La navaja suiza de las estafas en Booking y Wallapop es un bot que lo hace todo
Las autoridades persiguen a los administradores de un bot de Telegram llamado Telekopye, capaz de dejar tu cuenta bancaria temblando en cuestión de segundos. Cómo se organiza esta red es algo totalmente surrealista
Un hombre escribe varias líneas de código en su ordenador. (Unsplash)
La ciberdelincuencia se moderniza y profesionaliza a pasos agigantados. Ya no hace falta ser un genio de la programación ni un hacker prodigio al estilo Mr.Robot para estafar a miles de personas en plataformas de compraventa y reservas online. Ahora, todo se puede hacer con unos cuantos clics y sin apenas conocimientos de informática. Telekopye es la prueba. Aunque probablemente no hayas oído antes este nombre, se ha convertido recientemente en la "navaja suiza del fraude", ya que simplifica y automatiza a más no poder el robo digital en cuestión de segundos. El mundo que rodea a esta arma es oscuro y escurridizo, pero tanto las autoridades del Estado como empresas privadas de ciberseguridad como ESET han mapeado su modus operandi. Y parece sacado de una película.
Los ciberdelincuentes organizados en torno a Telekopye se refieren a sí mismos como "neandertales", mientras que a sus víctimas las llaman "mamuts". Su metodología: generar páginas de phishing convincentes y engañar a los usuarios para que entreguen sus datos bancarios sin darse cuenta. Hoy en día, decenas de grupos de Telegram, con miles de miembros cada uno, ya se dedican a esta actividad delictiva, generando millones en pérdidas para las víctimas. Pero no todos los "neandertales" entran por voluntad propia. Según las investigaciones, algunos son forzados a participar mediante amenazas, aprovechándose de personas en situaciones económicas vulnerables.
"Se trata de una herramienta que se utiliza a través de Telegram y que lleva activa bastante tiempo. De hecho, la primera vez que se vio una de sus primeras versiones fue en 2015, aunque ahora ha sido mejorada y perfeccionada", explica Josep Albors, experto en ciberseguridad e investigador de ESET España. Sin entrar en demasiados conceptos técnicos, este bot convierte el robo de credenciales en un juego de niños. Cualquier estafador sin conocimientos puede acceder a herramientas avanzadas con solo pulsar un botón. "Los delincuentes pueden simplemente copiar y pegar los datos de un anuncio real en el bot, y Telekopye se encarga de generar automáticamente una página falsa o una pasarela de pago que imita la original a la perfección", explica Albors.
Josep Albors, experto en ciberseguridad e investigador de ESET España.
Sus creadores se mueven entre países del este de Europa como Rusia, Ucrania y Uzbekistán, desde donde suelen operar de acuerdo al idioma que usan en los comentarios del código y en la mayoría de los mercados donde se publicitan. "Sin embargo, sus objetivos son principalmente el mercado online europeo y páginas de segunda mano presentes en España como Wallapop o eBay, así como páginas de reserva como Booking o Blablacar", apunta el experto. Además, algunas versiones de Telekopye pueden almacenar incluso datos de las víctimas (normalmente detalles de tarjetas o direcciones de correo electrónico) en el disco donde se ejecuta el bot.
El proceso es el siguiente: en primer lugar, los neandertales encuentran a sus víctimas (mamuts). A continuación, intentan ganarse su confianza y persuadirles de que son legítimos. Cuando los neandertales creen que un mamut confía lo suficiente en ellos, utilizan Telekopye para crear una página web a partir de una plantilla prefabricada y envían la URL al mamut (la URL también puede enviarse por SMS o correo electrónico también diseñado por el bot). Después de que el mamut envía los datos de la tarjeta a través de esta página, los neandertales utilizan estos datos de la tarjeta para robar dinero, que ocultan o blanquean a través de diferentes criptomonedas.
Captura de un chat de Telegram con el Bot Telekopye y diferentes menús según idioma de la víctima. (ESET)
Según los investigadores, en ocasiones también aprovechan las brechas de seguridad de plataformas como Booking para acceder a datos confidenciales de clientes y reservas y contactan con los clientes haciéndose pasar por el servicio oficial, pidiendo que ingresen nuevamente los datos de su tarjeta por un supuesto problema con la reserva. "Utilizan estas filtraciones previas de bases de datos de hoteles y reservas para crear ataques hiperpersonalizados, lo que hace aún más difícil detectar la estafa", advierte Albors.
Una jerarquía interna para repartir las ganancias
El dinero robado no se transfiere directamente a los estafadores, sino que pasa por todo un sistema centralizado controlado por los administradores del bot. "Cuando un neandertal quiere recibir su pago, Telekopye revisa su historial de estafas y, si cumple los requisitos, el administrador transfiere la comisión a su monedero de criptomonedas", detalla Albors. Las comisiones varían según el rol del estafador y pueden ir del 5% al 40% del dinero obtenido. En algunos casos, los pagos son automáticos cuando se alcanza un umbral mínimo de ganancias ilícitas.
Captura de pantalla de algunos menús del bot Telekopye en Telegram. (ESET)
Los grupos que utilizan Telekopye no operan de manera desorganizada, sino todo lo contrario. De hecho, incluso cuentan con una estructura y una jerarquía con diferentes roles. En lo más bajo de la pirámide están los "trabajadores". Este es el rol más común con el que empiezan casi todos los nuevos neandertales. Pueden utilizar todas las funciones de Telekopye, excepto la moderación del grupo. Eso sí, durante el pago, este rol tiene las peores tasas de comisión.
Luego están los “buenos trabajadores” o bots de apoyo. Este rol es una mejora del rol "trabajador". La única diferencia es que los neandertales con este rol no tienen que dar un porcentaje tan grande de sus ganancias al dueño de la plataforma. Para conseguir esta posición, los cibercriminales deben demostrar su utilidad, realizando una serie de estafas o conseguir una cierta cantidad de fondos robados.
Más arriba en la escala están los moderadores, quienes pueden promover y degradar a otros miembros y aprobar nuevos miembros, aunque pueden modificar la configuración de Telekopye. Y, por último, en la cima, están los administradores, el rol más alto en el grupo. Pueden utilizar Telekopye en toda su extensión. Además de las capacidades de los moderadores, pueden modificar la configuración de Telekopye: añadir plantillas de páginas web de phishing, cambiar/añadir direcciones de correo electrónico que utiliza el bot y cambiar las tasas de pago, el tipo de pago, etc.
Dentro de esta red también se emplea un sistema de recomendaciones. Cuando un miembro quiere unirse al grupo, tiene que rellenar una solicitud (cuánta experiencia en la "industria" tiene, quién lo invitó, etc.). Esta solicitud debe ser aceptada por los moderadores o administradores. "Hemos descubierto que los reclutadores incluso se dirigen a universidades en busca de talento técnico para convencer a jóvenes promesas de la informática", señala Albors.
Parte del equipo de ESET logró infiltrarse en algunos chats de los coordinadores de estos bots y comprobaron que, en la mayoría de casos, hablaban en ruso. También se mandaban memes entre ellos y seguían un estricto horario de trabajo, como si se tratara de una jornada completa de ocho horas o más. También quedaron sorprendidos al descubrir que algunas de las personas que participaban lo hacían de manera involuntaria, pues eran personas en situaciones económicas precarias o endeudadas que eran forzadas y coaccionadas a través de amenazas para usar el bot y engrosar los bolsillos de los administradores.
Para protegerte de estas estafas, tanto ESET como las autoridades aconsejan desconfiar de enlaces recibidos por SMS o email y siempre visitar la página oficial escribiendo la URL manualmente en el navegador. También prestar atención y revisar el diseño y los errores gramaticales, ya que muchas páginas falsas contienen pequeños fallos en la escritura o el logo. Y, por supuesto, no enviar dinero sin garantías. Si compras o vendes en plataformas de segunda mano, opta por transacciones en persona siempre que sea seguro, así como sospecha de pagos forzados. Es decir, si alguien insiste en usar un método de pago desconocido para ti, es posible que sea una estafa.
La lucha contra Telekopye sigue en marcha gracias a la colaboración entre fuerzas de seguridad, investigadores y empresas tecnológicas. "Durante nuestra investigación, compartimos los hallazgos con las empresas afectadas para que puedan reforzar sus defensas y dificultar la labor de los ciberdelincuentes", asegura Albors, quien concluye que, al final del día, el éxito de estos delincuentes depende de un factor más simple: el sentido común de los usuarios.
La ciberdelincuencia se moderniza y profesionaliza a pasos agigantados. Ya no hace falta ser un genio de la programación ni un hacker prodigio al estilo Mr.Robot para estafar a miles de personas en plataformas de compraventa y reservas online. Ahora, todo se puede hacer con unos cuantos clics y sin apenas conocimientos de informática. Telekopye es la prueba. Aunque probablemente no hayas oído antes este nombre, se ha convertido recientemente en la "navaja suiza del fraude", ya que simplifica y automatiza a más no poder el robo digital en cuestión de segundos. El mundo que rodea a esta arma es oscuro y escurridizo, pero tanto las autoridades del Estado como empresas privadas de ciberseguridad como ESET han mapeado su modus operandi. Y parece sacado de una película.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcdd%2Fb6d%2Ff8b%2Fcddb6df8bffb66de45631f422e8f9643.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F447%2Fb25%2F81b%2F447b2581b8b1645c1e24d66d8a692077.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F447%2Fb25%2F81b%2F447b2581b8b1645c1e24d66d8a692077.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F4a1%2F8f2%2Fb24%2F4a18f2b24bb3c1f002cd271cd27d5f2d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F4a1%2F8f2%2Fb24%2F4a18f2b24bb3c1f002cd271cd27d5f2d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F15f%2F00e%2F55c%2F15f00e55c09e09df293b256ad721052d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F15f%2F00e%2F55c%2F15f00e55c09e09df293b256ad721052d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F2db%2F3b2%2F0eb%2F2db3b20eb8e5069a719241305c619f4c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F1de%2F281%2Fe17%2F1de281e17bbaf087a5773736d2503b9c.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F7df%2F01d%2F4a8%2F7df01d4a8a3f70ea1fac3fdbd9008760.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F6de%2Fef5%2F80e%2F6deef580e5b151dffc9e34cf212813db.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd00%2F9b5%2F084%2Fd009b50845cc8eda1afa056a8dd700d4.jpg)