El pasado viernes, un ciberdelincuente logró acceder a los servidores de correo electrónico del FBI para enviar mensajes falsos en su nombre que advertían sobre que los equipos de los destinatarios estaban en riesgo. Lo más preocupante es que la dirección de la que provenían dichos mensajes correspondía realmente a la institución norteamericana, lo que dejó en evidencia su seguridad y hacía más difícil detectar el engaño. Afortunadamente, el FBI informó rápidamente sobre el incidente para minimizar su impacto.
Desde hace algunos meses, sobre todo desde el ataque perpetrado contra Kaseya, el gobierno y las autoridades de Estados Unidos comenzaron a no escatimar recursos en la lucha contra los piratas informáticos, asignándoles una prioridad similar a la de los actos terroristas. Gracias a ello, lograron algunas hazañas dignas de mención como el cierre de los servidores de REvil, uno de los grupos más activos en la proliferación de ransomware, o la reciente detención de varios ciberdelincuentes con el apoyo de otros países y entidades europeos.
Evidentemente, este escenario no sólo supone una amenaza para el nuevo continente, sino que cualquier país puede convertirse en víctima. Precisamente, tras la llegada de la pandemia, el volumen de estos incidentes aumentó un 2.000% (un 95,17% en el caso del ransomware). La situación es tan complicada que la Comisión Europea ya anunció la creación de una unidad informática especial para protegerse y enfrentarse directamente al problema.
Si bien los logros recientes de estos países y organizaciones en la lucha contra el malware parecían empezar a cambiar las tornas a su favor, los criminales no se sienten intimidados y continúan ejerciendo sus actividades le pese a quien le pese. Este el caso del delincuente que logro sortear la seguridad del FBI y mandar mensajes usurpando su identidad, lo que demuestra que nadie es invulnerable.
Mensajes falsos sobre amenazas cibernéticas
Todo comenzó el viernes, cuando algunos usuarios y organizaciones empezaron a notificar que estaban llegando correos electrónicos del FBI para advertir a los usuarios sobre amenazas cibernéticas. Pero, nada de lo que aseguraban era cierto: el cuerpo estadounidense no estaba detrás de la autoría de dichos mensajes y la información que contenían era falsa.
Sin embargo, el remitente del texto (eims@ic.fbi.gov) correspondía a una cuenta real del FBI, lo que podía dar lugar a la confusión y a la credibilidad. Esto fue así porque el actor de amenazas logró acceder al servicio de correo electrónico de la institución y enviar más de 100.000 mensajes en su nombre.
Una de los primeros en dar parte del problema fue Spamhaus, organización internacional de inteligencia sobre amenazas, que destapó el engaño y señaló que las cuentas de los destinarios de los mensajes en cuestión habían sido extraídas de la base de datos ARIN, el Registro Americano de Números de Internet.
We have been made aware of "scary" emails sent in the last few hours that purport to come from the FBI/DHS. While the emails are indeed being sent from infrastructure that is owned by the FBI/DHS (the LEEP portal), our research shows that these emails *are* fake.
— Spamhaus (@spamhaus) November 13, 2021
Poco después, este hecho fue reconocido por el propio FBI en un comunicado, indicando que ya estaban al tanto del incidente, pero que, al tratarse una investigación en curso, no podían aportar detalles adicionales sobre el asunto. El mensaje continuaba diciendo que “el hardware afectado se desconectó rápidamente al descubrir el problema”.
El sábado, un día después, la organización amplió el comunicado, señalando a una configuración incorrecta del software como la principal causa del problema, ya que “permitió a un actor aprovechar temporalmente el Portal Empresarial de Aplicación de la Ley (LEEP) para enviar correos electrónicos falsos”. Sin embargo, aseguran que el servidor afectado estaba destinado exclusivamente a mandar notificaciones para LEEP y no pertenece a ninguna dirección corporativa del FBI, por lo que nadie pudo acceder o comprometer ningún dato de su red.
El objetivo: dejar en evidencia al FBI y desprestigiar a un investigador de seguridad
Algo que aún no hemos mencionado es que los mensajes falsos señalaban a Vinny Troia, investigador de seguridad en Shadowbyte, como uno de los responsables del supuesto ciberataque. No obstante, estas acusaciones corresponden a una evidente estrategia para desprestigiar a su persona, que tanto daño ha hecho a este tipo de criminales.
De hecho, él ya tiene una idea de quién puede ser el culpable de este asunto. Como indicó en Twitter, Troia sospecha que “Pompompurin”, también conocido como “The Dark Overlord”, es la figura que está detrás de estos correos falsos.
Wow I can’t imagine who would be behind this. #thedarkoverlord aka @pompompur_in https://t.co/Xd6XoZNRnl
— Vinny Troia, PhD (@vinnytroia) November 13, 2021
Debido a su larga trayectoria, su rivalidad viene de lejos. En el pasado, “Pompompurin” incluso llegó a tildarlo de pedófilo en una página sobre niños desaparecidos para tratar de arruinar su reputación. Otro punto a favor de su teoría es que el mismo sujeto le envió un mensaje que rezaba “disfruta” tan sólo horas antes del incidente, como si fuera una antesala de lo que avecinaba.
El periodista Brian Krebs consiguió entrevistar a este pirata informático y sus respuestas confirmaron las sospechas. “Pompompurin” aseguró que fue el autor del ataque, pero que sólo lo hizo para dejar en evidencia el sistema de seguridad del FBI.
Con tan sólo un simple script, logró modificar el asunto y el cuerpo de los mensajes y automatizar el envío masivo de los mismos. Según él, se ha encontrado con fallas de seguridad similares a menudo, pero «nunca antes en un sitio web del gobierno, y mucho menos en uno administrado por el FBI».