En noviembre de 2022, la policía llevó a cabo una redada en varios países contra un sistema de ciberdelincuencia como servicio (CaaS) conocido como iSpoof.
Aunque iSpoof se anunciaba abiertamente para hacer negocios en un sitio web no oscuro, accesible con un navegador normal a través de un nombre de dominio no onion, y aunque utilizar sus servicios podría haber sido técnicamente legal en tu país (si eres abogado, nos encantaría conocer tu opinión al respecto una vez que hayas visto las capturas de pantalla históricas del sitio web que aparecen a continuación)…
…un tribunal del Reino Unido no tenía ninguna duda de que el sistema iSpoof se había implantado con la intención de arruinar vidas y dinero.
El cabecilla del sitio, Tejay Fletcher, londinense de 35 años, fue condenado a una pena de prisión de más de una década.
Hasta noviembre de 2022, cuando el dominio fue retirado tras la emisión de una orden de incautación a las fuerzas de seguridad estadounidenses, la página principal del sitio tenía este aspecto:
Puede mostrar cualquier número que desee en la pantalla de llamada, esencialmente falsificando su identificador de llamadas.
Y una sección explicativa más abajo en la página dejaba bastante claro que el servicio no estaba ahí simplemente para mejorar tu propia privacidad, sino para ayudarte a engañar a las personas a las que llamabas:
Obtén la capacidad de cambiar lo que alguien ve en su pantalla de identificación de llamadas cuando reciben una llamada telefónica tuya. Nunca sabrán que has sido tú. Puedes elegir el número que quieras antes de llamar. Tu contrario pensará que eres otra persona. ¡Es fácil y funciona en todos los teléfonos del mundo!
Por si aún le quedaba alguna duda de cómo podría utilizar iSpoof para estafar a víctimas desprevenidas, aquí tiene el vídeo de marketing de la propia página, proporcionado por cortesía de la Policía Metropolitana (más conocida como «la Met») de Londres, Reino Unido:
Como verá a continuación, los usuarios de iSpoof no eran en realidad anónimos en absoluto.
Ya se ha identificado a más de 50.000 usuarios del servicio, y sólo en el Reino Unido se ha detenido e investigado a cerca de 200 personas.
En pocas palabras, si te registrabas en el servicio de iSpoof, por muy técnico o no que fueras, podías empezar inmediatamente a hacer llamadas que aparecían en los teléfonos de las víctimas como si procedieran de una empresa en la que ya confiaban.
En palabras de la Policía Metropolitana:
Users of iSpoof, who had to pay to use its services, posed as representatives of banks including Barclays, Santander, HSBC, Lloyds and Halifax [well-known British banks], pretending to warn of suspicious activity on their accounts.
Scammers would encourage the unsuspecting members of the public to disclose security information such as one-time passcodes to obtain their money.
The total reported loss from those targeted via iSpoof is £48 million in the UK alone, with average loss believed to be £10,000. Because fraud is vastly under reported, the full amount is believed to be much higher.
In the 12 months until August 2022 around 10 million fraudulent calls were made globally via iSpoof, with around 3.5 million of those made in the UK.
Curiosamente, la Met afirma que alrededor del 10% de esas llamadas en el Reino Unido (unas 350.000 en total), realizadas a 200.000 víctimas potenciales diferentes, duraron más de un minuto, lo que sugiere una tasa de éxito sorprendentemente alta para los estafadores que utilizaron el servicio iSpoof para dar a sus llamadas falsas un aire fraudulento de legitimidad.
Cuando recibe llamadas de un número en el que confía, por ejemplo, un número que utiliza con tanta frecuencia que lo ha añadido a su propia lista de contactos para que aparezca con un identificador de su elección, como Credit Card Company, en lugar de algo genérico como +44.121.496.0149…
…es más probable que confíes implícitamente en la persona que te llama antes de escuchar lo que tiene que decirte.
Al fin y al cabo, el sistema que transmite el número de la persona que llama al destinatario antes incluso de que se conteste la llamada se conoce en la jerga como identificador de llamadas, o identificación de línea llamante (CLI) fuera de Norteamérica.
Esas palabras mágicas ID e identificación en realidad no deberían estar ahí, porque una persona con conocimientos técnicos (o una persona sin conocimientos técnicos que utilizara el servicio iSpoof) podría insertar cualquier número que quisiera al iniciar la llamada.
En otras palabras, el identificador de llamadas no sólo no te dice nada sobre la persona que utiliza el teléfono que te está llamando, sino que tampoco te dice nada fiable sobre el número del teléfono que te está llamando.
El identificador de llamadas no «identifica» a la persona que llama ni al número que llama con más fiabilidad que la dirección del remitente impresa en el reverso de un sobre de correo ordinario o la dirección de respuesta que figura en el encabezamiento de los correos electrónicos que recibes.
Todas esas «identificaciones» pueden ser elegidas por el emisor de la comunicación y pueden decir prácticamente cualquier cosa que el remitente o la persona que llama elijan.
En realidad deberían llamarse Lo que la persona que llama quiere que pienses, que podría ser una sarta de mentiras, en lugar de referirse a ellas como ID o identificación.
Y hubo muchas mentiras, gracias a iSpoof, con la afirmación de la Met:
Antes de su cierre en noviembre de 2022, iSpoof no dejaba de crecer. 700 nuevos usuarios se registraban en el sitio cada semana y ganaba una media de 80.000 libras semanales. En el momento de su cierre contaba con 59.000 usuarios registrados.
El sitio web ofrecía una serie de paquetes para usuarios que compraban, en Bitcoin, el número de minutos que deseaban utilizar el software para realizar llamadas.
El sitio obtuvo grandes beneficios, según la Met:
iSpoof ganó algo más de 3 millones de libras, mientras que Fletcher se benefició de entre 1,7 y 1,9 millones de libras por dirigir y permitir a los estafadores arruinar la vida de sus víctimas. Llevaba un estilo de vida extravagante: poseía un Range Rover valorado en 60.000 libras y un Lamborghini Urus valorado en 230.000 libras. Se iba de vacaciones con regularidad, con viajes a Jamaica, Malta y Turquía solo en 2022.
A principios de 2023, Fletcher se declaró culpable de los delitos de fabricar o suministrar artículos para su uso en fraude, alentar o ayudar a la comisión de un delito, poseer bienes delictivos y transferir bienes delictivos.
La semana pasada fue condenado a 13 años y 4 meses de cárcel; otras 169 personas en el Reino Unido «han sido detenidas bajo sospecha de utilizar iSpoof [y] siguen bajo investigación policial».
CONSEJO 1. Considere el identificador de llamadas como una simple pista.
Lo más importante que debes recordar (y explicar a tus amigos y familiares que creas que pueden ser vulnerables a este tipo de estafa) es lo siguiente: EL NÚMERO DE LA PERSONA QUE LLAMA QUE APARECE EN TU TELÉFONO ANTES DE QUE CONTESTES NO PRUEBA NADA.
CONSEJO 2. Inicie siempre usted mismo las llamadas oficiales, utilizando un número en el que pueda confiar.
Si de verdad necesitas ponerte en contacto por teléfono con un organismo, como tu banco, asegúrate de ser tú quien inicie la llamada y utiliza un número que hayas averiguado por ti mismo.
Por ejemplo, consulta un extracto bancario oficial reciente, comprueba el reverso de tu tarjeta bancaria o incluso visita una sucursal y pregunta cara a cara a un empleado por el número oficial al que debes llamar en futuras emergencias.
CONSEJO 3. Esté al lado de amigos y familiares vulnerables.
Asegúrate de que los amigos y familiares que creas que pueden ser vulnerables a ser engatusados (o amedrentados, confundidos e intimidados) por estafadores, independientemente de cómo se pongan en contacto contigo por primera vez, sepan que pueden y deben pedirte consejo antes de aceptar nada por teléfono.
Y si alguien les pide que hagan algo que es claramente una intrusión en su espacio digital personal, como instalar Teamviewer para dejarles entrar en el ordenador, leer en voz alta un código de acceso secreto de la pantalla o decirles un número de identificación personal o una contraseña…
…asegúrate de que sepan que está bien simplemente colgar sin decir ni una palabra más y ponerse en contacto contigo para comprobar los hechos primero.
Constantemente hemos rechazado las solicitudes de los usuarios con respecto a las soluciones de suplantación de identidad de llamada sólo porque los usuarios pueden exponerse a muchas amenazas de seguridad una vez que el teléfono salió a la Internet salvaje. Para cambiar el número de teléfono o el identificador de llamadas se necesita un servidor de terceros al que se pueda acceder a través de la conexión de datos del teléfono. Esto se debe a que el número de teléfono no se almacena en la tarjeta SIM, sino en el núcleo de la red (servidores de red). La tarjeta SIM sólo contiene el IMSI. Ningún usuario normal puede realizar una comprobación en segundo plano para ver quién está realmente detrás del servidor que proporciona los servicios de suplantación de identidad por llamada. En realidad, esto era bastante difícil incluso para Met. En cualquier momento, estas personas pueden esconderse detrás de los servidores web que proporcionan estos servicios «seguros» y no hay nada que hacer.
Las mismas precauciones son necesarias cuando se trata de comunicaciones cifradas: no importa si pretenden que el cifrado es de extremo a extremo, un buen servicio de cifrado siempre utilizará un servidor web y la conexión de datos del teléfono. Por tanto, ya no hay privacidad ni seguridad, sino sólo riesgos. El caso anterior es un ejemplo perfecto.
Y una última cosa: la vigilancia de los teléfonos móviles se hace basándose en el IMEI (ID del teléfono) y el IMSI (ID de la tarjeta SIM). El número de teléfono (MSISDN en términos de telecomunicaciones) se utiliza sólo para calcular el IMSI, pero las fuerzas del orden y otras agencias de seguridad doméstica no necesitan el número de teléfono, ya que utilizan un dispositivo llamado «IMSI catcher» que captura el IMSI en el aire. No importa a qué servidor esté conectado el teléfono, ni qué número de teléfono o ID de llamada se utilice: el IMSI Catcher siempre capturará el IMSI de la tarjeta SIM, para interceptar las llamadas. Si no hay ninguna tarjeta SIM insertada en el teléfono (suponiendo que el teléfono está conectado a través de WIFI a un punto de acceso para acceder a Internet), entonces el IMSI Catcher sólo capturará el IMEI del teléfono, que es suficiente para la interceptación posterior, incluyendo la interceptación de datos.
Este caso, descubierto por el investigador indio de ciberseguridad Anand Prakash, no era más que un error de programación y se denomina eufemísticamente IDOR, acrónimo de Insecure Direct Object Reference (Referencia Directa Insegura a Objetos).
Artículos recientes Advertencia del FBI: utilice comunicaciones cifradas Publicado el 05 diciembre 2024 El FBI advierte a los usuarios de iPhone y Android que dejen
Este ataque permite a un atacante romper el cifrado de las llamadas de voz VoLTE y espiar las llamadas a las que se dirige. Leer el artículo completo
