Técnicas de fraude tecnológico: dropping en el uso ilegítimo de medios de pago

Hola,

Publican en F-Secure un interesante artículo donde se puede aprender un poco más cómo funciona la maquinaria underground de los atacantes a la hora de blanquear capitales y/o efectuar compras ilegítimas mediante medios de pago (tarjetas en este caso) robados fraudulentamente.

Un ejemplo de lo anterior es lo que en la jerga de los delitos tecnológicos se conoce como drops. En resumen, un drop es una técnica mediante la cual los atacantes hacen reasignaciones de direcciones de envío para impedir o dificultar la trazabilidad de las compras ilegítimas, y de paso involucrar a terceros en los procesos de blanqueo y/o adquisición en línea ilegítima de bienes. El atacante compra, consigna como dirección de envío la de un tercero, y este tercero hace llegar el bien al atacante. Otra modalidad de drop consiste en el envío de los bienes a terceros, que venderán en línea el producto, y que reembolsarán al atacante con parte de los beneficios obtenidos en la venta, reteniendo el tercero una comisión. Las combinatorias son múltiples.

drops fsecure

Esta técnica funciona particularmente bien por varios motivos:

* A los ojos del comercio online donde ha sido usada la tarjeta robada, el envío es local o bien a países confiables. Caso de existir controles antifraude basados en la confiabilidad del lugar de envío, la dirección de envío será poco sospechosa, y por tanto, a priori, no existirán indicios de blanqueo o uso ilegítimo de medios de pago. Los controles antifraude de geolicalización se pueden burlar fácilmente empleando proxies coincidentes con el país o localidad seleccionada para efectuar el drop. Construir una petición de compra que no levante sospechas es, por tanto, relativamente sencillo, sobre todo teniendo en cuenta que los comercios con controles antifraude como los descritos son los que menos abundan, siendo algo propio de grandes servicios de venta, y no de pequeñas tiendas en línea.

* A los ojos de los atacantes, el drop hace que se involucre a terceros en la trazabilidad. El comercio no factura al atacante, sino que lo hace al tercero. En términos legales, el atacante introduce e involucra a un tercero en la operación de blanqueo o uso ilegítimo, lo que hará que las responsabilidades del uso ilegítimo no sean únicamente imputables a los estafadores, sino también a los terceros. Por otro lado, el carácter local del drop hace que en caso de investigación, los esfuerzos vayan dirigidos a resolver la parte local (la del tercero involucrado), ya que normalmente, como consecuencia de la heterogeneidad de la legislación, las Fuerzas de Seguridad tienen trabas para resolver la trazabilidad interpaís, muy costosas en algunos casos y que además, no tienen garantías de éxito.

* A los ojos del tercero, el drop implica dinero fácil. Generalmente un 25% de comisión, pagadero mediante WU (Western Union), WMZ (Webmoney), E-gold y similares, y al que se une la falsa creencia de que, como el sólo es un intermediario, no tiene que ver en el robo de datos de tarjeta, y en caso de problemas, estará exento de la responsabilidad que derive del uso ilegítimo de los datos.

Consejos para evitar ser parte de una operación ilegítima de este tipo

El consejo es único, y es el de siempre: huír del dinero fácil, y recelar de cualquier oferta de empleo que nos provoque sospechas. El riesgo de ser partícipe en una trama de blanqueo, estafa o en general, una operativa ilegal, es máximo y dado que el desconocimiento de la Ley no te exime de ella, a buen seguro serás imputado en caso de la apertura de un proceso judicial. No caigas en la falsa creencia de «como yo no he sido el que ha comprado ni robado la tarjeta, no me dirán nada». Esta falsa creencia es la que alimenta que existan tramas como la descrita.

Un saludo,

3 comentarios sobre “Técnicas de fraude tecnológico: dropping en el uso ilegítimo de medios de pago

  1. Los «terceros» como tú los llamas, forman parte activa del robo final, al transferir un bien que les ha llegado, sin solicitarlo, a cambio de una comisión. Hay una relación ‘comercial’. En el fondo es lo mismo que cuando te piden (con engaños o directamente) que seas «mulero» y que de vez en cuando recibirás una transferencia de dinero la cual, después de descontar una pequeña comisión por tu gestión, deberán hacer seguir en efectivo a otro sitio (normalmente paises del Este). ¿No escarmienta la gente o de verdad es que somos tan avariciosos?.

  2. Knight,

    De todo un poco :) los hay ignorantes, y los hay codiciosos. Por culpa de ambos subsisten estos medios de «delegación» de responsabilidad civil/penal.

    Un saludo,

Comentarios cerrados.