Ciberinvestigación de estafas económicas a empresas usando técnicas OSINT y balizas digitales

Tiempo de lectura estimado: 8 minutos

1. Estafas Man in the middle (MITM)

MITM en el cliente

Los cibercriminales pueden ver conversaciones por mail entre clientes y empresas para obtener información, suplantando la identidad del cliente y enviando facturas falsas a la empresa con una dirección de correo electrónico modificada. Además, los propios criminales pueden tener activa una redirección e interceptar todos los correos electrónicos.

Para estos casos, existen empresas como la mostrada en la ponencia (AllPentesting) que ofrecen servicios para testear el servicio de correo y evitar estafas de este tipo mediante el análisis de la información.

MITM en proveedor

También pueden ocurrir Man in the middle con suplantación de identidad en relaciones comerciales entre entidades en licitaciones. Los cibercriminales pueden enviar las mismas facturas, pero con el número de cuenta modificado y un certificado del banco falso, con un cuerpo del mail exactamente igual al original. Para generar confianza, los criminales hacen un spoofing telefónico a la empresa, es decir, llaman a la compañía y avisan de que ha habido un cambio en el número de cuenta.

MITM en servidor de correo

Este tercer caso presenta dos empresas que establecen una relación comercial. Los ciberatacantes entran en el servidor de correo gracias a un leak de contraseña y generan una redirección para que les lleguen los correos, de forma similar al primer caso. La factura que envía una empresa solo llega a los criminales, y son ellos los que envían a la otra empresa una factura modificada, suplantando así la identidad. 

2. Tipos de ataque y otras estafas

Tipos de ataque

• Ataque homográfico: Consiste en registrar dominios con letras cambiadas manteniendo el parecido con el dominio original para que el usuario no sea capaz de distinguirlos.
• Spoofing de llamadas/SMS/email: Se trata de suplantar la identidad a través de estos medios, en ocasiones para generar confianza en la víctima.
• Suplantación de identidad con información interna: Utilizar información de, por ejemplo, los correos electrónicos para suplantar la identidad y poder enviar documentos con credibilidad (tal y como se ha visto en la primera parte de la ponencia).
• Acceso ilícito por leaks de contraseñas: Se basa en el uso de herramientas para conocer qué cuentas han sido filtradas o qué correos hay asociados a determinadas cuentas para realizar ataques.

Suplantación de identidad por TLD

Los criminales aprovechan dominios no comprados por la empresa (por ejemplo, puede tener comprado el ".es", pero no el ".com") para comprarlos y publicitarse en páginas web y ofrecer menores costes que la empresa original, consiguiendo habitualmente mejor posicionamiento y estafando así a los consumidores, que creen que están comprando en la real. 

Anuncio fraudulento en página verdadera

Se trata de otra estafa habitual, donde se publican anuncios falsos en plataformas como Airbnb. Los estafadores clonan un anuncio y ubican las viviendas en lugares diferentes. Un caso real se explica en esta publicación en Twitter del ponente. En ocasiones, Google detecta webs falsas o sitios fraudulentos/clonados para alertar al usuario. 

Phishing bancario + SIM swapping

En este tipo de estafa, llega un SMS de un banco del que no se tiene cuenta, donde se envía un enlace falso con dominio muy similar al original para introducir datos. Si se analiza el dominio con herramientas como DomainTools se puede ver, como en el caso de ejemplo, que el dominio falso puede haber sido creado poco antes. (Se recomienda visualizar la parte IV de la ponencia en vídeo para una mayor comprensión del caso real).

El SIM swapping consiste en un clonado de la tarjeta SIM del móvil, de forma que está activa tanto tu tarjeta como la copia que han obtenido los cibercriminales, pudiendo visualizar mensajes de WhatsApp. Habitualmente, puede solucionarse dando de baja la tarjeta con la compañía.

3. Uso de balizas digitales

Plataforma de balizas digitales

Se puede acceder a la plataforma aquí. Se envían enlaces acortados a diferentes usuarios para obtener información de los mismos.

Cuando el usuario hace clic en el enlace enviado, la baliza proporciona información acerca de su fingerprinting, dirección IP, sistema operativo, red móvil, ubicación... 

Casos de uso

• Desaparición de personas: utilizar un SMS suplantando la identidad de uno de los contactos para ubicar a las personas.
• Perfiles falsos en redes sociales.
• Perfiles no identificados en WhatsApp (inversiones, fraudes...).
• Correos anónimos (amenazas, estafas...). 

El uso de las balizas debe ser un uso proporcional al hecho delictivo que se investigue. En la ponencia en vídeo se muestra un caso real que incluye el uso de balizas digitales en un intento de estafa relacionado con las criptomonedas.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Eduardo Sánchez 

Eduardo es ingeniero técnico de sistemas e informático, experto en Ciberseguridad y profesor de Formación Profesional. Además, es CEO de AllPentesting y responsable de Hack&Beers.

• Redes sociales: LinkedIn.