FISCAL INVESTIGA

Banda colombiana hackeó cuentas bancarias y estafó con bitcoins

Más de 30 cuentas de empresas y de personas fueron hackeadas mediante “phishing” por una banda colombiana en el marco de una estafa millonaria.

No brindar las claves es fundamental para evitar ciberdelitos. Foto: Archivo El País
No brindar las claves es fundamental para evitar ciberdelitos. Foto: Archivo El País

Este contenido es exclusivo para nuestros suscriptores.

El fiscal especializado en Delitos Económicos, Enrique Rodríguez, investiga una compleja y millonaria maniobra efectuada por una organización colombiana.

La estafa posee dos etapas: el hackeo de cuentas bancarias y, con el dinero sustraído en forma ilegal, compras de criptomonedas a vendedores que operan por una plataforma.

El “embrión” de la megaestafa son miles de e-mails maliciosos que la banda envía a uruguayos. Esta maniobra se conoce como “phishing” (y se traduce como la obtención de contraseñas mediante engaño del titular de las cuentas).

Los e-mails tienen el logo de un banco privado de plaza. Lo que hacen los delincuentes es solicitarle a operadores de cuentas de este banco que ratifiquen su nombre, dirección y contraseñas, y les dicen que si no lo hacen perderán su dinero depositado.

Aquellos incautos que llenan el formulario, otorgan a la banda las claves que le permite acceder a sus cuentas bancarias.

La investigación del fiscal Rodríguez se inició con una denuncia y una ampliación de denuncia presentada por el banco afectado en los últimos meses.

El fiscal, que están en plena indagatoria, constató que la organización colombiana penetró, en forma ilegal, en más de 30 cuentas del banco denunciante operadas por empresas y por personas. En forma simultánea integrantes de la banda ingresaron a plataformas de ventas de criptomonedas establecidas legalmente y apuntaron hacia vendedores que operaban con el banco.

Tras el primer contacto a través de la plataforma, la negociación continuaba por Whatsapp. “Esas personas tenían un acento caribeño. Insistían en que yo debía recibir el pago de la compra de mis criptomonedas en una cuenta en el banco hackeado. Lo hicimos así y ahora el banco me congeló el dinero pese a que actué de buena fe y a través de una plataforma de venta reconocida”, dijo un damnificado a El País (ver aparte).

Mientras negociaba bitcoins a través de la plataforma, la banda colombiana colocó un aviso en Facebook diciendo: “Preciso personas con cuentas bancarias para transferencias y gestiones”. Y allí también mencionaba al banco en cuestión.

Muchas personas desempleadas o con problemas de trabajo provocados por la pandemia de COVID-19 se interesaron en el anuncio y dieron sus datos. A través de Whatsapp, los delincuentes les decían que se dedicaban al negocio de las criptomonedas y que, por problemas formales, no podían tener una cuenta bancaria en Uruguay. A cambio de operar esas cuentas ajenas, la banda ofrecía a los uruguayos un 10% del dinero que pasara a su nombre.

Lo que hacían, entonces, era tomar el dinero de las cuentas hackeadas y la subdividirlas en cifras bajas en la de estos “gestores” voluntarios para que no se dispararan las alarmas del banco.

Las sumas sustraídas oscilaban entre $ 60.000 y US$ 3.000. Posteriormente, la banda le decía al gestor que había acreditado en su cuenta una suma de dinero y que debía girarla a una persona en Colombia, a cuentas del banco hackeado o a otras instituciones financieras.

Por orden del fiscal, más de 20 gestores fueron interrogados por investigadores del Departamento de Delitos Financieros de la Dirección de Crimen Organizado.

Rodríguez también solicitó el levantamiento del secreto bancario de los dueños de las cuentas hackeadas y de los gestores. Y envió exhortos a Colombia y a otro país para tratar de identificar a los integrantes de la banda.

“Quiero que devuelvan el dinero de mi cuenta”

Miguel (nombre ficticio) opera desde hace cinco meses con criptomonedas. Días atrás vendió bitcoins por $ 45.000. Esperaba cobrar ese dinero en un banco. Cuando recibió el depósito, el banco impidió hacer el retiro y lo bloqueó. Dicha decisión se debió a que se le acreditó Miguel un giro proveniente de una cuenta hackeada. Miguel dice que el bloqueo ocurrió poco antes de que intentara, sin éxito, vender criptomonedas por US$ 20.000. “Por suerte me bloquearon la cuenta antes. Si me ocurre con la segunda venta, me quiebran”, explica. Y agrega: “Quiero que el banco me devuelva mi dinero porque vendí bitcoins a través de una plataforma legal”. Mario (nombre ficticio) vendió criptomonedas por US$ 2.300. En el banco, dic le obligaron que devolviera el dinero que recibió y que firmara una denuncia. Mario también pide la restitución del dinero.

Ciberseguridad: 9 consejos de los bancos
Hackers, ciberseguridad, red

En los últimas semanas, varios casos de “phishing” a operadores de cuentas bancarias obligaron a las empresas financieras a publicar consejos para evitar que delincuentes accedan a ellas. Los bancos advirtieron que nunca envían a sus clientes correos electrónicos, mensajes de texto o Whatsapp solicitando nombres, direcciones, números de cuentas u contraseñas. Y recomendaron a sus clientes varios tips sobre ciberseguridad:

1) No abrir mails de supuestos bancos o instituciones de crédito.

2) Informar a la institución por los canales oficiales o a ejecutivos de cuentas si le hicieron alguna llamada telefónica o hubo un contacto sospechoso.

3) No brindar claves ni contraseñas a extraños por teléfono ni por mail.

4) No compartir información con aquellas personas o empresas que no se puedan identificar.

5) Los correos, llamadas o mensajes fraudulentos suelen pedir al cliente que actúe rápidamente. Por ejemplo, solicitarán datos para darle un premio cuanto antes, tener ventajas como cliente o solucionar un problema de seguridad.

6) Tener la misma contraseña, o parecidas, en todas las cuentas online es una práctica muy poco recomendable, pero muy común.

7) Utilizar “passphrases”. Son contraseñas de tres o más palabras. Por ejemplo, descifrar “gallinaperrogatoconejo” llevaría varios siglos, el doble que “#sK8/aD+:”, y es más fácil de recordar. El usuario debe saber que lo que hace fuerte una contraseña es la longitud, no su complejidad.​

8) Utilizar gestores de contraseñas. No anotar claves en un papel ni en las notas del celular. Los gestores de contraseñas permiten guardar todas las claves y simplemente se necesita recordar una clave maestra para acceder a ellas.

9) Además de tener una contraseña robusta, se debe aplicar la autenticación multifactor (MFA). Este método requiere formas de identificación adicionales como, por ejemplo, un código que llega al celular, huella o reconocimiento facial.

Reportar error
Enviado
Error
Reportar error
Temas relacionados