos estable, incrementando su actividad, ya que últimamente se habían censado del orden de 150.000 máquinas por bot de media, con picos cercanos a 200.000, y durante los últimos 90 días la cuenta ha ascendido a prácticamente 500.000 máquinas integradas.

¿Quién o qué es responsable de este aumento? Sin duda, los culpables son los amigos de lo ajeno, ya que, aunque todas las máquinas del mundo fueran vulnerables, si no existieran redes de delitos tecnológicos organizadas ni usuarios malintencionados, no pasaría nada. Tampoco pasaría nada (o casi nada) si los usuarios fueran rápidos y diligentes gestionando la seguridad de sus máquinas, pero esto es entrar en un terreno utópico que a nada nos conduce.

Dejando a un lado a los principales responsables, se hace necesario investigar qué productos y/o plataformas han posibilitado, mediante las vulnerabilidades no corregidas y/o no advertidas, que los atacantes saquen tajada. En SANS ejemplifican este punto hablando de los incrementos en ataques de inyección SQL en servidores, pero a buen seguro, hay muchos más problemas de seguridad a los que podemos responsabilizar del aumento de máquinas zombie. La lista es demasiado larga para detallarla al completo, me temo.

Los datos que ha empleado SANS proceden de un estudio de Shadowserver Foundation. En la página de la fundación hay estadísticas y gráficos ampliados.

Un saludo,

Publican en F-Secure un interesante artículo donde se puede aprender un poco más cómo funciona la maquinaria underground de los atacantes a la hora de blanquear capitales y/o efectuar compras ilegítimas mediante medios de pago (tarjetas en este caso) robados fraudulentamente.

Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.

Esta técnica funciona particularmente bien por varios motivos:

* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.

* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.

* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.

Consejos para evitar ser parte de una operación ilegítima de este tipo

El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de "como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada". Esta falsa creencia es la que alimenta que existan tramas como la descrita.

Un saludo,