MNEMO-CERT presenta como caso de estudio con la perspectiva de Ciberinvestigación, un tipo de fraude que ha afectado a una gran cantidad de entidades y usuarios en los años recientes, utilizando como gancho la supuesta venta de vehículos automotores por parte de grandes marcas y/o instituciones gubernamentales.

Introducción

La Ciberivestigación es una actividad que nació como respuesta a la aparición de los crímenes que hacen uso inadecuado de las tecnologías de la información y comunicación, en específico Internet, como un medio para cumplir con sus objetivos. Hace algunos años, el mundo digital se integró al entorno de acción de los criminales, demandando el desarrollo de las habilidades necesarias para investigar eventos acontecidos en este nuevo campo de operación.

Actualmente, las actividades de Ciberinvestigación han ido más allá del ámbito criminal, aprovechando la información disponible en fuentes como OSINT para generar productos que aporten valor en diversos procesos realizados por las organizaciones. Si entendemos que en la actualidad todos tenemos un rastro digital que bajo ciertas condiciones puede ser utilizado para determinar características tan particulares como nuestro comportamiento, como lo hizo la empresas Cambridge Analytica para impulsar la campaña de Trump[1], es posible percibir el potencial que tiene la investigación con base en información disponible en el Ciberespacio.

El éxito de una Ciberinvestigación radica en tres factores principales que son: las habilidades y experiencia de los investigadores, las fuentes de información a las que se tiene acceso y la metodología de investigación utilizada. La falta de alguno de estos elementos afecta los resultados de una investigación.

Las fuentes de Inteligencia suelen clasificarse según su origen, como puede apreciarse en las mencionadas a continuación:

  • OSINT (del inglés, Open Source INTelligence) proveniente de fuentes públicas.
  • HUMINT (del inglés, HUMan INTelligence) obtenida mediante el aprovechamiento de las relaciones interpersonales.
  • GEOINT (del inglés, GEOspacial INTelligence) información geoespacial.
  • SIGINT (del inglés, SIGnal INTelligence) se deriva de la intercepción de señales.

El tipo de fuentes que se consideran durante las actividades de Ciberinvestigación dependen de los objetivos específicos que se desean cumplir, pues cada caso es diferente. Las fuentes OSINT suelen ser el insumo que permite determinar las líneas de investigación a seguir al ser las fuentes públicas un componente elemental de consulta. En este tenor, con frecuencia se tiene la percepción de que para las actividades de Ciberinvestigación tienen mayor importancia las fuentes de información que no son de acceso público (fuentes cerradas), sin tomar en cuenta que las fuentes abiertas suelen contener información de gran valor y que, además, el éxito reside en la combinación de los tres factores mencionados previamente. Por otro lado, la metodología utilizada en la Ciberinvestigación que realiza MNEMO está alineada al Ciclo de Inteligencia explicado en el artículo “Análisis de ransomware con un enfoque de inteligencia[2] publicado por MNEMO CERT. Por su parte, el factor humano – los investigadores – es la columna principal que da valor a una Ciberinvestigación. El personal experto que desempeña estas funciones debe tener la capacidad de discriminar, analizar, enriquecer y correlacionar la información, de acuerdo con el tema de interés.

Las tareas de Ciberivestigación suelen ser complejas debido a que el Ciberespacio puede describirse como un entorno Volátil, Incierto, Complejo y Ambiguo (VUCA, por sus siglas en inglés Volatile & Uncertain & Complex & Ambiguous). La Volatilidad hace referencia a algo inconstante, algo que cambia de manera abrupta tal como sucede en el ciberespacio, pues millones de recursos digitales se integran a cada instante, o “desaparecen” de un sitio para “aparecer” en otro. Lo Incierto reside en la poca certeza que se tiene en cuanto a las características del Ciberespacio, por ejemplo, la cantidad, el estado que guardan y la manera en la que interactúan los sistemas que lo componen. Cualquier administrador de una red de un tamaño considerable, como las utilizadas por las entidades financieras, podría validar lo complejo que resulta hacer un seguimiento de las características señaladas, por lo que se labora siempre con cierto grado de imprecisión. Por otro lado, la Complejidad del ciberespacio se acrecienta con cada dispositivo, aplicación y/o servicio que se integra al entorno digital. Finalmente, la Ambigüedad se debe a que hay algunas cosas en el Ciberespacio que no pueden darse por verdaderas debido a las características ya señaladas. Estas propiedades son aprovechadas por los cibercriminales.

Sin importar las peculiaridades del Ciberespacio, la Ciberivestigación ha tenido resultados notables en casos de impacto global. Un ejemplo claro es la captura de Ross Ulbricht en el 2013, quien fuera la mente detrás de “The Silk Road”, un mercado en la Deep Web conocido por algunos como “El Amazon de las drogas”. Los productos ofertados en este sitio iban desde distintos tipos de drogas y armas hasta órganos de personas, mismos que eran adquiridos sin la intervención del gobierno; siguiendo con los pensamientos libertarios de su creador. Otro hecho se presentó a mediados de 2018 cuando el Departamento de Justica de los Estados Unidos realizó una denuncia criminal contra el programador norcoreano Park Jin Hyok por los delitos de conspiración y comisión de fraude. En el documento en el que se describen las actividades ilícitas por las que se culpa a Park[3] se presentan elementos que lo ligan a un grupo de hackers conocidos con el nombre de Lazarus, relacionados a su vez con el gobierno de Corea del Norte. A este grupo se le atribuyen distintos ataques cibernéticos como el hackeo de la compañía Sony Pictures Entertainment, el ataque de ransomware WannaCry y el compromiso de distintas entidades financieras alrededor del mundo de las que pudieron extraer miles de millones de dólares.

La información proveniente de las fuentes OSINT resultó trascendental para la resolución de los casos referenciados, pues una de las líneas que permitió la captura de Ulbricht se estableció al determinar quién había sido el primero en publicar algo sobre “The Silk Road”, así como la identificación de algunas preguntas técnicas relacionadas con el desarrollo de la plataforma. Por otra parte, el vínculo de Park Jin Hyok y Lazarus se logró mediante la identificación de la infraestructura utilizada por los hackers en sus distintas operaciones. Como parte de los elementos utilizados por los ciberdelincuentes se encontraban una gran cantidad de cuentas de redes sociales (Facebook, Twitter y LinkedIn) utilizadas en actividades de ingeniería social y propagación de malware, que se ligaban con cuentas de correo electrónico utilizadas por Park. Esta relación puede apreciarse en el siguiente diagrama, extraído de la denuncia realizada por el Departamento de Justicia de los Estados Unidos en contra de Park Jin Hyok:

Imagen. Vínculo entre Park Jin Hyok y la Infraestructura utilizada por el grupo de hackers Lazarus

Si bien es cierto que para llegar a hacer la atribución puntual a una persona por actividades ilícitas realizadas en el Ciberespacio, en muchas ocasiones es necesario utilizar todos los recursos legales existentes, las pistas y rastros existentes en las fuentes disponibles en Internet (OSINT) suelen ser de gran valía si son identificadas y aprovechadas por investigadores competentes.

MNEMO-CERT presenta el siguiente caso de estudio al considerar primordial la divulgación de las técnicas utilizadas por los ciberdelincuentes, identificadas mediante un proceso de Ciberinvestigación, que se encuentran afectando entidades y usuarios con presencia en el territorio nacional para que la comunidad se mantenga alerta ante cualquier situación anormal.

Caso de Estudio: Fraude cibernético a través del abuso de imagen de grandes marcas/instituciones

Derivado de sus distintas actividades y servicios, MNEMO-CERT ha observado un incremento en la actividad referente a anuncios relacionados con la oferta de vehículos automotores en Internet por parte, supuestamente, de compañías de renombre e instituciones gubernamentales. Frecuentemente, este tipo de actividades son realizadas por delincuentes que aprovechan las plataformas tecnológicas para la comisión de acciones fraudulentas. El atractivo y efectividad de su propaganda se encuentra en los precios en los que se ofertan los diferentes tipos de vehículos automotores (aunque puede tratarse de cualquier otro bien). Para lograr atraer la atención de potenciales clientes y aumentar la probabilidad de éxito de sus actividades, los ciberdelincuentes utilizan como parte de sus anuncios los elementos principales que describen a una marca o institución: su nombre, colores y logotipo.

Este comportamiento ha afectado a una gran cantidad de personas que han resultado defraudadas al intentar realizar la adquisición de alguno de los vehículos ofertados. Asimismo, diversas entidades han sufrido una afectación reputacional derivada del mal uso de su imagen y/o marca, que es utilizada buscando otorgarle autenticidad a las publicaciones fraudulentas. A inicios del mes de septiembre del año en curso se presentó un caso de este tipo en el que se suplantó la identidad de la Secretaría de Defensa Nacional (SEDENA) mediante la cual se promovía una supuesta subasta de vehículos para el domingo 8 del mismo mes. Como respuesta a este comportamiento poco habitual la SEDENA emitió un comunicado a través de su cuenta de twitter[1], deslindándose de cualquier venta de bienes. A continuación se presenta dicha publicación:

Twit SEDENA

Twit emitido por la SEDENA

MNEMO-CERT ha identificado 3 elementos involucrados en la comisión de las actividades fraudulentas descritas, así como sus distintas variantes. A continuación se listan los componentes identificados:

  • Infraestructura tecnológica –Actividades relacionadas con los elementos técnicos necesarios para la operación.
  • Comunicación – Interacción con los interesados en la adquisición de los bienes ofertados.
  • Financiero – Gestión de los elementos necesarios para la realización de pagos que permiten a los ciberdelincuentes monetizar sus actividades ilícitas.

A nivel operativo estas actividades pueden distribuirse entre distintos actores o puede tratarse de la misma persona, lo que implica un amplio entendimiento y dominio de distintos campos de conocimiento. En la siguiente imagen se muestran los elementos descritos previamente:

Elementos involucrados fraude

Imagen 3. Elementos involucrados en la comisión de fraudes a través de la oferta de vehículos automotores

Variantes de operación

En esta sección se describirán las distintas variantes utilizadas por los ciberdelincuentes para la comisión de fraude a través de la venta de vehículos automotores, que han sido identificadas por MNEMO-CERT.

(1) Suplantación de identidad para el fraude a través de la venta de vehículos automotores

En esta variante los ciberdelincuentes crean sitios web en los que utilizan la marca/imagen de alguna entidad ampliamente reconocida para engañar a sus posibles víctimas. Estos sitios, empleados para ofertar los vehículos automotores – u otro tipo de bien -, tienen un dominio parecido al perteneciente a las entidades suplantadas, incluso presentan certificados que suelen indicar a los usuarios que se trata de sitios “seguros”. Estas tareas son realizadas por el encargado de la Infraestructura Tecnológica, quien debe contar con sólidos conocimientos técnicos.

Una vez que el sitio web se encuentra disponible, los ciberdelincuentes inician con las actividades orientadas a aumentar la probabilidad de éxito de sus estafas: la propagación masiva de sus anuncios. Para cumplir con este objetivo los usuarios mal intencionados utilizan plataformas de publicidad como Google Ads. Este tipo de soluciones permiten llegar a los usuarios a través del despliegue de anuncios que podrían ser de su interés en función de sus actividades en Internet (cookies) y de los términos de búsqueda realizados, que a su vez son elegidos por los que contratan este tipo de publicidad. MNEMO-CERT ha observado que los ciberdelincuentes también utilizan las redes sociales para propagar los sitios apócrifos creados con fines de fraude. El objetivo es establecer contacto con las potenciales víctimas, enganchadas por el interés de adquirir algún vehículoa un precio muy accesible.

Los usuarios incautos que llegan a los sitios apócrifos observan las atractivas promociones y establecen contacto con los ciberdelincuentes utilizando la información proporcionada para este fin. Este tipo de actividades están tan bien planeadas que en algunas ocasiones los ciberdelincuentes otorgan un número 01-800 como una línea de atención a clientes. Cuando los interesados en adquirir un vehículo marcan este número son recibidos por un menú interactivo en el que se sigue suplantando a la entidad elegida por los ciberdelincuentes. Sin embargo, nadie atiende en caso de solicitar hablar con un operador. Como alternativa se publica un número móvil en el que sí se responden las llamadas. En la llamada se les explica a los interesados los detalles de la adquisición de los vehículos, puntualizando que es necesario hacer un depósito para confirmar la operación y dejar de ofertar el vehículo elegido. Los ciberdelincuentes se encargan de convencer a las posibles víctimas para que realicen el depósito, llegando a negociar el valor inicial a cubrir por el bien ofertado. Estas tareas son realizadas por el encargado de la Comunicación, quién tiene respuestas preparadas para las dudas más comunes.

Los interesados que son engañados depositan un porcentaje del valor de los vehículos automotores a una cuenta otorgada por los ciberdelincuentes, quienes después de validar el movimiento dejan de responder las llamadas de los afectados, consumándose así el fraude.

Esta variante es la más compleja de identificar por los usuarios finales debido a la sofisticación del ataque, pues los portales parecieran ser legítimos, al igual que los dominios utilizados, sin olvidar la inclusión de la supuesta línea de atención a clientes.

(2) Fraude a través de la venta de vehículos automotores en portales de comercio electrónico

Las actividades de los ciberdelincuentes que operan bajo este esquema difieren del anterior únicamente en la plataforma utilizada para realizar la oferta de los vehículos automotores, pues en lugar de utilizar un sitio web creado para este fin, se hace uso de sitios dedicados a la compra venta de distintos bienes. El uso indebido de marca y/o imagen persiste al utilizar los nombres y logos de distintas entidades como parte de los anuncios realizados.

Para la implementación de este tipo de ataques se prescinde del elemento Infraestructura Tecnológica, pues las plataformas de anuncios se encuentran disponibles en Internet, en las que basta crear una cuenta para iniciar con las actividades maliciosas. El resto del engaño sucede de la misma manera que en la variante explicada arriba, consumándose cuando los interesados depositan un monto por la unidad que desean adquirir.

(3) Fraude a través de la venta de vehículos automotores en redes sociales

Este modelo de fraude podría conjuntarse con el anterior, pues lo único que cambia es el tipo de sitios en los que se realizan las ofertas de los vehículos, en este caso redes sociales. Los anuncios son realizados principalmente en Facebook y tienen las mismas características que los publicados en los sitios de comercio electrónico. Sin embargo, MNEMO-CERT decidió describirlo de manera individual por la forma en la que se realiza la afectación al usuario, ya que, a diferencia de lo que sucede en los otros esquemas explicados, se conviene una reunión con el interesado. Estos escenarios son aprovechados por los delincuentes para despojar a sus víctimas de sus pertenencias, situaciones que, en el peor de los casos, pueden terminar en homicidios.

Pistas y rastros

Todo tipo de actividad que realizamos en el Ciberespacio deja pistas y rastros, a lo que algunos denominan huella digital. Por ejemplo, cada vez que ingresamos a Google para realizar una búsqueda dejamos un rastro relacionado con el lugar desde dónde realizamos esta actividad, es así como los sitios determinan el lenguaje a utilizar y el dominio al que deben redirigirnos; lo mismo sucede cuando creamos e ingresamos a nuestras redes sociales. Así, es posible hacer un seguimiento de la actividad de alguien en el Ciberespacio siempre que se tenga acceso a los elementos necesarios de análisis. Por otro lado, aunque existen técnicas enfocadas en “ofuscar” el rastro de las actividades en el Ciberespacio, los investigadores experimentados pueden hacer inferencias basadas en las evidencias disponibles.

Para el caso de estudio presentado en este artículo existen distintas pistas que pueden seguirse, como los dominios apócrifos de los sitios de ofertas de vehículos, así como sus registrantes, las direcciones IP utilizadas en la infraestructura tecnológica desplegada, los números de teléfono y correos electrónicos de contacto y las cuentas bancarias en las que se realizan los depósitos. Siguiendo estas pistas y correlacionando la información obtenida de cada una de ellas es posible conocer con mayor detalle las operaciones realizadas por los ciberdelincuentes.

Existen pistas que pueden denotar la preparación de este tipo de operaciones, como el registro de los dominios apócrifos que, aunado al monitoreo constante del Internet enfocado en identificar el uso incorrecto de los nombres y las marcas de distintas corporaciones, como el realizado por MNEMO-CERT, podrían ayudar a disminuir el impacto de este tipo de actividades ilícitas.

Reflexiones finales

MNEMO-CERT realiza un monitoreo permanente de la actividad en Web, Deep Web y Dark Web, relacionada con diversas amenazas a las organizaciones, lo que le permite desarrollar servicios con base en la información que recolecta de éstas y otras fuentes, la cual es analizada y correlacionada de acuerdo con objetivos específicos. Entre estos servicios se encuentran la Ciberinvestigación, Inteligencia de amenazas cibernéticas, protección de  marca, vigilancia digital. Estos permiten identificar amenazas y posteriormente implementar medidas de respuesta y prevención que permitan llevar a cabo la investigación de incidentes y eventos cibernéticos específicos, así como el fortalecimiento de los controles de ciberseguridad.

MNEMO-CERT desarrolla este tipo de publicaciones con el objetivo de crear consciencia sobre la importancia de la ciberseguridad en las entidades financieras, con base en su amplia experiencia en la entrega de servicios enfocados en ayudar a las empresas a proteger sus activos tecnológicos y de información en alineación con los objetivos específicos y las operaciones críticas del negocio.

[1] https://twitter.com/SEDENAmx/status/1170069816255942656

[1] https://www.theguardian.com/uk-news/2018/mar/23/leaked-cambridge-analyticas-blueprint-for-trump-victory

[2] https://cert.mnemo.com/analisis-de-ransomware-con-un-enfoque-de-inteligencia/

[3] https://www.justice.gov/opa/press-release/file/1092091/download