en alguna ocasión he mencionado en otros foros (no en este blog) alguno de los peligros REALES que desde hace algún tiempo acechan internet; las acciones de mafias rusas como la RBN, que al parecer ahora incluso relacionan con la antigua KGB y el mismísmo Putin, las he visto, por mi trabajo, actuando muy cerca

estamos acostumbrados ya a oír hablar del problema del phishing: correos que se hacen pasar por nuestro banco, con enlaces a los que pulsamos y parece que nos llevan a la web del banco, nos fiamos y entramos con nuestro usuario y contraseña y da un error de login; ya es tarde: estábamos en un web falso que se ha quedado con ambos datos y nos ha enviado a la web real del banco para que ya no tengamos ni idea de que realmente no ha ocurrido un error, nos han capturado la información de cómo entrar y con ella, podrían quizás realizar alguna transacción (difícil sin el resto de medidas de seguridad que nuestros bancos añaden, como tarjetas de desafío con coordenadas con números que nos piden antes de hacer cualquier cosa que entrañe “riesgo”

pero la facilidad con la que los usuarios acceden a instalarse programas descargados de internet o recibidos por correo, o objetos ActiveX en el Internet Explorer de Microsoft, o incluso los errores de seguridad de sistemas operativos y programas sin actualizar que dejan totalmente indefenso al PC del usuario (ya sea ignorante o confiado), ya que basta con navegar por una página para abrirle la entrada a software silencioso y mucho más perfeccionado de lo que estábamos acostumbrados a ver en este negocio: los troyanos que provocaban hace unos añitos un despliegue de inútiles y molestos pop-ups porno, ahora se instalan y permanecen ocultos, pero trabajando: escuchando lo que tecleamos en el teclado, los movimientos y pulsaciones del ratón y en ocasiones, incluso un trozo de la imagen de pantalla donde pulsamos.

cómo funciona un troyano “keylogger” (capturador de teclas y ratón)

imaginemos un supuesto programa que no sabemos que tenemos instalado y que realiza esta monitorización silenciosa de nuestra actividad; ese programa permanece “dormido” hasta que detecta algo que le interesa a su amo (un responsable en la red mafiosa, oculto en cualquier parte de internet).

estamos escribiendo en el messenger a nuestro hijo que está estudiando en Londres, necesita que le ingresemos dinero en una cuenta allí; mientras charlamos en el messenger abrimos un navegador y tecleamos la URL de nuestro banco; las pulsaciones de teclas serán algo así:

(en el MSN) t r a n q u i l o P e p e me c o n e c t o a l b a n c o y t e h a g o a h o r a m i s m o u n a t r a n s f e r e n c i a
(en el navegador) w w w . m i b a n c o . c o m
m i u s u a r i o m i c o n t r a s e ñ a

desde el momento en que el troyano detecta que hemos escrito la dirección del banco (o incluso parte de ella, ya que los navegadores la autocompletan) y sabe que es una de las direcciones “interesantes” que su amo le ha pedido que detecte, se pone en modo de “grabación” y se queda con:

• la dirección del banco
• nuestro usuario
• nuestra contraseña
• probablemente, el resto de la navegación y pulsaciones por si son interesantes

el resto es historia; esos datos son enviados por internet y almacenados con los de otros miles de incautos, a la espera de que un “operador” de la red mafiosa los utilice en las siguientes horas para hacer pequeñas transferencias desde esa cuenta a otras controladas por “muleros” o intermediarios; las redes “profesionales” que estamos detectando son inteligentes: no vacían las cuentas, las van sangrando intentando que no se descubra rápidamente el problema; a fin de cuentas, internet permite economía de escala: hablamos de MILES de PCs infectados

algunos bancos (como alguna caja española) ofrecen un sistema que creen más seguro, consistente en que la clave, siempre numérica, debe insertarse usando el ratón, sobre un teclado ficticio en la página y que se “desordena” cada vez (intercambiando las posiciones de los números); el problema es que las nuevas versiones de estos troyanos, una vez que saben que estás en la web de una entidad bancaria, se toman la molestia de sacar pequeñas “fotos” de la zona de la pantalla donde estás pulsando, enviandolas también, de forma que saben exactamente qué dígito hemos tecleado

no sólo quieren nuestro acceso a entidades bancarias

en algunos casos hemos observado que esta grabación está detectando no sólo entidades bancarias, paypal, etc., sino información de acceso a webs (como el usuario y contraseña que he utilizado para escribir esta entrada de mi blog!), con lo que obtienen una forma de editar el contenido de otros webs. Esa información se utiliza para añadir el código “malvado” que hace que los visitantes de esos webs también se descarguen el troyano.

es decir, no sólo se quedan con información para robar, también para extender su red con más y más PCs

los PCs infectados, también pueden estar colaborando en el tema de la distribución del spam imprescindible para reclutar intermediarios (y por supuesto, para el spam de toda la vida con sus viagras, cialis y alargadores de pene!), enviando miles de correos cada día, extrayendo del correo del incauto/a todas las direcciones de sus contactos para añadir a listas de receptores de spam e incluso utilizando la dirección de correo del incauto/a o cualquiera de las mencionadas antes como remitente!

las otras víctimas: los intermediarios incautos/as

voy a entrar un momento en explicar el tema de las “muleros” o intermediarios de gestión de transferencias: vía mail (spam) o incluso web, existen ofertas para “ganar dinero desde casa”, consistentes en recibir en nuestra cuenta corriente unas cantidades de dinero que luego debemos enviar a otras (dificultando el rastro del dinero) o incluso nos piden que nos acerquemos a una oficina de envío de remesas tipo Western Union, que aceptan una dirección física por destinario y que efectivamente hace desaparecer el dinero en las manos de la mafia de turno

estas ofertas son SIEMPRE FALSAS, en la mayoría de los casos los que aceptan participar acaban recibiendo la visita de la policía por una denuncia de un tercero; pongamos un ejemplo típico:

• incauto/a recibe un correo de este tipo y acepta, se ponen en contacto con él haciéndose pasar por un negocio serio
• se le pide reciba en su cuenta una cantidad de dinero
• se le pide que la envíe por Western Union a una dirección en el extranjero y se quede por esta transacción un porcentaje (un 10% por ejemplo)
• el incauto/a lo hace y o bien piensa “estoy blanqueando dinero, seguro, pero me voy a forrar” o bien ni se imagina en qué clase de delito está participando
• al poco tiempo, recibe una llamada de su banco, de la policía, o de quien de verdad hizo la transferencia a su cuenta para pagar p.e. una cámara digital en eBay

Es decir, una persona en el otro lado del mundo vio el anuncio (falso, claro) de eBay donde por 500€ se le enviaba una cámara típicamente valorada en 800€ (esta gente no hace barbaridades, lo montan MUY bien para que no se note que es un timo). La forma de pago, transferencia (a la cuenta del incauto/a). El ganador de la subasta realiza el pago y espera su cámara. El incauto/a ve llegar el dinero y se queda un 10% y lo envía a sabe-dios-dónde.

cómo son los correos de reclutamiento

Un ejemplo del tipo de correos para reclutar muleros me lo ha enviado HOY MISMO un pariente, preguntando qué creía yo que era:

?Saludos! Nuestras encuestas demostraron que el 97% de la gente de su edad no estan satisfechas de sus ingresos y tienen ganas de aumentarlos. Por eso nos gustaria presentarle la posibilidad de trabajar con nosotros a media jornada. Para ganar 138-443 euros a la semana, tendra que gastar 2-4 horas a la semana. Tiene que tener un telefono de contacto (preferentemente un movil), un ordenador y Internet. Si lee estas lineas, significa que tiene todo lo necesario para el trabajo. La seleccion durara hasta el fin del mes. Por ahora, tenemos 91 vacancias en su pais. Tendra que tratar transferencias de nuestros clientes. Es un trabajo sencillo que exige atencion y exactitud. Proporcionaremos formacion y todo lo necesario para el trabajo. No se necesitan inversiones. ?Quienes somos? Somos un enorme intermediario internacional de automoviles. Si decide hacerse nuestro empleado, recibira como prima suplementaria el 5% de descuento sobre la compra de un automovil con nosotros y ayuda, si es necesario, en la tramitacion del credito del automovil. Me gustaria proporcionarle personalmente la informacion complementaria. No utilizamos programas automaticos de contestacion. Leemos cada email y contestamos por escrito. Para agilizar la respuesta, por favor, escribeme a la direccion: ******(tachada por mí)*****@gmail.com Gracias por indicar los siguientes datos personales: 1. apellido 2. pais 3. ?esta interesado por trabajar a jornada completa o a media jornada? Me veo obligada a avisarle que la respuesta puede tardar varios dias por causa de la gran carga de nuestros servidores de correo. Pero este seguro que su carta estara leida y que le contestaremos. Espero con inquietud su respuesta, JuanE. Jefe del servicio de personal

Con técnicas de spam de este tipo, es fácil llegar a reclutar a cientos de incauto/as en unas horas, con sólo unos cuantos millones de correos enviados.

Recordad que los que acepten son al final también víctimas del timo y tendrán que hacer frente al pago de las cantidades completas de los que hicieron las transferencias inicialmente para pagar un reloj, una videocámara o ¡un coche!

un ejemplo de lo profesionales que llegan a ser

Esta web es falsa; es la fachada impecable de un timo: pertenece a una trama organizada para reclutar muleros; simplemente está ahí para dar apariencia de seriedad y ya lo creo que la da.

Fijaos en cómo intenta tranquilizar al incauto/a que se está pensando aceptar lo del “trabajo en casa” revisando la web de quien le propone el negocio. Por ejemplo, dando apariencia de normalidad al uso de pagos “wire-transfer” con empresas tipo Western Union:

Para cuando esta web esté cerrada por la policía, ya el dinero ha corrido por las cuentas personales de los muleros y está en manos de los timadores en Rusia, la India o China.

¿cómo evitar ésto?

No creais lo que llega por email. Repito: no os creais todo lo que llega por email. Si parece demasiado bueno para ser verdad, lo será (será mentira)

¿Debo dejar de hacer transacciones en la web de mi banco/paypal/compras con mi tarjeta/etc.?

Conozco gente que tiene en un pendrive o un CD, un sistema Linux “live” completo con navegador y configurado con red, sólo para cada vez que quiere ir a la web de su banco, asegurarse que tiene un sistema LIMPIO, sin posibles troyanos. Personalmente me parece exagerar, pero en la práctica, esto funciona. Sólo que quizás está fuera del alcance de la mayoría.

La forma de intentar evitar estos líos es como sigue:

• tener un sistema operativo con su licencia válida (si no es Linux, claro, que no necesita licencia) para mantenerlo siempre, siempre, siempre actualizado, siempre al día (incluso Microsoft es terriblemente lenta en sacar parches y correcciones, pero mejor eso que no actualizar el sistema)
• tener una solución completa de seguridad, da igual que haga que tu PC vaya más lento, mejor eso que ver tu cuenta vaciarse lenta o rápidamente
• nunca, nunca, nunca instalar nada que te proponga tu navegador al visitar una página web (¡nunca, he dicho!)
• nunca instalar algo que te bajes de internet y menos si es de una red P2P; limítate a descargar lo típico, si no puedes evitar el uso de emules, torrents, azureus y similares (música, pelis, nunca ejecutables)
• nunca, nunca, nunca hacer caso de correos que vienen de tu banco o de PayPal pidiéndote conectarte para actualizar tu cuenta o detalles similares; en el 99,999% de los casos son falsos
• nunca, nunca, nunca hacer caso de correos de “gana dinero fácil sin salir de casa”

Es un mundo muy feo por ahí fuera, si os salís de los webs típicos es fácil acabar en un mal barrio, id con cuidado.