Extorsión en redes sociales: la lección que "Mendez Soni" y "Carolina Marquez" nos dejaron
Semanas atrás comenzaron a circular varias notas sobre el caso de un hombre en la ciudad de Chihuahua haciéndose pasar por distintas mujeres (una en Facebook otra en Instagram) para extorsionarlos. Pensé escribir una opinión al respecto, pero mejor decidí esperar algunos días para tener más detalles y darle tiempo a la situación de desarrollarse.
Un par de semanas después varios de ustedes seguro ya se divirtieron buscando los contactos en común que tenían con alguno de los perfiles y han hecho bromas con sus amigos al respecto. Ahora me gustaría compartir mi perspectiva de cómo este caso es un ejemplo de que todas las empresas son vulnerables a este tipo de cibercrimen, ya sea que el criminal sea alguien experimentado o no.
PERO ANTES, UN BREVE RESUMEN
Según lo publicado en distintas notas (dejé algunas fuentes de interés al final), el responsable es un hombre de 23 años llamado Luis Enrique que creó los perfiles falsos alrededor de septiembre del 2019. En Facebook usaba la identidad de "Mendez Soni" (la cuenta actualmente está desactivada), una estudiante de derecho originaria del municipio de Sta Isabel...
... y en Instagram bajo la identidad de "Carolina Marquez" en la que aún están disponibles algunos videos de su historia.
Haciendo uso de estas identidades, Luis se comunicaba con sus víctimas para persuadirlos de que le enviaran fotos de carácter sexual con las que más adelante los extorsionaba a cambio de que se le hicieran pagos que podían rondar entre los 3 mil y 15 mil MXN. Dos víctimas se acercaron a la Fiscalía de Distrito con cuyas denuncias se inició el proceso, a las que después se agregaron otras dos carpetas de investigación más, pero se especula que puede haber alrededor de 600 víctimas sin levantar denuncia incluyendo funcionarios públicos.
Rastrearon las cuentas de banco donde se hicieron los depósitos y confirmaron que ninguna estaba a nombre las identidades antes mencionadas. De la misma manera, se rastrearon domicilios y números de teléfono, con lo que se determinó la verdadera identidad del criminal, quien podría haber recibido un promedio de 35 mil MXN semanales en pagos de extorsiones. Diversas notas mencionan que podría recibir una sentencia de 30 años en prisión por los delitos que se le imputan.
¿CÓMO FUNCIONAN ESTE TIPO DE EXTORSIONES?
Aunque la estrategia y ejecución dependen del objetivo y metodología del criminal, tienden a mostrar algunos comportamientos en los que debemos poner atención si esperamos detectarlos a tiempo. Los hombres somos el objetivo más común de este tipo de ataques, pues somos particularmente vulnerables a ser persuadidos de compartir fotografías intimas bajo la promesa de recibir material similar a cambio.
Generalmente el criminal hará preguntas sobre el trabajo, el puesto que desempeñan, su salario o los clientes que tienen, por mencionar algunos. Los hombres tendemos a querer demostrar que somos la mejor apuesta, que somos superiores al resto de la competencia, lo que nos lleva a dar detalles sin que nos los pidan con tal de lucirnos. Esto ayuda al criminal a hacerse una idea del poder económico de la víctima y lo que puede exigirle cómo pago.
Al final pueden terminar en un callejón sin salida en el que el criminal se niega a terminar la extorsión, donde al inicio exigía 3 mil MXN y la semana siguiente tal vez sean 5 mil o 10 mil en un mes. Si la víctima se niega, lo podrían amenazar con contactar algún miembro de la familia, trabajo o todos (ahora que ubica a cada uno de ellos gracias a que tiene acceso a su lista de contactos a través de la red social). Las víctimas deben decidir entre perpetuar el ciclo de poder que ejercen sobre ellos o levantar una denuncia, exponiéndose al escrutinio de la gente cercana a ellos.
¿CÓMO SE RELACIONA ESTO CON LA SEGURIDAD DE MI EMPRESA?
En Chihuahua, la Ingeniería Social es un tema relativamente nuevo, donde hablando de seguridad digital se acostumbra a invertir el presupuesto en seguridad perimetral (antivirus, firewalls, detección y prevención de intrusos, entre otros) pero se relega la cultura de prevención y detección en el personal a último lugar, si es que se toma en cuenta del todo. Esto no quiere decir que la seguridad perimetral no importa, sino todo lo contrario: es una parte tan imprescindible para su protección cómo lo es un rifle para un soldado. Pero así como el ejercito complementa el entrenamiento de sus elementos en el uso de armas con acondicionamiento físico y mental, su empresa requiere entrenar al personal en el correcto uso de sus accesos y herramientas.
Para ejemplificarlo mejor comparemos los argumentos más comunes que escucho de una empresa respecto a seguridad, contra este caso de extorsión, suponiendo que entre las 600 víctimas de Luis Enrique se encuentra uno de sus empleados (porque las probabilidades de que así sea son muy altas):
"AQUÍ NO ENTRAN VIRUS, TENEMOS UN ANTIVIRUS QUE SE ACTUALIZA DIARIO"
Estoy seguro de que muchas de las víctimas cuentan con antinvirus en sus equipos, ni se diga de los que son propiedad de la empresa (porque seguramente más de uno tuvo contacto con el mientras usaba equipo de oficina en horario laboral) así que preguntense:
- ¿Y las alertas del antivirus que debieron notificarle que estaba hablando con un perfil falso, a punto de ser víctima de extorsión?
No las hay, la función de los antivirus no es protegerlos contra la interacción humana. El software no está diseñado para tener acceso y analizar los perfiles con los que interactúan para detectar si son legítimos o apócrifos. Ni siquiera los exenta de estar protegidos contra cualquier cepa de virus, ransomware u otro tipo de malware, mucho menos de un criminal cómo en los casos que mencioné en el artículo "Una conversación persuasiva, el punto ciego de tus medidas de seguridad"
"AQUÍ NO HAY INTRUSOS PORQUE TENEMOS FIREWALLS Y VPN"
Debido a la contingencia, cientos de empresas optaron por la modalidad de home office para no interrumpir sus actividades. La solución inteligente para proteger la comunicación entre el hogar y los sistemas de la empresa es a través de una VPN e incluso algunas contaran con restricciones para redes sociales así que háganse estas dos preguntas:
- ¿Fue falla de la VPN o el firewall el no bloquear la comunicación entre el usuario y el estafador?
- ¿Cómo protegerlos cuando el usuario desconecta la VPN para tener acceso a sitios restringidos?
Estando en casa es más sencillo para uno relajarse y tomarse 10 minutos para distraerse en redes sociales, pero aun estando en la oficina sigue siendo de fácil acceso con los beneficios que los proveedores móviles nos dan para estar conectados desde nuestros equipos personales. Recordemos que Luis comenzó a usar estos perfiles desde septiembre del año pasado, meses antes de que comenzaran la contingencia y home office, lo que significa que de entre las cientos de sus víctimas debe de haber un alto porcentaje que tuvo contacto con él en horas de oficina desde sus estaciones de trabajo y tanto los jefes cómo el personal de tecnologías no estuvieron conscientes de la situación que se desarrollaba.
ENTONCES ¿CÓMO PUEDE AFECTAR ESTO A MI EMPRESA?
Cuando hablamos de un caso cómo el de Luis, aun habiendo tenido éxito en extorsionar a tantas víctimas, es en realidad un ataque muy descuidado y de pobre planeación. Un ataque ejecutado por un criminal sin experiencia en ingeniería social ni una estrategia inteligente, que pudo haber dado un giro siniestro para varias empresas de haber tomado una decisión diferente: en lugar de exigir un pago económico, exigir acceso a datos o sistemas de la empresa para la que la víctima trabaja.
¿Qué tal si entre sus víctimas se encontrara un empleado bancario? Si Luis exigiera un pago elevado a sabiendas de que no tendrán los recursos para realizarlo, con el objetivo de forzarlo a realizar movimientos o consultas privilegiadas sobre cuentas de terceros con los que pudiera hacerse una idea de quien realiza retiros periódicos de grandes cantidades de efectivo y las sucursales donde suelen hacerlo para asaltarlo o secuestrarlo.
¿Y si Luis hubiera comprado un malware cómo ransomware a medida? Podrían terminar en una situación similar a la que viví hace años descrita en "Cuando un ransomware destruyó años de nuestro trabajo". Si entre sus víctimas hubiese elegido un gerente o director, habiéndole ofrecido librarlo de la extorsión a cambio de obtener detalles sobre las versiones de sistemas operativos, sistemas de seguridad perimetral, etc., para crear un malware específico a todo eso y fuera la misma víctima quien lo ejecute de manera interna.
Podría hacer un artículo completo solo con los diferentes escenarios que me vinieron a la mente en los primeros 5 minutos de las vulnerabilidades que pudieron ser explotadas por Luis de haber tenido la experiencia y conocimientos de los cibercriminales e ingenieros sociales allá afuera a los que ustedes y sus empresas están expuestos todos los días: robo de producto, robo de información privada y confidencial, ampliación de la red de extorsión, secuestro, asalto, espionaje industrial, complicidad involuntaria en diversos delitos, por sólo mencionar algunos.
De acuerdo con los medios de noticias, el rastreo de las cuentas de banco fue parte del éxito en su captura ¿Qué hubiera pasado si hubiese tomado el camino que muchos cibercriminales eligen de usar bitcoins cómo método de pago para evitar la detección? Cómo ese, hubo descuidos de parte de Luis que rara vez verán a los cibercriminales experimentados cometer con los que si ustedes resultan víctimas de uno ellos no serán tan afortunados de poder ubicar al responsable.
Al final, la lección que "Mendez Soni" y "Carolina Marquez" nos enseñaron fue:
Si alguien logró ejercer tal poder sobre tantas víctimas en tan poco tiempo sin habilidades ni herramientas tecnológicas avanzadas, armado únicamente con dos perfiles falsos y la falta de escrúpulos para usarlos
¿Qué podemos esperar nosotros si llegamos a ser víctimas de quienes se dedican a este tipo de ataques a mayor escala, cuentan con su propio arsenal tecnológico y han logrado evadir la justicia durante años?
Fuentes de interés:
Procede Fiscalía contra imputado por extorsionar a través de las redes sociales.
Extorsionó a hombres usando perfiles falsos
Hombre extorsionó a usuarios de Facebook con perfiles falsos
Enfrenta presunto extorsionador 4 denuncias, ninguna de servidores públicos
"La Fiscalía de Distrito Zona Centro hace un llamado a las personas que hayan sido víctimas del imputado en Facebook, o de una situación similar, para que denuncien a través del número de emergencia 911, en el 089 de Denuncia Anónima o bien en el teléfono de La Unidad Antiextorsiones 429-36-39"