La venta ilegal de software y la conexión con el blanqueo de capitales

Hola a todos,

En numerosas ocasiones, cuando nos referimos a la cadena crimen organizado, delitos tecnológicos y prevención de blanqueo de capitales, hablamos de spam. A mí el spam me preocupa bastante, porque tengo la sensación de que por cultura y por longevidad de esta amenaza, el spam se ha quedado infravalorado, identificándose únicamente con la molestia de recibir basura en el correo. La escasa cobertura que dan los medios al spam ha contribuído a que la gente, en general, entienda que el spam es sólo cuestión de borrar mensajes no deseados de la bandeja de entrada, y nada más lejos de la realidad.

El spam es una herramienta muy utilizada para muchas actividades delictivas. Una de ellas es dar a conocer a los usuarios la existencia de determinados comercios online, que realmente son tapaderas cuya única finalidad es acabar recuperando nuestros datos para seguir la cadena delictiva. En otras ocasiones, las tiendas online de este tipo se emplean para lavar dinero procedente de otras actividades ilegítimas. En este ejemplo real que vamos a documentar, se emplea una tienda no legítima con la finalidad de sustraer los datos operativos de tarjeta de crédito del usuario.

Estos datos de tarjetas posteriormente se suelen emplear para blanquear capitales, y es que en contra de lo que podamos imaginar, los autores de estos montajes no son usuarios particulares que correrán a darse un capricho con nuestra tarjeta recién robada. Hablamos de crimen organizado, y los datos sustraídos se utilizarán para muchas cosas: para efectuar compras y blanquear capital, generalmente procedente de asuntos turbios como la extorsión, el terrorismo o el robo de credenciales, por citar algunos ejemplos, o bien para ser incorporadas a bases de datos operadas por siniestros personajes, que algún día decidirán darle un uso ajeno al deseable.

El correo gancho

Los correos gancho son muy variables. Los correos elaborados y bonitos son efectivos en términos de marketing, pero lastran demasiado a los servidores de envío de spam y dan demasiadas pistas a los mecanismos antispam. Además, los autores de estas estafas conocen bien que por muy malo que sea el correo gancho, más de uno acabará picando. Es normal que se simultaneen envíos elaborados (spam de calidad) con spam poco elaborado (de análisis) para así poder determinar:

a) Ratios de eficiencia en la entrega de correo en función del tipo de mensaje emitido
b) Técnicas para que los servidores antispam no corten los mensajes entrantes y lleguen a las víctimas potenciales
c) Ratios de conversión (relación entre spam enviado y credenciales sustraídas)
d) Cadenas mail basuramail impacto, en las que se purgan bases de datos para ser sometidas después a envíos personalizados y segmentados con alta probabilidad de impacto.

spam

Este ejemplo que véis es lo que podemos denominar spam poco elaborado, y huelga explicar los motivos. No obstante, es efectivo, ya que no lo ha cortado el servidor antispam, con lo que el primer objetivo está cumplido. Obviamente, la calidad como gancho es más que discutible, aunque os puedo asegurar que el público receptor de spam tiene tantos y tan variados comportamientos que no se puede dar por sentado de entrada que nadie visitará el enlace que aparece emborronado.

De todos modos, este mensaje es aparentemente la antesala a un spam de calidad que no incluirá los destinatarios filtrados que se eliminen en el proceso de depuración del spam (mensajes rechazados, correos no contestados). Y además de ayudar a filtrar, el mensaje es en sí una trampa que está accesible a gente curiosa o interesada que los convierte en víctimas potenciales.

La tienda online

La verdad es que los sitios de venta online fraudulentos están mejorando mucho en términos de calidad.

tienda fraudulenta

Los ganchos que se emplean habitualmente, además de un cuidado aspecto gráfico, son la falsa sensación de tienda normal, ya que está montada en HTTPS, con su «candadito» y toda la parafernalia, sección de contacto, mapa de web, carrito de la compra etc. Y como colofón, encima contiene grandes ofertas irresistibles para el usuario:

tienda fraudulenta

La (presunta) compra

Una vez hemos seleccionado lo que queremos comprar, pasamos por caja. Como no podía ser de otro modo, el clásico formulario:

tienda fraudulenta

El formulario tiene un comportamiento curioso. La primera vez que introducimos datos, aparece una pantalla del tipo «su transacción no ha podido ser completada», reinténtelo de nuevo en 20 minutos empleando otra tarjeta de crédito. Es notorio que, al menos en este caso, hay controles de validación preestablecidos, como longitud de la PAM de la tarjeta y longitud del CVV, pero sin embargo, en un evento de transacción fallida, no se detalla que hemos introducido datos erróneos. Simple y llanamente, hay un error.

A partir de aquí, no importa lo que pogamos en el formulario, siempre dirá que la tarjeta introducida es inválida (sin pasar por pasarela de verificación alguna). El objetivo es que el usuario crea que su tarjeta no funciona, e introduzca datos de otra tarjeta. Cuantas más mejor.

tienda fraudulenta

Muchos usuarios pensarán que la tienda no funciona. Apagarán el ordenador, se acostarán o se irán a dar una vuelta, y probarán mañana. Es muy probable que cuando vuelvan a usar su tarjeta, haya cargos ya efectuados por parte de los atacantes, y si la tarjeta tiene límites elevados, a buen seguro nos habrán hecho un pequeño agujero. También es probable que no notes movimiento alguno, y que tus datos pasen a una base de datos de los atacantes, que un buen día necesitarán blanquear dinero, y harán compras con tu tarjeta. Sea como fuere, cada vez que has pulsado el botón «enviar» del formulario, una petición HTTP POST ha llevado por correo (mailer en PHP en este caso) tus datos a los malos de la película.

Ni que decir tiene que atrás quedan comprobaciones como que el dominio de la tienda fue registrado hace dos días (qué rápido habilitan un negocio, eh), que la presunta pasarela de pago es sólo un script montado en HTTPS y que no hay más contenidos en ese otro dominio (también registrado recientemente) y que los datos de contacto son falsos. Lo previsible.

Las tarjetas robadas y el blanqueo de capitales

Tal y como comentábamos, la intención de robar números de tarjeta no es otra que blanquear capitales. En este tipo de comercios online podemos tener dos vertientes principales de funcionamiento:

a) Tiendas fraudulentas, como la mostrada, en la que se pretende recoger información financiera de usuarios para ser usada posteriormente en actividades de blanqueo.

b) Tiendas con productos muy rebajados, donde se ofrece realmente software muy rebajado, y donde finalmente se produce una compraventa. En este caso el software adquirido ha sido comprado previamente por los atacantes, empleando tarjetas o credenciales bancarias robadas. El objetivo en este caso es blanquear el capital procedente de otras actividades ilícitas, transformando el robo primario de credenciales en actividades de compraventa, más difícilmente trazables. El gancho para inducir a las compras muy rebajadas suele ser «compre que no pasa nada», lo cual no es cierto, ya que en muchas jurisdicciones adquirir productos robados siendo conscientes de que lo son es ilegal. España, y corríjanme los letrados, es uno de esos países. Esto tiene nombre y apellidos en el Código Penal: delito de receptación.

En estas tiendas suele haber una dualidad: yo pago con mi tarjeta un paquete de software que ha sido comprado con medios de pago robados, y por otro lado, la página recoge mis datos bancarios para usarlos en blanqueos posteriores. ¿O pensabas que ellos se iban a limitar sólo a venderte el software?

Mucho cuidado siempre con las ofertas y con este tipo de actividades. Recelar siempre de los chollos en la red es siempre garantía de éxito.