Como se incautan #Bitcoins

noviembre 8, 2013 § Deja un comentario

La ciberdelincuencia es cada vez más sofisticada y los delitos económicos que lleva aparejados -sobre todo, robo y blanqueo de capitales- encuentra desde hace años en la Red un campo ilimitado de posibilidades. El auge de las divisas virtuales plantean nuevos retos judiciales y policiales. Nos hemos preguntado: ¿Cómo se intervienen las cuentas de monedas virtuales? ¿Qué se hace con ellas, una vez se detiene al presunto delincuente? ¿Y qué pasa si éste al final resulta absuelto?
Para entender de qué hablamos, parece necesario volver a una definición de ‘moneda virtual’. Y el Bitcoin es el ejemplo más conocido. No es una moneda de curso legal -no hay ninguna autoridad que tome decisiones sobre su emisión y control- pero sí puede funcionar como medio de pago. Y además es un medio de pago anónimo -en principio-, como el pago en efectivo.

Con la caída de SilkRoad, el FBI se incautó de 26.000 Bitcoins por valor de unos 3,6 millones de dólares. Y más cerca, hace unos meses, la Policía española anunciaba que había logrado incautarse de Bitcoins -de hecho, se convertía en el segundo Cuerpo de Seguridad del mundo en incautarse de este tipo de moneda electrónica- en el marco de la Operación Ramson contra los responsables de una red que estafaron a las víctimas del llamado ‘virus de la Policía’.

El inspector jefe de delitos económicos de la Brigada de Investigación Tecnológica (BIT) de la Policía Nacional española explica un poco cómo se procede a bloquear moneda electrónica. Rodríguez comenta que el ciberdelicuente lo que busca -sus premisas- es fundamentalmente cometer sus delitos de forma anónima -trata de evitar la “trazabilidad” de sus movimientos en la Red- y obtener el máximo beneficio posible y moverlo, ‘blanquearlo’, también de forma anónima. Por eso se usan cada vez más las monedas electrónicas.

Operación Ramson

A la hora de mover dinero electrónico, en el caso de la Operación Ramson, estas operaciones se realizaban de forma diferente en el caso de Europa y EEUU. En EEUU se usaba MoneyPay, que obligaba a blanquear las cantidades mediante la extracción de efectivo con tarjetas falsas en España. En este caso, se hacían con tarjetas bancarias prepago estadounidenses y llamaban desde Málaga a través de un ordenador ‘dedicado’ que simulaba una llamada desde EEUU. Una vez activadas cargaban de dinero las tarjetas y hacían ‘rondas nocturnas’ a cajeros par extraer efectivo. En ese momento se perdía el rastro del banqueo. Y todo ello desde Málaga. Luego, el dinero volvía al circuito de dinero electrónico.

Mientras, en Europa, se utilizaban otras plataformas de pago de dinero electrónico como Neteller, OkPay o WebMoney, que no pueden operar en EEUU. En el caso de la Operación Ramson, uno de los detenidos en Málaga estaba dedicado a varias actividades de blanqueo de dinero -también procedente del ‘phishing’- y de venta de ordenadores ‘dedicados’ (bajo el control total de un intruso remoto).

El detenido, según la Policía, se dedicaba a mover dinero de las plataformas antes mencionadas -controlaba un gran número de cuentas o ‘monederos’- a través de los conversores, que permiten cambiar de Bitcoins a Linden Dollars, por ejemplo. Todo esto lo hacía con identidades robadas; en este caso en concreto, mediante los datos de DNIs escaneados de tiendas de telefonía móvil cuyas bases de datos habían sido comprometidos. “En un momento dado, tras varias conversiones es posible transferir Bitcoins, por ejemplo, a una cuenta bancaria: así es como disponía del dinero”, explica Rodríguez, que explica que en muchos casos esas cuentas son de ‘mulas’, personas que desconocen que hay cuentas abiertas a su nombre. “Incluso para dinero ya ‘blanqueado’ usaba cuentas que no estaban a su nombre”, apunta el inspector.

Hasta aquí el modus operandi del detenido. Pero ¿cuál es la clave para poder incautarse de monedas digitales? Rodríguez reconoce que en este caso cuenta la rapidez de la intervención. “Cuando se detuvo a este individuo logramos hacerlo con sus ordenadores y discos duros en marcha, tenia unas 50 pestañas abiertas en su navegador con diferentes cuentas y monederos para realizar estas transacciones”. A este detenido le llegaron a intervenir hasta 100 tarjetas de teléfono prepago -que usaban para autenticar claves- a nombre de una sola persona.

De Bitcoin al depósito judicial

¿Cómo se incauta una moneda como Bitcoin, que no tiene quien la gestione directamente? ¿Cómo dispone uno de ese dinero? Lo que hizo la Policía, una vez entraron en casa del detenido pillado in fraganti y con algunos de sus monederos abiertos -nunca antes-, fue pedir una orden judicial para intervenirlos lo más rápido posible.

“En esta ocasión, con la autorización judicial en la mano -que se cursó el mismo día de la detención- y al valor de cambio que esté, entramos en los monederos del detenido; tenemos una plataforma paralela y cuentas creadas nuestras para controlar todo ese dinero, y allí se transfirieron las cantidades” comenta Rodríguez. Por tanto, la Policía no llegó a tener la cantidad en efectivo.
“Se acreditó al juzgado el valor de cambio de ese momento, demostrando todos los pasos y descontando las comisiones”, afirma el inspector. Más tarde las cantidades intervenidas en euros se ingresaron en la cuenta bancaria de consignaciones judiciales. De hecho, ésta es la manera común de intervenir divisas digitales: hay que convertir esas cantidades en dinero de curso legal e ingresarlo en la cuenta bancaria que el juzgado designe. “La Policía no puede quedarse con las cantidades incautadas, que tienen que pasar al juzgado, y la forma de realizar eso es ingresar las cantidades en una cuenta bancaria en esta investigaciones y en todas, y ya sean talones, cheques, efectivo o dinero electrónico”, afirma Rodríguez.

La Policía sólo puede acreditar lo que ha estafado un ciberdelincuente a través de los movimientos previamente controlados gracias a las intervenciones de las comunicaciones por orden judicial, muchas de las cuales requieren comisiones rogatorias a otros países. “Cuando decimos que este señor ha blanqueado en dos meses 600.000 euros es porque tenemos pruebas fehacientes de ello”, asegura. Muchas plataformas colaboran a la primera, porque no quieren que sean consideradas como ‘encubridoras’ de hechos delictivos.

Fuente: El Mundo

Sitio web ofrece gratis datos personales de mexicanos, argentinos, chilenos y paraguayos

noviembre 8, 2013 § 1 comentario

El Instituto Federal Electoral (IFE) presentó este día una denuncia de hechos ante la Fiscalía Especializada para Delitos Electorales, contra quien o quienes resulten responsables por la elaboración y/o manejo de un sitio web, mediante el cual se pueden obtener datos personales de un ciudadano.

La respuesta del IFE se da después de que esta mañana el diario Reforma diera a conocer la existencia de este portal que regala información personal de cualquier ciudadano mexicano y que tiene dominio en Suecia. En rueda de prensa el consejero presidente provisional del IFE, Benito Nacif, dijo que la denuncia de hechos fue presentada por la Dirección Jurídica del IFE ante la Procuraduría General de la República (PGR), pues con teclear el nombre completo de un ciudadano se puede obtener el número de su credencial de elector, su CURP, domicilio, así como su Registro Federal de Contribuyentes.

María Marván Laborde, consejera del Instituto Electoral, pidió a los ciudadanos que denuncien también en la PGR para proteger sus datos personales y sea ésta quien integre la averiguación. Para mostrar como funciona, el periódico capitalino exhibe los datos que muestra la página web de Gerardo Laveaga, Consejero Presidente del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI).

Este sitio de internet ofrece también información personal de ciudadanos de Argentina, Chile y Paraguay, según Reforma. Los datos que muestra el sitio corresponde al padrón anterior del IFE, por lo que muestra información correcta de quienes no han cambiado de domicilio.

Fuente: Sin Embargo

Cayó en Malargüe el rey del robo a cajeros automáticos (Argentina)

noviembre 4, 2013 § Deja un comentario

Se trata de un cordobés de 53 años que está acusado de robar cientos de miles de pesos de cajeros, a partir de un ardid en el que usaba pura tecnología y nada de violencia. Lo capturaron en Malargüe.

Un hombre se acerca hasta la puerta de vidrios donde hay un cajero automático. Mira el lector de las tarjetas magnéticas para ingresar al recinto y coloca uno que él mismo lleva. Luego hay que entrar hasta donde están el o los cajeros automáticos y con rapidez colocar una microcámara lo más imperceptible posible en la parte posterior del aparato: la cámara tiene que apuntar al teclado.

Las víctimas, sin saberlo, dejarán dos huellas que a los ladrones les serán de gran utilidad: una, cuando pasen su tarjeta en el lector falso, dejarán los datos de la cinta magnética; dos, cuando introduzcan la tarjeta en el cajero y tecleen su clave, los estarán filmado. Después, los ladrones se llevarán el lector de ellos y, a partir de una tarjeta magnética virgen, harán un clon con los datos que quedaron de la tarjeta de la víctima. Luego mirarán la película en la que la víctima teclea su clave en el cajero y sabrán los cuatro números secretos.

A la tarjeta clonada que ya tiene los datos de la verdadera, los delincuentes la introducirán en cualquier cajero y, como ya saben los números, sacarán el dinero que les plazca; un monto que puede llegar hasta los 15 mil pesos. Luego se van del cajero con la plata y sin levantar sospecha alguna. Un golpe perfecto, limpio, sin armas ni situaciones violentas para las víctimas. La única violencia es la que experimentan los dueños de las cuentas cuando caen en que las mismas han sido vaciadas.

El especialista en este mecanismo (conocido como “skimming”; ver aparte) es un cordobés de 53 años llamado Oscar Enrique Bonardi, con varias detenciones por este tipo de delitos. Por eso algunos lo llaman el rey de las tarjetas clonadas. Y por eso llevaba una vida llena de lujos en su provincia hasta que Delitos Económicos de Córdoba le puso los ojos encima a partir de casi 100 denuncias que lo involucran.

El jueves pasado fue detenido en Malargüe junto con un cómplice en una estación de servicios cuando se preparaban para abandonar el departamento con aparentes intenciones de recalar en Mendoza y, de seguro, vaciar más cajeros

*****

Según explicó el titular de la seccional 24 de Malargüe, Daniel Ciardullo, “a los sujetos los venían siguiendo desde Bariloche. Un grupo de detectives del Centro de Investigación Criminal (CIC) de la Policía Judicial de Córdoba, nosotros e Investigaciones teníamos el dato de que estaban de paso por el departamento y cuando los vimos en la estación de servicios fue que los apresamos”.

En la camioneta Chevrolet Captiva último modelo en la que se movilizaba Bonardi -quien iba acompañado por el ex agente penitenciario cordobés Diego Ramón Amarilla (29)- los efectivos hallaron gran cantidad de prueba: “47 mil pesos en efectivo, dos netbook, una tablet, cien tarjetas adulteradas con banda magnética, lectores de ingreso a cajeros, cámaras de teléfonos celulares, baterías de celulares, pegamento para adherir las cámaras y hasta pintura con la que camuflaban los lectores de ellos para colocarlos en las puertas de los cajeros. En los lomos de las tarjetas clonadas se veían las claves secretas robadas y anotadas con un fibrón”, según dijo Ciardullo.

El dúo Bonardi-Amarilla llevaba una vida delictiva casi romántica, según tiene acreditado el fiscal especial de Córdoba, Mariano Antuña; los dos viajaban por el país, cometían el mismo tipo de delito para el que contaban con toda la tecnología, y se quedaban pocos días en las ciudades.

Luego partían -como hicieron la semana pasada cuando llegaron a Malargüe desde San Martín de los Andes- y se las agarraban con otros cajeros de otras ciudades o pueblos. La policía tiene la certeza de que ambos estaban al tanto de que eran seguidos.

“Además, hay que explicar que se trata de un delito ‘portable’ en el espacio y en el tiempo -explicó un sabueso de Delitos Económicos- porque la información de las tarjetas ya está en poder de los delincuentes y pueden ingresar a la cuenta cuando deseen y desde donde quieran. En muchos casos la primera operación (el robo de datos y la clonación de la tarjeta) se hace en una ciudad, y el robo (ingresar a la cuenta de la víctima y llevarse el dinero) se lleva a cabo en otra, o incluso en otro país”.

*****

De acuerdo con los registros periodísticos, Bonardi comenzó con este tipo de delitos entre 2007 y 2008 en Córdoba. A partir de una pesquisa iniciada por del fiscal cordobés Enrique Gavier quedó acreditado que Bonardi clonaba tarjetas en Capital federal y vaciaba las cuentas de la víctimas en Córdoba.

El 19 de agosto de 2011 fue condenado a cuatro años de prisión como coautor de “defraudación calificada mediante el uso de tarjeta de débito falsa”. En el fallo se indica que le comprobaron 38 casos pero se sospecha que fueron más.

En abril de este año, al “especialista en cajeros” lo detuvieron en Capital Federal, en las inmediaciones de un banco Macro de calle Scalabrini Ortiz al 1700, cuando personal de Banelco descubrió que había instalado un falso abrepuertas en la sucursal.

Sin embargo, su abogado logró excarcelarlo a las pocas horas. Este caso fue cubierto por los diarios nacionales ya que llamó mucha la atención el modus operandi del estafador.

*****

En libertad, Bonardi, y en Córdoba -donde se destaca por practicar deportes de riesgo- cayó bajo el ojo del fiscal de Delitos Complejos Mariano Antuña, a quien le llegaron más de ochenta denuncias idénticas acerca de desfalcos a diversos cajeros automáticos.

De ese modo, se libró una orden de detención pero el 20 de setiembre de este año, cuando fueron a buscar a Bonardi, ya no estaba.

“Según los investigadores, tras huir de Córdoba, los dos estuvieron en Santa Fe y luego viajaron hacia Mendoza. Estafas similares que iban siendo denunciadas en esas provincias hicieron pensar que se trataba de las mismas personas”, publicó en su edición de ayer el diario cordobés La Voz del Interior.

En la seccional 24 de Malargüe, Bonardi y Amarilla están en celdas separadas y prácticamente no se han comunicado entre ellos. “Se portan bien y no ha venido nadie a visitarlos; es más, están incomunicados por pedido de la Justicia”, explicó el comisario Ciardullo, quien indicó que debido al aspecto “limpio” de ambos detenidos, “muy pocos podrían sospechar que se trata de dos estafadores tan sofisticados”.

Mañana, una comisión de la Policía de Córdoba vendrá por ambos.

Autor: Rolando López
Fuente: Los Andes

El FBI secuestra los Bitcoins de Silk Road

octubre 29, 2013 § Deja un comentario

El FBI había logrado apoderarse de 144.000 Bitcoins con un valor aproximado de U$S 28,5 millones, del fundador de Silk Road, el almacenamiento más grande de esta criptomoneda.

Estos Bitcoins pertenecieron a Ross Ulbricht (29) recientemente arrestado, quien presuntamente creó y gestionaba Silk Road, el popular sitio de venta de droga anónimo. En marzo pasado, se comercializaron entre 7.000 de 10.000 fármacos en ruta de la seda.
A principios de este mes Ulbricht fue detenido y el sitio web fue dado de bajo por el Departamento de Justicia, acusado de participar en el tráfico de drogas, lavado de dinero, conspiración e intento de asesinato a sueldo.

La dirección de Bitcoin DPR recibió la gran masa de 144.000 BitCoins y las autoridades también están buscando 110.000 Bitcoins adicionales ($22 millones) en una billetera virtual separada, que creen también pertenecía a Ulbricht.

En total, incluyendo este dinero, el FBI tiene el control de 174.000 Bitcoins, que son el 3,15% de todos los que hay en circulación. Hace unas semanas, el FBI dijo que los Bitcoins secuestrados se depositarían en la Tesorería de Estados Unidos después de proceso judicial correspondiente.

Fuente: The Hacker News

Roban 100 mil dólares a usuarios por malas prácticas en sus contraseñas

octubre 23, 2013 § Deja un comentario

Hace unos días, un grupo de delincuentes realizó un ataque a un proveedor de servicios de Internet en Estados Unidos, logrando acceso a los nombres de usuario y contraseña de los clientes. Las contraseñas obtenidas fueron utilizadas para ingresar a sistemas bancarios de algunas de las víctimas y transferir alrededor de 100 mil dólares, según afirman los cibercriminales en su cuenta de Twitter.

Mediante la utilización de la técnica SQL injection, un servidor vulnerable del proveedor de servicios de Internet Sebastian, de California, fue atacado para obtener los datos de sus usuarios. El ataque pudo ser perpetrado en cuestión de minutos gracias a la automatización con la herramienta SQLmap, la cual busca posibles ataques y los aplica, volcando la estructura y contenido de las bases de datos. Posteriormente el grupo subió un video demostrando no sólo el ataque al ISP, sino también el acceso a las cuentas bancarias de algunos clientes.

La captura corresponde al comando sqlmap con la opción “dbs”, que muestra las bases de datos disponibles en el servidor. En la parte superior de la imagen se ha resaltado el servidor que está siendo atacado, y también puede observarse información como el tipo de ataque y el motor de base de datos. En base al conocimiento de esta información, los cibercriminales pueden buscar las tablas con información de los usuarios, lo cual se muestra en la siguiente imagen:

Se han ofuscado los nombres de usuario y direcciones de correo electrónico, pero los valores resaltados corresponden a las contraseñas. Con esto queremos mostrar una falla grave de seguridad, más bien a nivel conceptual, por parte de los administradores: las contraseñas estaban almacenadas en texto plano y pueden ser usadas en forma directa si caen en manos equivocadas. En este caso, a nivel de seguridad, la buena práctica sería que las contraseñas estuvieran almacenadas como un valor resultante de aplicar una función de hash (como MD5 o SHA1), además de la utilización de “granos de sal”.

Otro factor fundamental en el ataque, que excede la responsabilidad de este proveedor de servicios de Internet y que tiene que ver con los usuarios, es que para algunos de los clientes, la contraseña utilizada era la misma que la de otros servicios de correo electrónico, redes sociales o entidades bancarias. Si bien es cierto que puede ser difícil recordar muchas contraseñas, nunca debe utilizarse la misma contraseña para todos los servicios. En la siguiente imagen puede verse cómo los cibercriminales ingresan al sistema de transacciones bancarias de uno de los usuarios:

En resumen, a partir de una contraseña robada en el servidor del ISP se ha logrado acceso a la cuenta bancaria de un usuario, puesto que la contraseña era la misma. El video luego muestra cómo se puede llevar a cabo un movimiento de fondos, con lo cual los criminales proclaman que han ganado cientos de miles de dólares. Por ello debemos insistir en que nunca debe utilizarse la misma contraseña para distintos servicios.

Fuente: ESET Latinoamérica

Ploutus, malware que afecta cajeros automáticos

octubre 16, 2013 § Deja un comentario

El pasado 27 de septiembre, la empresa SafenSoft hizo la primera llamada de alerta. Un código malicioso estaba afectando varios cajeros automáticos (ATM) en México, extrayendo miles de pesos de forma no autorizada. Ayer se dio a conocer toda la historia.

El malware, conocido como Ploutus (o ATMer), violaba la seguridad de los dispensadores de efectivo, mediante un panel de control que permitía definir la cantidad de dinero y las denominaciones a extraer cuando un usuario entraba a usar un servicio bancario.

De acuerdo a SpiderLabs, este malware incluye varias peculiaridades, entre ellas que requiere de un código de activación para funcionar, y al momento de la infección se conecta al teclado del cajero para leer información, y si detecta cierta combinación de teclas, aparece un panel de control que aparentemente se opera de forma táctil.

“Un elemento interesante de este panel es que las opciones aparecen en idioma español, por lo que se piensa que el programa se desarrolló en la región. Por temas de confidencialidad no se puede señalar que bancos fueron afectados, pero se sospecha que éste fue desarrollado teniendo el suficiente conocimiento del funcionamiento de estos sistemas”, dio a conocer a Excélsior Roberto Martínez, CEO de Kaspersky Lab en México.

Según las investigaciones, el vector de infección del sistema fue un CD-ROM, por lo que se requirió de acceso físico al equipo para poder afectarlo con el malware.

Pablo Ruiz Galindo, director general de la compañía Proac, que presta el servicio de cajeros automáticos (ATM) a bancos en México y uno de los afectados, dio a conocer ayer en entrevista con Excélsior que fueron dos las marcas principalmente las afectadas por hackers, a quienes se les robaron varios miles de pesos.

“Por confidencialidad no podemos especificar el monto perdido. Lo que si es que los usuarios no fueron afectados, este fue un robo directamente a los cajeros. Una vez colocado el malware, los criminales ordeñaban la máquina a través de un dispositivo móvil. Nosotros trabajamos rápidamente en un parche de seguridad, por lo cual sólo un cajero fue afectado. La información que tenemos es que a otras compañías les robaron de hasta 50 cajeros”, dijo Ruiz Galindo.

De Venezuela para México
Aseguró que una parte de la banda de delincuentes cibernéticos ya fue capturada y encerrada en el Reclusorio Oriente, y reveló que son de nacionalidad venezolana.

Según datos de empresas de seguridad, hubo tres marcas afectadas en el robo de los cajeros por parte de los hackers: NCR, Wincor y Proac.

“Se piensa que esta es una tendencia que puede ir en crecimiento, debido a que desde 2009 ya se habían detectado muestras de malware que estaban diseñadas específicamente para atacar puntos de venta o más recientemente cajeros automáticos en Estados Unidos”, añadió Roberto Martínez, cuestionado sobre lo que puede ocurrir en los próximos meses.

Agregó que ésta es una muestra (y 2) en particular interesante no debido a su complejidad técnica, sino a la cantidad de malware disponible enfocado a equipos ATM y sobre todo hacia Latinoamérica y en este caso particularmente en México.

Según la compañía de seguridad informática Norton, en nuestro país los ataques de malware afectan a las empresas con pérdidas anuales de 39 mil millones de pesos.

A escala mundial, el costo de este tipo de ciberataques es de 113 mil millones de dólares, de los cuales 38% son pérdidas por fraudes, 24% por reparaciones, 21% por pérdida de información robada y 17% por otros ataques.

Cómo funciona el malware Ploutus

  1. Al introducirse un CD-ROM en el sistema, se ejecuta como un servicio de Windows llamado NCRDRVPS.
  2. Los delincuentes crean una interfaz para interactuar con el software de ATM en un cajero automático, a través de la clase NCR.APTRA.AXFS
  3. Su nombre binario es PlotusService.exe
  4. Se crea una ventana oculta que puede ser activada por los delincuentes para interactuar con el cajero automático.
  5. Interpreta combinaciones de teclas específicas, introducidos por los delincuentes, como los comandos que se pueden recibir de un teclado externo (que debe conectarse a la ATM).
  6. Genera un ID en el cajero: número creado aleatoriamente asignado al cajero automático, basado en día y mes actual al momento de la infección.
  7. Activa el ID en el cajero: establece un temporizador para dispensar dinero. El malware “ordeña” el dinero dentro de las primeras 24 horas después de que se ha activado.
  8. Dispensa efectivo: se vierte el dinero solicitado por los delincuentes.
  9. Se reinicia el periodo de tiempo de dosificación del efectivo.

Fuente: Excelsior

Arrestan al "coleccionista número uno de pornografía infantil"

octubre 8, 2013 § Deja un comentario

Tras una investigación de casi un año, la patrulla estatal de Washington ha detenido a un hombre que alegan “era el coleccionista número uno de pornografía infantil”.

La mañana del jueves la policía arrestó a Elwood Anderson (46), esposo y padre, miembro activo en su iglesia y entrenador de un equipo de fútbol juvenil. También es un ingeniero de software de computadora que, según I.C.A.C. (Internet Crimes Against Children Task Force), utilizaba métodos sofisticados para ocultar miles de imágenes explícitas de niños en su computadora.

La investigación comenzó en Seattle en diciembre de 2012 y los investigadores de I.C.A.C. obtuvieron una orden de cateo en julio permitiéndoles buscar en las computadoras y el hogar de Anderson. Un equipo especializado pudo descubrir 10.000 imágenes pornográficas y cientos de videos escondidos en su equipo.

“Nos enteramos que era un desarrollador y programador de computadoras e inmediatamente empezamos a buscar pruebas en diferentes lugares”, dijo Keays, quien trabaja en informática forense y fue capaz de descifrar el código que Anderson creó para ocultar su actividad criminal.

Anderson fue acusado de tráfico y posesión de representaciones de menores adoptando comportamientos sexualmente explícito.

Fuente: Q13Fox

¿Dónde estoy?

Actualmente estás explorando la categoría delitos en Seguridad Informática.