Una Campaña de Smishing con SMS Spoofing usando a la Dirección General de Tráfico con la Operación Salida de Libro

La semana pasada me llegó a mi número de teléfono personal un ataque de Smishing para capturar mis datos personales y, por supuesto, mi tarjeta de crédito. El gancho, que la Dirección General de Tráfico (DGT) me había puesto una multa durante la Operación Salida de Agosto y, cumpliéndose el mes, se me acababa el tiempo para pagarla con Descuento.

Figura 1: Una Campaña de Smishing con SMS Spoofing usando

a la Dirección General de Tráfico con la Operación Salida de Libro

El mensaje me vino por SMS, como he dicho, y utilizaba técnicas de SMS Spoofing para que se colara dentro del flujo de mensajes que recibo de la DGT cuando utilizo su app, así que los atacantes prepararon bien la campaña.

Figura 2: El Smishing con el el dominio de Phishing

haciendo SMS Spoofing con el número de la DGT

Ví el mensaje desde el iPhone, sin tener mis gafas a mano y pensé... ¡porras! una multa. El SMS Spoofing, añadido a que alguna vez de eses muy raras he sufrido una "multilla" con mi Malignomóvil, hacía que esa posibilidad estuviera dentro del universo de lo posible. Pero no sólo eso, sino que cuidaron todos los detalles como manda el manual del buen Ciberestafador, como bien nos cuenta Juan Carlos Galindo en su pedazo de libro.

Figura 3: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Si me has visto utilizar el iPhone cuando no tengo las gafas a mano, habrás visto que golpeo con mis tres deditos para hacer uso de la lupa. Sí, ver de cerca bin sin gafas no es una de mis capacidades hoy en día, así que uso las opciones de accesibilidad para aumentar el contenido de la pantalla, así que hice clic en el enlace - que veréis que está claro que es un sitio de phishing -, y entré a ver la web.

Figura 4: La web de phishing para mobile

No saltó ninguna protección de Apple Safari para iOS de sitio fraudulento, y la multa describía el hecho el día 1 de Agosto, en plena Operación Salida. Ese fin de semana yo tenía que viajar, que me incorporaba, como ya os conté, al lunes siguiente en Cloudflare, así que viajaba ese día. 

Figura 5: La web de phishing pide datos y los valida

Era fin de mes, había pasado todo el mes de Agosto y caducaba la Reducción del 50% así que decidí que mejor pagarla cuanto antes, pero como no tenía gafas a mano, copie el SMS y me lo envíe por Telegram a los Saved Messages para hacerlo desde el ordenador, a gran pantalla.

Figura 6: Y tras los datos, debes dar los datos de tu tarjeta de crédito.

Si lo haces, te va a salir caro el "descuento" de la multa.

Me puse las gafas, y confiado por todo el proceso, hice clic, y en ese momento me saltó un error de NGINX en el navegador  - Google Chrome para MacOS -, y fue cuando acabó la magia. Ahí ya me fijé en la URL, y como os podéis imaginar, me di cuenta de todo. El Cloacking que hacía ese sitio para evitar conexiones que nos fueran desde USER-Agents de móviles evitaba que se viera el sitio de Phishing desde el escritorio.

Figura 7: Dominio detectado como Phishing en Chrome

Hice las capturas, para contaros esta historia, y a día de hoy el sitio ya está caído, y bloqueado en los filtros antiphishing de Google Chrome, pero me quedé pensando en cuánta gente habrá entregado su tarjeta de crédito y sus datos a una campaña que estaba tan bien preparada. Había hecho.

• Un sitio de Phishing para mobile, con una típica URL de phishing.
• Habían hecho cloacking con el USER-Agent para evitar "curiosos" o "no provenientes del Smishing"
• Una campaña de envío masivo de SMS Smishing
• Habían utilizado SMS Spoofing para meterse en el hilo de DGT de los mensajes
• Habían enviado la campaña a finales de mes con el la urgencia del pago con descuento
• Habían puesto el motivo con algo que podría ser factible: Una multa el día 1 de Agosto.
• Habían conseguido saltar los filtros antiphishing de los navegadores. Apple Safari para iOS lo marca como caído, pero no como marcado.

En mi caso funcionó todo, a excepción de que lo que se había convertido en una ventaja para ellos - que no veía bien sin gafas y no me pude fijar en la URL en el móvil - se convirtió en una protección cuando lo intenté hacer desde el ordenador con mis gafas. 

Figura 8: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Por ponerle alguna pega a la campaña, le faltó poner un precio mas realista ya que una multa de 35€ no es ni de aparcamiento en España, y si hubieran hecho la versión web solo para links con redirect usando algún parámetro de tracking, as lo mejor hubiera sido más efectiva incluso. Pero estoy seguro de que esta campaña habrá generado más de algún "premio" para los cibercriminales que la lanzaron. Así que, no hay que relajarse nunca y hay que evitar que la vida ajetreada nos haga bajar las defensas, que por quitarnos las cosas cuanto antes, podemos saltarnos alguna comprobación. 

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo crear una aplicación y protegerse de ciberestafas con el API de SIM Swap

Si eres lector de este blog, seguramente ya habrás leído en más de una ocasión sobre Open Gateway y las enormes posibilidades que ofrece a los desarrolladores. Hoy quiero mostrar cómo crear una aplicación sencilla en Python para comprobar el estado de SIM Swap utilizando las APIs de Open Gateway y aprovechando el Sandbox de Telefónica para hacer pruebas sin riesgo.

Figura 1: Cómo crear una aplicación y protegerse

de ciberestafas con el API de  SIM Swap

¿Qué es SIM Swap?

Vamos a comenzar con una explicación de por qué esto es importante. SIM Swap es un evento de red que ayuda a detectar un tipo de ciberestafa en el que un atacante obtiene un duplicado de la tarjeta SIM de una víctima, mediante un engaño o una portabilidad entre empresas de telecomunicaciones fraudulenta, lo que le permite acceder a su línea de teléfono y recibir tanto llamadas de teléfono como mensajes SMS, lo que le da acceso a los códigos OTP de autenticación de segundo factor (2FA), o incluso realizar llamadas en nombre del usuario. 

Figura 2: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Esto facilita el acceso no autorizado a cuentas bancarias, redes sociales u otros servicios sensibles que utilizan el SMS o la llamada como validación de 2FA, además de poder suplantar a la víctima en llamadas de teléfono fraudulentas. 

Figura 3: API de SIM Swap en Telefónica

Con la API de SIM Swap de Open Gateway, podemos verificar si el número de teléfono de un usuario ha sido asociado recientemente a una nueva tarjeta SIM, lo que permite prevenir fraudes de manera más efectiva.

Sandbox de Telefónica Open Gateway

Antes de acceder a los datos reales, es fundamental probar la aplicación en un entorno seguro. Aquí es donde entra en juego el modo mock del Sandbox de Telefónica Open Gateway, un entorno de pruebas que simula el comportamiento real de la API sin comprometer datos de usuarios. Antes de empezar a programar, hay que dirigirse al sandbox para crear la aplicación. Aquí encontraremos las APIs disponibles con las que podemos trabajar, estando actualmente Device Location Verification, Device Status, Number Verification y SIM Swap.

Figura 4: APIs disponibles en el Sandbox de Telefónica Open Gateway

Para la demo, se va a hacer uso de la API de SIM Swap. Tras seleccionar esta API y darle al botón de crear aplicación, se encuentra un formulario para rellenar información sobre esta. Desde aquí se puede seleccionar el modo de trabajo (producción o mock), indicar el nombre que se le quiere asignar a la aplicación, la URL de redirección (si es necesario) y una pequeña descripción.

Figura 5: Formulario de creación de aplicación

El siguiente paso es para aceptar los términos y condiciones de uso.

Figura 6: Confirmación de los términos y condiciones

En el último paso se muestra un resumen con toda la información anterior y el botón para confirmar y terminar con creación de la aplicación.

Figura 7: Resumen de la aplicación y confirmación

Ahora, en el apartado de “Mis aplicaciones”, se puede ver la nueva aplicación creada, aunque podría estar pendiente de validación. 

Figura 8: Información de la aplicación creada

Desde aquí se puede conocer el identificador de la aplicación, así como el secreto que será necesario para autenticarse al realizar llamadas a la API.

Ejemplo de aplicación SIM Swap en Python

Para comenzar a crear la aplicación en Python se tienen dos opciones:

• Revisar la API e implementar todas las llamadas para conseguir la autorización y las llamadas a la API de SIM Swap usando alguna librería como puede ser requests.

• Hacer uso del SDK que está preparado para trabajar con el sandbox.

Esta última opción es el que se opta por utilizar en este ejemplo para agilizar la creación de la aplicación. Su instalación se puede hacer con pip, indicando el paquete opengateway-sandbox-sdk:

pip install opengateway-sandbox-sdk

Ahora, se crea un nuevo script de Python  y vamos a definir una función que, dado un número de teléfono, cree una instancia de Simswap con los datos de nuestra aplicación (Client ID y Client Secret que se encuentran en la información de nuestra aplicación creada en el sandbox), así como el número de teléfono (en formato E.164) que se desea consultar. 

Se ejecuta la función retrieve_date() para obtener la fecha del último cambio de emparejamiento MSISDN <-> IMSI, o lo que es lo mismo, la última vez que el número de teléfono (MSISDN) fue vinculado a una nueva tarjeta SIM (IMSI).

Figura 9: Función para obtener última fecha de cambio de SIM

Este sería el código más básico para poder hacer uso de SIM Swap a través del SDK. Vamos a ampliar un poco el código para poner validación del número de teléfono y que se pueda pasar un número de teléfono o un fichero con un listado de número a través de parámetros al iniciar el script. Creamos una nueva función que, pasado un número de teléfono, compruebe a través de una expresión regular que cumple con el formato E.164. 

<->

Figura 10: Función para validar que un

número está en formato internacional

<->
La expresión regular que aparece en re.compile(r"^\+[1-9]\d{9,14}$") está diseñada para validar números de teléfono en formato internacional. Veamos en que consiste cada parte:

• <->^: Marca el inicio de la cadena, asegurando que no haya caracteres antes del número.

• <->\+: Busca el símbolo "+" al principio del número, que es obligatorio en los formatos internacionales.

• <->[1-9]: Busca un dígito entre 1 y 9, lo que impide que el código de país comience con 0 (en números internacionales, los códigos de país nunca empiezan por cero).

• <->\d{9,14}: Busca entre 9 y 14 dígitos después del código de país, representando el número de teléfono.
• <->\d significa cualquier dígito (0-9).
• <->{9,14} especifica que debe haber un mínimo de 9 dígitos y un máximo de 14 después del código de país.

• <->$: Marca el final de la cadena, asegurando que no haya caracteres adicionales después del número.

En resumen, esta expresión regular valida un número de teléfono internacional que:

• <->Empieza con un símbolo +.
• <->Tiene un código de país que comienza con un dígito entre 1 y 9.
• <->El número de teléfono contiene entre 9 y 14 dígitos después del código de país.

Algunos ejemplo válidos para esto serían: “+34600123456” (España) o “+14155552671” (EE. UU.). Y un par de ejemplos de números no válidos podrían ser: “+0123456789” (el código de país no puede empezar con 0) o “34600123456” (falta el símbolo +).

Figura 11: Libros de Python para Pentesters y Hacking con Python
de Daniel Echeverri publicados en 0xWord.

<->Por último, realizamos la creación de una función principal. La función main() se encarga de gestionar los argumentos de la línea de comandos para que el usuario pueda verificar el estado de SIM Swap de uno o varios números de teléfono. Utiliza la librería argparse, que facilita la creación de interfaces de línea de comandos en Python. A través de esta función, el usuario puede proporcionar un número de teléfono individual utilizando la opción -p/--phone, o bien un archivo que contenga varios números de teléfono, uno por línea, con la opción -f/--file.

La función emplea un grupo de argumentos mutuamente excluyentes, lo que significa que el usuario debe elegir entre una de estas dos opciones, pero no ambas al mismo tiempo. Esto simplifica el manejo de los datos y asegura que la herramienta sea flexible pero a la vez fácil de usar. 

Figura 12: Función principal del programa

<->
Cuando se pasa un número de teléfono, este se valida usando la función phone_validator(), y, si todo va bien, se procesa con la función sim_swap(). Si se utiliza un archivo, la función intenta leer los números de teléfono línea por línea, y si encuentra algún error (como que el archivo no exista o no se pueda leer), gestiona las excepciones e informa al usuario. Esta estructura permite que la herramienta sea robusta y manejable, garantizando una buena experiencia de usuario con el manejo de errores y validaciones necesarias para evitar problemas.

Para finalizar se debería realizar la llamada a la función main(), algo que se puede integrar dentro del condicional if __name__ == “__main__": típico de Python. Sólo una cosa más, ¿recuerdas que en la llamada a SIM Swap había que indicar el Client ID y Client Secret? En el código mostrado anteriormente, estos valores aparecían en la función sim_swap() en las constantes CLIENT_ID y CLIENT_SECRET. 

<->

<->

Figura 13: Recuperando las credenciales desde el entorno

<->

<->Como se trata de valores que contienen información sensible, como buena práctica de programación, se recomienda leerlos del entorno. Para ello se puede hacer uso de la librería python-dotenv y almacenar las credenciales en un archivo .env que contiene las variables del entorno. 

<-> A continuación comparto un vídeo de ejemplo del uso de la API de SIM Swap donde puede apreciarse el código tanto haciendo uso directo de la API, como del SDK.

Figura 14: SIM Swap API vs SDK

Las APIs de Telefónica Open Gateway son una puerta abierta para que los desarrolladores puedan explorar nuevas formas de enriquecer sus aplicaciones con capacidades avanzadas, como el ejemplo visto con la detección de SIM Swap. El acceso a estos servicios no solo refuerza la seguridad de las aplicaciones, sino que también te permite crear experiencias más confiables para los usuarios.

Figura 15: APIs Open Gateway estandarizadas

Con el sandbox, tienes a tu disposición un entorno seguro para experimentar, probar e integrar estas funcionalidades en tiempo récord, sin necesidad de comprometer datos reales.  Si buscas llevar tus proyectos al siguiente nivel, esta es tu oportunidad, y puedes comenzar hoy mismo a experimentar con las APIs de Telefónica Open Gateway, explorar todo su potencial y transformar tus ideas en soluciones reales que impacten de forma positiva a miles de usuarios.

<->

<->Developer Hub

<->

Para que empecéis a experimentar, es necesario que os unáis al Developer Hub de Telefónica Open Gateway. La inscripción a este programa no tiene ningún coste, por lo que podréis disfrutar del Sandbox de forma gratuita. En la sección Technical Toolbox del área privada, una vez que os hayáis registrado y logado, encontraréis el acceso y, una vez dentro, lo primero que veréis es nuestro catálogo completo de APIs disponibles en el entorno de pruebas. 

Figura 16: Darte de alta en el Telefónica Open Gateway Developer Hub

Seleccionad aquella con la que queráis trabajar, añadid la información general de vuestra aplicación y elegid el modo que deseéis, ya sea de producción o mock, para empezar con vuestros desarrollos. Probad vuestros desarrollos con estas APIs para llevarlos al siguiente nivel de seguridad antifraude con OpenGateway.

Figura 17: Suscríbete a la newsletter de Telefónica Open Gateway

Y si quieres mantenerte informado con novedades en la iniciativa como más webinars sobre nuestras soluciones, lanzamientos comerciales o nuevas APIs disponibles, suscríbete a nuestra newsletter de Open Gateway.

Saludos y

Happy Coding!

Autor: Álvaro Núñez-Romero, investigador en el equipo de Ideas Locas. Autor del libro "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun" y del VBOOK de "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun"

Contactar con Álvaro Núñez-Romero

WhatsApp: Dos (o alguno más) "tips" de Privacidad y Seguridad para dificultar la vida a los (muy) malos

Hoy os quiero dejar un par de detalles de privacidad y seguridad en WhatsApp, que si los conoces genial, pero que si no los conoces te pueden ayudar. A ti y a los mayores, porque uno es para dificultar - que no limitar - la estafa de "Mamá, he perdido el móvil" usando llamadas con Voces Clonadas.

Figura 1: WhatsApp: Dos (o alguno más) "tips" de Privacidad y Seguridad

para dificultar la vida a los (muy) malos

Como sabéis, le damos mucha caña a la privacidad, la seguridad, los leaks y las weaknesses de WhatsApp, de las que os hablo muchas veces por el blog, y de las que incluso publicó un libro nuestro compañero Luis Márquez, titualdo "WhatsApp INT(elligence): OSINT en WhatsApp" en la editorial 0xWord.

Figura 2: WhatsApp INT: OSINT en WhatsApp.

Nuevo libro de Luis Márquez en 0xWord.

La primera de las opciones de privacidad está para reducir la superficie de exposición de WhatsApp a la hora de recibir llamadas por esta app. Ya os hablé de esto hace tiempo con Telegram, donde cualquiera que conociera tu "userid" podría hacerte de llamadas de voz, pero en el caso de WhatsApp es un poco similar, y mi recomendación es evitarlo.

Figura 3: Entra en Privacidad -> Llamadas y ahí podrás bloquear

las llamadas que no sean de contactos de la agenda.

Esta es una opción que, a los mayores que les quieran hacer la estafa de "Mamá, he perdido el móvil", les va a dificultar hacerlo, porque no van a poder llamar. Así que si se lo bloqueas a tus mayores, mejor que mejor. Que les llamen sólo las personas que estén en sus contactos.

Figura 4: Bloquea las llamadas de "no contactos"

El uso de voces clonadas se está empezando a usar masivamente, y en breve va a ser tan fácil, que lo vamos a ver casi cotidianamente, así que entra en Privacidad -> Llamadas y bloquea las que no sean de contactos de la agenda. Con esta opción, además te quitas los dialers automáticos y los que hayan comprado tu número de teléfono en plataformas de venta de datos.

Figura 5: Para evitar que se te desbloquee un contacto con un

Desbloquéame de WhatsApp con un grupo creado por un intermediario

configura que solo tus contactos te pueden agregar a grupos.

Esta opción de que no te llamen aquellos que no sean contactos, existe también para que no te agreguen a grupos de WhatsApp aquellos que no sean contactos, que permitía hacer el desbloqueo automático de cuentas bloqueadas usando un servicio intermedio, como fue nuestra PoC de "Desloquéame WhatsApp"

Figura 6: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Por último, dos configuraciones sencillas de privacidad para que averigüen donde estás por un enlace, algo que se ha utilizado muchas veces. Esto se ha logrado por medio de diferentes técnicas, de las que he hablado en el blog muchas veces:

• Conocer tu dirección IP por el preview de un enlace de WhatsApp
• Conocer tu dirección IP por hacer clic en un link (ejemplo de una canción de Spotify)
• Conocer tu dirección IP por hacer clic en un status de WhatsApp

En todos estos casos se puede conocer aproximadamente dónde te encuentras, y por eso en las opciones de Privacidad -> Avanzado, puedes deshabilitar esto ocultando las previsualizaciones y utilizando los servidores de WhatsApp como intermediarios.

Figura 7: Ocultar tu dirección IP en WhatsApp

De todas estas cosas yo he hablado muchas veces, y tienes la charla de WhatsApp Intelligence (WhatsINT) : Jugando con leaks, y el artículo de "¿Cuánto acierta tu dirección IP dónde vives o dónde estás?" para que tengas más información de todo esto.

Figura 8: WhatsApp Intelligence (WhatsINT): Jugando con Leaks

Por último, un par de notas más. Si quieres ver cómo un atacante puede automatizar todas estas estafas y ataques, te recomiendo el vídeo de la charla de (Web)ScrAPIficar & Weaponizar WhatsApp, y como segundo y último punto me encantaría que WhatsApp (y Telegram) permitiera también que no te enviaran menajes aquellas personas que no están en tus contactos.

Figura 9: (Web)ScrAPIficar & Weaponizar WhatsApp.

Y esto es todo lo que os quería contar hoy, unos pequeños tips de privacidad y seguridad, así como un refresco de cómo WhatsApp es una forma muy eficiente de atacar a las personas y a los empleados de las empresas. Tenlo presente.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Se busca inversión para luchar contra los ciberestafadores de ciptomonedas

Hola a todos y un saludo de su amigo y vecino Deckcard23. Antes de comenzar agradecer a Chema Alonso su atención y consejo así como la oportunidad una vez más de hacer eco de mi palabra en su blog. Por si no me conocéis me dedico desde hace ya años a la recuperación de activos digitales. Dentro de mi labor la más difícil es la recuperación de dinero robado a víctimas de estafas de criptomonedas. La más común es el “Pig Butchering Scam” que es algo así como “Estafa de cebar el cerdo”. 

Figura 1: Se busca inversión para luchar contra los ciberestafadores de ciptomonedas

Esta estafa puede ser mediante un estafador del amor o no. Consiste en engañar a una persona a la cual se ha contactado al azar para crear un vínculo de amistad o amoroso. Una vez esa persona, emocionalmente débil o en un momento complicado de su vida, por falta de cariño, necesidad de apoyo personal, desesperación, porque no tiene dinero y necesita nuevas fuentes de ingresos, o simplemente por avaricia o ganas de invertir, es animada por su nuevo “amigo/a” a realizar una inversión. 

Figura 2: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Éste sería el primer paso hacia su ruina, y hemos visto casos muy duros por aquí en el blog - Los Falsos Brokers y las víctimas de sus estafas: Un negocio de escala - como los que ha contado , y ejemplos de cómo operan estos estafadores en forma de Fake Brokers en las redes sociales, como el caso de "Linda" en Instagram o Youtube. 

Figura 3: Testimonio de una persona estafada por un Fake Broker

La víctima no es presionada para invertir sino que sutilmente, el estafador, muestra como gana dinero y la va animando poco a poco. En el momento que pica el anzuelo empieza el escándalo. Todos los ahorros de su vida, préstamos, dinero de la familia, son invertidos en un espejismo. Cuando quiere retirar ese dinero y ya pensando en la casa que se va a comprar, la solución de los problemas ya solucionados y los caprichos que va a tener es cuando se da cuenta de la cruda realidad: el cerdo está listo para comer.

Hay otras variantes de estafas relacionadas con las criptomonedas. Entre ellas las app falsas en la Web3 que controlan tu wallet y te la vacían. Estafas de tareas. Aquí supuestamente se paga en Bizum por ver videos pero esos Bizums vienen de otros estafados. Seguidamente se anima a invertir y vuelta a la estafa anterior.

Mi experiencia pesonal persiguiendo a criptoestafadores  

Durante años he investigado estos cibercrímenes y he ayudado a víctimas de todo el mundo lo mejor que he podido y los he apoyado en su dolor. Hoy puedo decir que hago una pausa, un parón y ya no voy a prestar más servicios de investigación en estos casos. El motivo, es sencillo: falta de inversión y cooperación. Sinceramente me he sentido como David peleando contra Goliat. Lo que era parte de un modelo de negocio se ha convertido en una obligación.

Me llena mucho ayudar a la gente pero como cualquiera de los mortales necesito comer. Resolver este tipo de casos es muy difícil y me he convertido en la esperanza para muchos. Este último mes he hablado con muchos inversores y nadie quiera invertir en mi proyecto. Recuperar dinero de víctimas de estafas al parecer no es rentable económicamente y por tanto no hay nada que hacer. 

Figura 4: El Imperio de BitCoin de Deckard23

He intentando vender la idea de un software para ciberinvestigadores de este tipo de delitos, forenses que quieran buscar información en equipos informáticos incautados, recuperación de wallets, etcétera pero al parecer todos me dicen lo mismo: financiar software no es rentable y no es para nada nuestra linea de negocio.Por otro lado tenemos a los exchangers que son utilizados por los estafadores para mover sus ganancias. Recordamos que los exchangers cambian de Fiat a criptomoneda el dinero estafado en su inmensa mayoría.

Figura 5: Campañas de publicidad en medios nacionales de gran tirada

Advierten y advierten al cliente de cómo puede ser estafado pero cuando les he llamado para que inviertan en mi proyecto no les ha interesado. Luego tenemos a los bancos. Ellos también tienen parte de impacto. Podrían saber de sobra cuándo una cuenta en Lituania tiene pinta de ser un fraude y aún así los estafadores mueven dinero de cuentas de personas jubiladas que envían todos sus ahorros sin que se bloqueen esas cuentas automáticamente. Por último, los buscadores y redes sociales que permiten la publicidad de esta gentuza que con una simple mirada diaria cualquiera que entienda se daría cuenta. Al final, es un problema que se aprovecha de la falta de coordinación global de todos para acabar con estos cibercriminales.

Figura 6: Testimonios publicados en la web de los falsos brokers

En definitiva, las ciberestafas en criptomonedas se han convertido en un problema global que yo equiparo al trafico de drogas o la trata de blancas. Para quien no lo sepa, las bandas organizadas de este tipo de delitos tienen en condiciones infrahumanas a los captadores de víctimas. Dichas personas viven recluidas en edificios donde no los dejan salir, les dan palizas, les obligan a estafar, los maltratan física y psicológicamente. En estos países es imposible a menos que mandes a los mercenarios porque la policía y los gobiernos están corruptos.

A la víctima sólo le queda la esperanza de que un familiar, amigo, compañero de trabajo, mujer de la limpieza, primo, vecino, etcétera, le haya robado dichos fondos. O que haya sido una estafa piramidal mediática o bien un grupo que reside en España, Europa o algún país extranjero con buenas relaciones políticas.

Sacar un proyecto como éste adelante (ayudar y recuperar dinero estafado a víctimas) necesita inversión y cooperación para seguir funcionando. He ayudado a muchas víctimas desinteresadamente: nadie ha aportado ni un mísero Euro a la causa. La cooperación de exchangers, empresas de criptomonedas, otros investigadores no profesionales, abogados, etcétera, no es suficiente, o prácticamente inexistente en algunos casos. Eso sí, todos están contentos conmigo cuando les derivo clientes pero hay poca compartición de información para reducir el impacto de estas ciberestafas.

Figura 7: Mensaje publicado por Chema Alonso que le llegó a 

su buzón en MyPublicInbox de una víctima de la estafa de los Falsos Brokers.

Mando un abrazo a todas aquellas personas que ahora mismo son víctimas de una cibrerestafa y aunque muchos los vean como los "tontos" que caen en el “timo del tocomocho digital” y que invierten dinero porque les sobra, yo les mando mi apoyo porque sé como va este juego donde el estado emocional esta presente. Me sigo dedicando profesionalmente a otras ramas de mi profesión que nunca he abandonado a la espera de alguna noticia favorable para reactivar este servicio que creo es muy necesario.

Saludos,

Autor: Jorge Esclapez aka Deckcard23, autor del libro “El imperio de bitcoin”, una guía para aquel que quiere aprender más sobre el origen de Bitcoin y todo lo que ha representado durante estos más de 10 años. 

Contactar don Jorge Esclapez aka Deckard23 en MyPublicInbox

Contratar “Hackers” para hacer cosas “malas” que Chema Alonso dice que NO están bien

Las alertas que tengo en Google con mi nombre, me trajeron una web bastante curiosa donde aparecía mi nombre. Se trata de una web para Comprar Títulos Universitarios, pero que como añadidos a su negocio han empezado a diversificar en la Compra del Carné de Conducir, el Hackeo de WhatsApp y Espiar a tu pareja. Es lo que tiene gestionar un negocio. Hay que diversificar en los grandes modelos de negocio existentes.

Figura 1: Contratar “Hackers” para hacer cosas “malas”

que Chema Alonsodice que NO están bien

Como podéis ver en la página, al principio de todo, lo que aparece al principio deja claro todo lo que hay que leer. Esto es lo que principalmente va a leer la gente. El título, que es "Contratar hackers profesionales para hackear WhatsApp, la universidad y espiar a tu pareja". 

Figura 2: Contratar hackers para hacer cosas delictivas

Aunque si miráis en las opciones del menú de arriba, también hackean a la DGT y te consiguen el carné de conducir en España, que la diversificación de las fuentes de ingresos, son fundamentales.

Figura 3: Los principales modelos de negocio

Sin embargo, si hacemos scroll y seguimos leyendo la noticia, hay un párrafo hablando de "Chema Alonso y la cuestión de la seguridad informática", que es lo que saltó la alerta en Google. Y en ella leemos cosas buenas de mí, y que hay que tomar decisiones responsables, proteger la privacidad, la integridad de las personas y respetar la ley.

Figura 4: Chema Alonso y la cuestión de la seguridad informática

No sólo eso, sino que el resto de la página, vuelve a incidir en temas éticos, legales, la necesidad de no invadir la privacidad de las personas y respetar la integridad de las personas. Lo cual me vuelve el gorro del revés, porque en la parte de arriba, en el título, leemos "Espiar a tu pareja". WTF?

Figura 5: Ética, Legalidad, Privacidad e Integridad

Como os podéis imaginar, esto es una ciberestafa que debes evitar si tu interés es "ir por la vereda de oscura" de Internet y conseguir algún "Cibercriminal" para hackear un terminal móvil de una pareja, para hackear una universidad o la DGT y tener un título que no has aprobado o un carné que no te has sacado, y, por supuesto hackear un WhatsApp. Con total seguridad vas a enviarles dinero que vas a perder, porque es una ciberestafa.

Figura 6: "Ciberestafas: La historia de nunca acabar" (2ª Edición).por Juan Carlos Galindo en 0xWord.

Como curiosidad, me he ido a ver los comentarios, y los muy envidiosos dirán que son creados automáticamente por una persona que está copiando y pegando lo mismo, cuando todo el mundo sabe que los españoles y los norte-americanos hablamos con las mismas expresiones y con las mismas palabras en los mismos comentarios.

Figura 7: Comentarios de la web de Contratar Hackers

Lo dicho, evita este tipo de cosas y cantos de sirenas para hacer algo ilegal. Es una estafa, y es ilegal, y te vas a meter en problemas seguro, así que respira dos veces, y busca otras soluciones. A veces la solución que parece "rápida y sencilla" es lo peor que puedes hacer en tu vida.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)