Por esta santa casa somos mucho de hacerle perder el tiempo a los cibercriminales.
A título personal, llevo años publicando historias de hackback que se hicieron virales como el día que me enamoré de la Capitana del ejército de EEUU Kristen Griest (disclaimer: salió mal :D), el día que intentaron estafar a mi madre con la compra de un robot de cocina, o cómo hicimos que los cibercriminales del fraude (aún activo) de la estafa del chulo y las prostitutas acabaran pagándole a la víctima.
Son historias graciosas, por supuesto, que funcionan bien en redes sociales, pero detrás hay un trabajo de investigación bastante extenso.
Y por el camino se han quedado numerosos intentos semejantes que, lamentablemente, terminaron antes de que pudiéramos ponerles en un aprieto a los cibercriminales.
Eso sin olvidar la de casos graves que nos llegan, donde lo que menos quieres hacer es pasar un buen rato divirtiéndote con estas bandas.
Los fraudes son muy serios, y la peor parte, como suele ocurrir, se la acaban llevando las víctimas.
Esas mismas que recurren a nosotros cuando el mal ya está hecho…
Índice de contenido
HackBack
Con este nombre se suele conocer las estrategias que seguimos algunos expertos en ciberseguridad para intentar hacer daño a aquellos que se dedican a hacer daño al resto de personas.
Generalmente, les seguimos el juego con el fraude de turno, e intentamos obtener información que nos permita denunciarlos a las autoridades, o al menos, complicarles las cosas o hacerles perder el tiempo, para que puedan afectar a víctimas reales.
Algunos casos que hemos cubierto por aquí te los he ido enlazando al principio de este artículo, y otros los tendrás al final del mismo.
Sin embargo, hoy quería hablarte de un caso sonado últimamente que ha vuelto a sacar a la palestra los límites del hackback.
«Jodiendo» el típico fraude de la empresa de paquetería
Llevamos años recibiendo de vez en cuando SMS de supuestas empresas tales como Amazon, Seur, Fedex, UPS y compañía, avisándonos de que nuestro paquete ha sido bloqueado en aduanas, y tenemos unas pocas horas para realizar el pago o lo perderemos.
Ya te digo yo que si has recibido esto, estoy 100% convencido de que es un fraude.
Los cibercriminales se amparan en que la amplia mayoría de la sociedad hacemos de forma habitual pedidos online, y que, por tanto, es probable que alguna víctima piense que se trata, en efecto, de un pedido real.
Entran en esa supuesta página de Correos o del servicio de logística de turno, mete sus datos, ¡y voilà!
Su información (datos personales y datos de la tarjeta de crédito) ya están en manos de los cibercriminales.
Lo más seguro es que al momento empieces a ver cómo intentan sacarte hasta el último euro de tu cuenta bancaria.
Y si no es así, ten por seguro que esos datos serán revendidos y aprovechados en el futuro para otras campañas de fraude o usurpación de identidad.
Con esto en mente, un usuario de Twitter (ES) decidió seguirles el juego, y ha aprovechado unos ratos libres para analizar la página a la que te llevaban (una que se hacía pasar por la del servicio de aduanas de UPS) para entender cómo funcionaba el formulario de contacto donde, supuestamente, el cliente debía poner sus datos, para automatizar un ataque que llene de basura esa base de datos robados.
Con esto ya conocido, simplemente automatizó mediante script en python el que se enviara masivamente datos falsos a esa base de datos del cibercrimen:
«Pruebo a ejecutarlo una vez. Éxito. Además con datos bastante convincentes. Una sólo no va a hacer nada, pero las otras 10.000 que les he mandado…
Ahora tienen más de 10.000 mierdas para buscar. Que les aproveche la lectura».
¿Sirven de algo este tipo de ataques contra los «malos»?
El tema, y es aquí donde quería pararme, es que el impacto de un ataque así no es que sea muy grande.
Cierto es que al menos conseguirá molestar un poco a los cibercriminales (y oye, esto es mejor que nada), pero aunque haya metido 10.000 datos falsos en esa base de datos, a poco que los cibercriminales sepan un poco de administración de sistemas, podrán segmentar qué peticiones son legítimas (es decir, provienen de víctimas reales) y cuáles han sido simplemente creadas por esta automatización en python que hizo este usuario.
A fin de cuentas:
- Todos esos nuevos campos han sido subidos desde una misma dirección IP. Una que los cibercriminales pueden, simplemente, bloquear, y también identificar, para eliminar de un plumazo todo lo metido por este héroe anónimo.
- Todos esos campos también tendrán el mismo user-agent, que es el identificador que deja nuestro navegador cuando entramos en cualquier página web. Y por ese motivo, como en el caso anterior, podrían los cibercriminales segmentar por todas las peticiones hechas por este user-agent para eliminarlas, y bloquear las futuras automáticamente.
- Todos esos campos fueron metidos en el mismo intervalo de tiempo: A fin de cuentas, se trata de un automatismo que está sistemáticamente metiendo datos en un formulario. Estos criminales pueden, simplemente, eliminar todos los datos recogidos en ese intervalo de tiempo, y aunque pierdan algún dato de víctima real, ni tan siquiera tendrían que realizar un trabajo forense mínimo (es terriblemente sencillo eliminar de una base de datos la información recopilada en un intervalo de tiempo).
Y pese a todo…
Y pese a todo, quiero pensar que este tipo de hackbacks sirvan de algo.
Cuanto menos, como decía, les hará perder algo de tiempo a los cibercriminales.
Tiempo que no estarán estafando a otras víctimas.
Descontando el hecho de que muy probablemente, estemos ante personas sin grandes conocimientos técnicos (recordemos que la mayor parte de la industria del cibercrimen está formada por usuarios con conocimientos básicos de informática, que simplemente compran o licencian herramientas de hacking creadas por hackers de verdad para perpetrar sus ataques), por lo que siempre quedará la duda de si, llegados a este punto, serían capaces de identificar qué datos son reales y cuáles falsos, o tendrían los conocimientos suficientes como para realizar alguna de estas tres acciones antes comentadas.
Por último, no quería terminar el artículo sin recordar que este tipo de ataques solo deberían hacerlos los que nos dedicamos a la ciberseguridad, tomando las medidas oportunas.
A fin de cuentas, recordemos que estamos ante cibercriminales, es decir, gente sin escrúpulos, y que siempre corremos el riesgo de cabrearles lo suficiente como para que quieran tomar represalias contra nosotros.
Servicio de asesoramiento a víctimas de fraude
Desde CyberBrainers ofrecemos un servicio de asesoramiento a víctimas de cualquier tipo de fraude cibernético.
Gracias a él, revisamos cada caso por separado, te explicamos qué opciones tienes, y te ofrecemos soporte en aquello que necesites (ayuda legal, asesoramiento técnico para evitar problemas futuros…).
Además, si hay posibilidad de recuperar el dinero robado, te ayudamos con la recuperación.
Si has sido víctima de alguno de estos timos, ponte en contacto con nosotros y revisaremos el caso.
Otros timos que deberías conocer
- 3 elementos que delatan a las campañas de phishing o fraude por email
- ¿Qué hacer en caso de haber sido víctima de un fraude?
- ¿Como recuperar el dinero robado?
- Cómo nos protegemos de los fraudes en Internet
- El día que ligué con una capitana del US Army (fraude de la novia rusa)
- Cómo funciona el timo de la extorsión a cambio de no divulgar supuesto contenido sexual o pornográfico
- Cómo estafaron a mi pareja con un producto vendido en Instagram
- Cómo funcionan los fraudes de descargar libros o películas GRATIS
- Cómo estafaron a mi madre con un producto vendido por Wallapop
- Cómo funciona la estafa del pellet
- Cómo funciona el fraude que se hace pasar por un aviso de la DEHÚ
- Cómo funciona el robo de cuentas de WhatsApp y para qué se utiliza
- Qué tipos de fraude por Wallapop existen
- Cómo me intentaron estafar con el alquiler de un piso
- Cómo funcionan los fraudes por Facebook
- Cómo funciona el timo de la compra de fotos o arte NFT
- Cómo me estafaron 400 euros con un producto vendido en Amazon
- Cómo funcionan los fraudes basados en iCloud
- Cómo funciona la estafa del chulo y las prostitutas
- Cómo funciona el fraude de BlaBlaCar
- Cómo funciona el fraude del viejo contacto
- Cómo funcionan las estafas con criptomonedas de tipo Rug Pull
- Cómo funcionan los fraudes dirigidos a creadores de contenido
- El papel de los muleros en el cibercrimen
- Así de fácil es caer en una campaña de phishing
- Cómo saber si ese producto de Apple que estás comprando es verdadero o falso
Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂
