nadie es inmune a ser estafado en línea, ni siquiera las personas que realizan las estafas. Los ciberdelincuentes que usan foros de piratería para comprar exploits de software y datos de inicio de sesión robados siguen cayendo en las estafas y están siendo estafados por miles de dólares a la vez, según reveló un nuevo análisis. Y lo que es más, cuando los delincuentes se quejan de que están siendo estafados, también dejan un rastro de migas de pan de su propia información personal que podría revelar sus identidades reales a la policía y los investigadores.
Los piratas informáticos y los ciberdelincuentes a menudo se reúnen en foros y mercados específicos para hacer negocios entre ellos. Pueden anunciar próximos trabajos con los que necesitan ayuda, vender bases de datos de contraseñas robadas de personas e información de tarjetas de crédito, o promocionar nuevas vulnerabilidades de seguridad que pueden usarse para ingresar a los dispositivos o sistemas de las personas. Sin embargo, estas ofertas a menudo no van según lo planeado.
La nueva investigación, publicada hoy por la firma de ciberseguridad Sophos, examina estas transacciones fallidas y las quejas que la gente ha hecho sobre ellas. “Los estafadores que estafan a los estafadores en foros y mercados criminales es mucho más grande de lo que pensábamos originalmente”, dice Matt Wixey, investigador de Sophos X-Ops que estudió los mercados.
Wixey examinó tres de los foros de ciberdelincuencia más destacados: los foros en ruso Exploit y XSS, además de BreachForums en inglés, que reemplazó a RaidForums cuando fue incautado por las fuerzas del orden de EE. UU. en abril. Si bien los sitios funcionan de formas ligeramente diferentes, todos tienen salas de «arbitraje» donde las personas que piensan que han sido estafadas o agraviadas por otros delincuentes pueden quejarse. Por ejemplo, si alguien compra malware y no funciona, puede quejarse a los administradores del sitio.
Las quejas a veces hacen que las personas recuperen su dinero, pero más a menudo actúan como una advertencia para otros usuarios, dice Wixey. En los últimos 12 meses, el período que cubre la investigación, los delincuentes en los foros han perdido más de $2.5 millones frente a otros estafadores, según el análisis. Algunas personas se quejan de perder tan solo $2, mientras que el promedio de estafas en cada uno de los sitios oscila entre $200 y $600, según la investigación, que se presenta en la conferencia de seguridad BlackHat Europe.
Las estafas vienen en múltiples formas. Algunos son simples, otros son más sofisticados. Con frecuencia, hay estafas de «romper y correr», dice Wixey, donde el comprador no paga por lo que ha recibido o el vendedor recibe el dinero pero no envía lo que vendió. (Estos a menudo se conocen como «rippers».) Otros tipos de estafas involucran datos falsos o vulnerabilidades de seguridad que no funcionan: una persona en BreachForums afirmó que un vendedor intentó enviarle datos de Facebook que ya eran públicos.
En un incidente extremo en el foro Exploit, una cuenta publicó una larga queja de que le habían proporcionado a alguien un exploit del kernel de Windows y no le habían pagado los $130,000 que habían acordado por él. El comprador dijo que pagaría una vez que hubiera probado el software, pero nunca entregó el dinero. “En cada etapa, dio diferentes excusas para retrasar el pago”, dice una versión traducida de la denuncia.