34 miembros de un grupo de ciberdelincuentes han sido detenidos en nuestro país. La organización contaba con los datos de 4 millones de personas y se estima que consiguió embolsarse en torno a 3 millones de euros gracias a sus campañas de phishing en distintas modalidades, aunque la cifra podría ser todavía más alta.
El phishing es casi tan antiguo como Internet, pero sigue siendo una gran fuente de ingresos para los actores de amenazas. Y es que estos cada vez están empleando técnicas de ingeniería social más sofisticadas, capaces de engañar a los usuarios más veteranos en el campo de la ciberseguridad. Actualmente, la tecnología está avanzando a pasos agigantados y los criminales también están beneficiándose de ello, utilizando, por ejemplo, herramientas de IA generativa para asistirles en sus fechorías.
Posiblemente, el ransomware dirigido a las empresas es el que más beneficios les puede reportar a las organizaciones criminales, sobre todo en el caso de infraestructuras críticas; sin embargo, por lo general, el phishing es mucho más sencillo de implementar y, una vez que la víctima muerde el anzuelo, puede dar lugar a distintos escenarios bastante lucrativos, entre los que se encuentra el del propio ransomware.
Estas organizaciones ahora se organizan como si de una empresa se tratase y aparentemente han encontrado en el phishing su particular gallina de los huevos de oro. En España, hemos tenido casos relativamente recientes que culminaron con la detención de varios ciberdelincuentes, habiendo llegado uno de estos grupos a embolsarse la friolera de más de 5 millones de dólares en un año. Sin embargo, parece que el aumento en el número de detenciones no logra amedrentar o disuadir a otras organizaciones similares.
Ingeniería social en todas sus formas
En esta ocasión, la policía ha desarticulado una banda que actuaba de forma similar, utilizando también el phishing como cebo. La operación policial se ha saldado con la detención de 34 de sus integrantes en Madrid, Málaga, Huelva, Alicante y Murcia. Según las autoridades, se estima que, gracias a sus actividades fraudulentas, lograron ingresar casi 3 millones de euros, una cifra bastante elevada, pero que no llega a alcanzar a la obtenida por los detenidos en febrero.
Lo más notorio de este caso es que, para engañar a sus víctimas, los ciberdelincuentes empleaban técnicas de ingeniería social en casi todas sus modalidades: smishing (a través de SMS), phishing (a través de correo electrónico) y vishing (a través de llamadas telefónicas). E incluso recurrieron a otras artimañas como la estafa del “hijo en apuros”, con la que se trata de usurpar la identidad del vástago de la víctima para obtener ingresos bancarios, o la manipulación de albaranes de entrega de empresas tecnológicas.
Con respecto a esto último, hay que señalar que, según detalla la policía, uno de los miembros del grupo trabajaba en un “puesto estratégico en una multinacional tecnológica”, lo que le permitió engañar a los proveedores de la compañía para que realizasen los envíos de material y equipo tecnológicos directamente a la organización criminal.
Su modus operandi
El grupo consiguió penetrar ilegalmente en bases de datos de entidades bancarias para realizar ingresos en las cuentas de sus clientes a costa del propio banco. Posteriormente, con mucha astucia a la par que malicia, se ponían en contacto con los “agraciados” para indicarles que se había tratado de un error y que debían devolver el dinero. Para ello, les dirigían a un sitio web de phishing que simulaba ser el de la propia entidad bancaria y, gracias a ello, lograron conseguir su objetivo.
Además, la investigación se determinó que los actores de amenazas también habían logrado acceder a las bases de datos de otras empresas, obteniendo así información personal de más de cuatro millones de personas; algo que también les sería muy útil a la hora de llevar a cabo sus prácticas de ingeniería social, especialmente si hablamos de vishing, ya que lo aprovecharon para suplantar la identidad de empresas de suministro eléctrico.
