Desde hace ya mucho tiempo nos hemos dado cuenta de que los ciberataques no solo están destinados a personas importantes y ricas, sino que cualquiera puede coinvertirse en víctima de una estafa, porque hoy en día los ciberdelincuentes llevan a cabo campañas masivas que llegan a cientos de usuarios aleatoriamente.
Algunas les salen bien y otras mal, pero también hay de vez en cuando casos en los que la jugada les sale fatal a los estafadores, y esos casos son cuando se topan con personas que tienen los mismos conocimientos informáticos o incluso superiores a los suyos, como fue el caso del investigador de ciberseguridad y fundador de la firma Phantom Security, Grant Smith.
En realidad él no sufrió el ataque, sino que fue su mujer que cayó en una estafa de phishing que suplantaba a la compañía de paquetería UPS con la típica excusa de que tenía un paquete en espera y tenía que rellenar una serie de datos (entre los que se incluía información bancaria) para recibirlo.
Como le ocurre a cientos de personas a diario, la mujer cayó en la trampa y entregó toda esta información, pero en esta ocasión los atacantes no salieron impunes, debido a que Smith se propuso rastrearles y darles una cucharada de su propia medicina.
Utilizando técnicas avanzadas como la inyección SQL y la inclusión de archivos locales (LFI), logró acceder a la base de datos y archivos de uno de los enlaces fraudulentos desde donde perpetuaban estas estafas, lo que le permitió acceder al sistema diseñado por los ciberdelincuentes y las campañas con las que habían logrado llevar a cabo miles de robos de credenciales y datos bancarios.
En concreto, descubrió que este grupo usaba un kit de phishing creado por un estudiante chino que lo vende por una suscripción mensual de 200 dólares a través de Telegram. Con él, los ciberatacantes podían replicar páginas oficiales, como en este caso la de UPS de una manera rápida y sencilla.
Gracias a sus amplios conocimientos informáticos y en concreto de ciberseguridad, Smith pudo descifrar el código y obtener información crucial sobre cómo funcionaba el sistema para poder adentrarse en él y acceder a los paneles de administración de los estafadores.
A parte de todo el dinero que robaron, Smith descubrió más de 430.000 números de tarjetas de crédito y 50.000 direcciones de correo, dándose cuenta de la magnitud de este conglomerado. Tras recopilar todos los datos posibles de esta macro operación, Smith entregó toda la información a las autoridades estadounidenses, incluyendo a la CIA, que al parecer ya se ha puesto a investigar el caso.
Irónicamente, Smith podría enfrentarse a problemas legales, porque las técnicas que utilizó podrían interpretarse como una violación de la Ley de Fraude y Abuso Informático estadounidense, al hackear unos sistemas propiedad de otros, pero, ¿se considera delito robar al ladrón?
