Se ofrece ciberataque gratis en Telegram: el nuevo anzuelo de los robos 'online'

"Bienvenido. Este bot está diseñado para crear páginas de phishing". Para leer este mensaje, no es necesario entrar en ninguna página web turbulenta ni tampoco hacer ninguna triquiñuela para acceder al lado más oscuro de internet. Todo es mucho más fácil: basta con tener una cuenta de Telegram y un enlace para acceder a alguno de los grupos que ofrecen todo tipo de ciberataques a la carta.

Una vez entras ahí, la oferta de servicios se disparan, aunque hay algo que llama la atención. Al igual que puede ocurrir con cualquier negocio digital, hay una cartera de servicios totalmente gratuitos para enganchar a los potenciales clientes. Si quieren más funcionalidades, empiezan a cobrar y las tarifas van subiendo: pueden ir desde los 10 hasta los 700 dólares, según lo que se requiera. Eso sí, ni siquiera hacer falta interacción humana: los bots se encargan de desarrollar todo por la otra parte, incluyendo la resolución de dudas para los principiantes.

TE PUEDE INTERESAR

Ahora pueden 'hackear' tu móvil con solo un sonido. El problema es que tú no lo vas a oír

Mario Escribano

Es lo que se conoce como phishing as a service; o lo que es lo mismo, organizaciones de ciberdelincuencia que operan de forma muy similar a las de cualquier empresa. Es algo que también se ha visto en los grupos de ransomware con operativa similar. Fue el caso de Conti, una organización prorrusa que sufrió una filtración de datos pocas semanas después de la invasión de Ucrania. Entre otros aspectos, se reveló una estructura interna prácticamente idéntica a la de una firma tecnológica.

Telegram como "sucursal de la 'darkweb"

Hace unos días, Kaspersky publicaba un informe en el que señalaba que Telegram se había convertido en una "sucursal de la darkweb", y advertían que este tipo de actividades han crecido en el último año y medio en la aplicación. "Al relacionarse a través de Telegram, los delincuentes pueden comunicarse de manera privada y segura, algo que dificulta la labor de las autoridades para identificarlos y detenerlos", explica a este periódico Marc Rivero, investigador sénior de ciberseguridad de esta firma. Así, enfatiza que han podido descubrirlos porque están "ubicados en el mismo dominio o comparten elementos de código".

Algunos de estos canales de Telegram son totalmente públicos, pero otros son privados, así que los enlaces de acceso se distribuyen a través de plataformas como YouTube o GitHub, además de foros especializados o, incluso, la propia aplicación de mensajería. Uno de los grupos que sigue esta dinámica es Legion, descubierto por Matt Muir, investigador de la firma de ciberseguridad Cado. A través de su canal de YouTube se pueden ver tutoriales como este, además de incluir un link al grupo de Telegram. En él, hay ya cerca de 1.200 miembros, aunque este estudio rastreó también otros grupos. En total, sumaban unas 5.000 personas.

Uno de los aspectos más novedosos es que la situación haya llegado al punto de ofrecer servicios gratuitos como cebo. "Si quieres servicios extra, como que actualicen los sistemas antibloqueo para que los sistemas de bloqueo no capten el phishing malicioso, te cobran un extra, como si fuera un servicio premium", comenta Daniel López, analista de ciberseguridad, que lleva tiempo investigando estas operativas y publicando los hallazgos en su cuenta de Twitter. "El método de captación es como el de cualquier empresa", recalca en conversación con El Confidencial.

No es lo único llamativo de esta tendencia. "Para promocionar su producto, los phishers crean canales de Telegram donde, en formato de blog, informan a la audiencia sobre las novedades en la creación de phishing y entretienen a los suscriptores con encuestas al estilo de '¿Qué tipo de datos personales prefieres?", explican en el informe de Kaspersky.

Así funcionan estos ciberataques

Los servicios que ofrecen van desde campañas personalizadas a los conocidos como kits de phishing, es decir, un conjunto de herramientas para crear esos ataques de forma sencilla que se envía en un archivo tipo .zip. "Al recibirlo, el primer paso es configurar el sitio web de phishing falso utilizando los archivos proporcionados en el kit. Una vez hecho, se deben personalizar los correos electrónicos", incide Rivero, que recalca que, a veces, también se incluye "plantillas de correo electrónico que se pueden personalizar con detalles relevantes sobre la víctima y el objetivo del ataque".

"Después de ese paso, lo siguiente es enviarlo a la lista de destinatarios y, cuando una víctima accede al sitio web falso, se le pedirá que proporcione su información personal o de inicio de sesión. Una vez lo hagan, la herramienta de phishing la recopilará automáticamente y la enviará al atacante, que puede utilizar la información recopilada para acceder a las cuentas de la víctima o cometer otros delitos", desarrolla el investigador de Kaspersky. El cliente de este phishing as a service, por cierto, recibe la información sustraída a través del propio Telegram.

TE PUEDE INTERESAR

"Ha habido un problema con su envío": así usan la paquetería como cebo para estafarte

Mario Escribano

"Además, algunos atacantes ponen a disposición del público archivos con datos. Si un aspirante a phisher quiere generar contenido más diverso, puede descargar kits de phishing dirigidos a muchas organizaciones", continúa Rivero. "Lo más probable es que utilicen a los principiantes para sus propios fines, porque sus creadores también pueden obtener datos personales extraídos con la ayuda de kits de phishing y bots", añade, antes de destacar que luego pueden "realizar transacciones fraudulentas con las cuentas bancarias de las víctimas".

Una de las últimas estafas distribuidas a través de esta operativa ha sido la suplantación de la Agencia Tributaria mediante SMS. "Los bots te lo dan todo hecho, incluyendo una base de datos de usuarios a los que puedes mandar el phishing, y tú ya eliges qué tipo de campaña lanzar y a quién", explica López, que fue uno de los primeros en poner sobre aviso sobre esta campaña y, avisa, ha sido creada con el mismo kit que otras anteriores que afectan a empresas de mensajería; en especial, Correos.

¿Hay forma de evitarlo?

Ahora bien, si el código se repite siempre, ¿no hay forma técnica de bloquearlo? "Es difícil de rastrear porque suelen utilizar servicios gratuitos de hosting, como GitHub Pages. Una forma de solucionarlo será que hicieran una mayor monitorización activa de lo que alojan, pero tienen mucha información en sus servidores", comenta López, que incide en que no es la única forma de alojarse en un servidor que se suele usar.

TE PUEDE INTERESAR

Este virus está atacando a los bancos españoles y se cuela a través de tu móvil

Mario Escribano

"Muchos ciberdelincuentes buscan webs que tengan una vulnerabilidad para alojar ahí su kit de phishing. Por ejemplo, una frutería de barrio que tiene una pequeña web tampoco va a monitorizar mucho todo lo que ocurre en ella, pero los atacantes siempre están buscando vulnerabilidades y, si encuentran una, pueden subir ahí su contenido", incide este especialista, que considera que se podría tener un mayor control sobre los dominios. "Muchos usan enlaces muy similares a los que suplantan, y esos son los más peligrosos. En el caso de la Agencia Tributaria, era parecido, pero con alguna letra cambiada", expone.

Aun con esas, estas herramientas se desarrollan permanentemente para evitar ser captadas. Sobre todo, aquellas que son de pago. "Al mismo tiempo, los estafadores, como parte de los servicios de pago, actualizan regularmente sus sistemas antibot para impedir que se detecte el contenido del phishing y mantenerlo así en un estado vivo", avisan en Kaspersky.