Autor: Juan Carlos Galindo
Fuente: LA VANGUARDIA
El ataque MITM (Man in the middle), del inglés Hombre en el medio, es muy popular entre los ciberdelincuentes por la cantidad de información a la que pueden llegar a acceder en caso de que tengan éxito. Es un tipo de ataque basado en interceptar la comunicación entre 2 o más interlocutores, pudiendo suplantar la identidad de uno u otro según lo requiera para ver la información y modificarla a su antojo, de tal forma que las respuestas recibidas en los extremos pueden estar dadas por el atacante y no por el interlocutor legítimo. Pero veamos exactamente en qué consiste para entenderlo mejor.
Básicamente, consiste en interceptar la comunicación entre 2 o más interlocutores. Para ello, alguien anónimo llamado X se sitúa entre ambos e intercepta los mensajes de A hacia B, conociendo la información y a su vez dejando que el mensaje continúe su camino.
Estos ataques de Ingeniería social son un conjunto de técnicas que emplean los ciberdelincuentes para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño, como puede ser ejecutar un programa malicioso, facilitar sus claves privadas, comprar en sitios web fraudulentoso cambiar números de cuenta. Es decir, el engaño como arma del delito.
El primer paso es introducir un Malware (programa malicioso) para tener acceso al servidor de correo de unos de los 2 intervinientes; o bien en el de securitas, o bien en el del palacio de congresos, con el objeto de visualizar el trafico real y elegir bien a sus víctimas.
En segundo lugar y después de estar un tiempo espiando el tráfico de los correose, se elige a las víctimas, es decir, que persona paga y que proveedor va a ser el usado para el cambiazo del número de cuenta. Pero antes, se estudia y se prepara la simulación real de los correos a suplantar, para que a simple vista sean iguales (efecto visual), sobre todo la apariencia del correo exterior y luego el cuerpo de correo, con su firma (imagen 1)
En este caso concreto, la estafa estuvo bien elaborada, ya que en el correo se acompañaban de 2 documentos razonablemente bien confeccionados: la orden del cambio de número de cuenta (imagen 2) y el certificado de esta (imagen 3)
Además, en el correo electrónico en la parte de mostrar nombre, se mostraba el de SECURITAS. Siendo la dirección de correo del atacante la de, securitas@tecnicoadministracion.net
El dominio usado para el ataque fue @tecnicoadministracion.net este dominio se creo el 22 de septiembre de 2020 y fue contratado desde PANAMA. A su vez, la IP visible esta erradicada en Georgia, Atlanta, EE. UU. Pero todo esto no vale de mucho (sin tener acceso a la cabecera del correoe) ya que sabemos que este dominio esta ofuscado, es decir, vemos lo que él quiere que veamos, por lo tanto, la Info que nos da, no es la verdadera. Es habitual sea así para dificultar todavía mas si cabe la ubicación e identidad.
Un correo electrónico consiste en la cabecera (header) y el contenido del mensaje (cuerpo). La cabecera le permite rastrear el historial de transmisión de un correo electrónico. De la cabecera se puede obtener la siguiente información: el remitente, el destinatario, la fecha, el sujeto, los servidores implicados en la transmisión del remitente al destinatario. Esta ultima parte es la primordial para saber de donde ha venido y por donde ha pasado.
El 16 de diciembre de 2020 se recibe en las cuentas de correo del Director Financiero y su colaboradora un correo, supuestamente de la empresa SECURITAS, en el que se indicaba un cambio de cuenta bancaria. Se procede a introducir en el programa de contabilidad, en la ficha del proveedor, la nueva cuenta corriente.
El 23 de diciembre de 2020 se realiza, a través de fichero electrónico, el pago de la remesa de las facturas emitidas por los proveedores en el mes de noviembre. El pago de SECURITAS se ordena a la nueva cuenta corriente que se habla comunicado en el email de 16 de diciembre.
El 29 de enero da 2021, se paga la factura correspondiente a diciembre, de 22.605 €, a la misma cuenta corriente.
El 8 de febrero de 2021 tienen lugar los siguientes acontecimientos:
Se detecta en la cuenta que el día 5 de febrero se produjo la devolución de la última factura de SECURITAS correspondiente a los consumos generados durante el mes de diciembre. Se remite correo al responsable del servicio de la cuenta de seguridad, para que indique el número de cuenta al que ha de hacerse el pago.
Se recibe correo de la responsable de cobros de SECURITAS de Valencia, que adjunta de nuevo el certificado de titularidad, e informa de que no se ha recibido el pago de los 21.020,11 €de la factura correspondiente a los gastos del mes de noviembre.
Al constatar que la cuenta corriente de SECURITAS seguía siendo la misma de siempre, que no ha habido ningún cambio, se detecta la posible estafa.
Se remite correo a la directora de la sucursal de CAIXA POPULAR, quien informa que la cuenta corriente a la que se realizó el pago de los 21.020,11 €, está bloqueada. Al parecer, la factura de diciembre se devolvió, porque la falsa cuenta corriente ya había sido bloqueada por ING DIRECT. Probablemente por denuncias anteriores de otros estafados por ser utilizada como cuenta de phishing.
Parece increíble como después de lo sucedido con la estafa de la EMT, vuelva a ocurrir lo mismo en otra entidad pública dependiente del Ayuntamiento de Valencia. ¿Dónde están los planes de prevención del delito que en el pleno del ayuntamiento de valencia de fecha 17 de octubre de 2019, se airearon con bombo y platillo, dónde están? Los buenos gestores asumen sus errores y buscan la mejora, los malos siempre buscan escusas.
Lo primero que hace cualquier profesional que se precie es mitigar la brecha de riesgo en la cadena de ciberseguridad y fortalecer el eslabón más débil, las personas. Sin descuidar la seguridad en nuestros sistemas, equipos y redes informáticas.
Tan solo una llamada telefónica de verificación secundaria al proveedor hubiera bastado. Ha esto se le llama verificación en dos pasos. No es suficiente que nos manden un correo, que parezca el suyo, o unos certificados que parezcan los suyos, debemos de realizar una comprobación activa de veracidad. Los bancos no pueden comprobar si una cuenta que esta en otra entidad pertenece a su titular o no, ya que no comparten información de clientes con su competencia, como es normal. De ahí el formulario SEPA entre otros.
En definitiva, una vez más los políticos se alejan cada día más, de la realidad de la sociedad civil y de los profesionales que la componen y por ende del ciudadano que paga sus impuestos religiosamente. Con estas inacciones políticas podemos llegar a cuestionarnos por qué y para que pago mis impuestos, ya que los 21.000€ estafados son de los ciudadanos valencianos.
Esta situación de desidia por parte de nuestros gobernantes de turno, como si el dinero público no fuera de nadie alimenta sin lugar a dudas el hastío y el desapego hacia las instituciones publicas y sobre todo hacia la clase política. Produciendo así, un quebranto entre las relaciones ciudadanas y públicas. Una pena.
QUIÉNES SOMOS
La Asociación
Junta Directiva
Sedes
Noticias
Artículos de Interés
Canal Ético
ACERCA DEL COMPLIANCE
Qué es
Compliance Officer
Marco Normativo Internacional
Cual es tu nivel de Compliance
FORMACIÓN
Eventos
Cursos Acreditados
Agenda Formativa
Cómo acreditar un curso
CERTIFICACIÓN
Certificación Profesional WCA
Certificación Sistemas de Compliance
SOCIOS
Ventajas de Asociarse
Entidades Asociadas
Profesionales Asociados
Solicitud de Adhesión
LEGAL
Aviso Legal
Política de Privacidad
Política de Cookies
Propiedad Intelectual
Condiciones de Contratación