Este investigador hackeó a los hackers que engañaron a su esposa
“Empecé a hacer ingeniería inversa, descubrí cómo se encriptaba todo, cómo podía desencriptarlo y encontré una forma más eficaz de obtener la información”, explica Smith. A partir de ahí, especifíca, descifró las contraseñas de administrador de los sitios web (muchas seguían empleando el nombre de usuario predeterminado “admin” y la contraseña “123456”) y pudo comenzar a extraer los datos de las víctimas de la red de sitios web de smishing de forma más rápida y automatizada.
Smith buscó en Reddit y otras fuentes en internet para encontrar a personas que informaran de la estafa y las URL que se utilizaban, que posteriormente hizo públicas. Según Smith, algunos de los sitios web que ejecutaban las herramientas de la Tríada del Smishing recababan miles de datos personales al día. Entre otros detalles, solicitaban nombres, direcciones, números de tarjetas de pago y códigos de seguridad, números de teléfono, fechas de nacimiento y páginas web de bancos. Este nivel de información facilita a un estafador realizar compras online con las tarjetas de crédito. Smith comparte que su esposa canceló rápidamente su tarjeta, pero se dio cuenta de que los estafadores seguían intentando usarla, por ejemplo, con Uber. El investigador comenta que recopilaba datos de un sitio web y volvía a él unas horas más tarde, solo para encontrar cientos de registros nuevos.
El investigador proporcionó los datos a un banco que se había puesto en contacto con él tras ver sus publicaciones iniciales en el blog. Smith no quiso dar el nombre del banco. También denunció los incidentes al FBI y más tarde ofreció información al Servicio de Inspección Postal de Estados Unidos (USPIS, por sus siglas en inglés).
Michael Martel, funcionario nacional de información pública del USPIS, destaca que la información facilitada por Smith se está empleando como parte de una investigación en curso del servicio de inspección y que la agencia no puede comentar detalles concretos. “El USPIS ya está tratando activamente de obtener este tipo de información para proteger a la población estadounidense, identificar a las víctimas y aplicar la justicia a los malintencionados que están detrás de todo esto”, comenta Martel, señalando los consejos para detectar y denunciar las estafas en la entrega de paquetes del USPS.
Al principio, cuenta Smith, desconfiaba de hacer pública su investigación, ya que este tipo de “hackeo de vuelta” cae en una “zona gris”: Quizá esté infringiendo la Ley de Fraude y Abuso Informático, una legislación estadounidense de gran alcance sobre delitos informáticos, pero él lo hace en contra de delincuentes radicados en el extranjero. Algo que, sin duda, no es el primero ni el último que se realiza.
Como «P4x», Alejandro Cáceres interrumpió la conexión a internet de todo un país. Luego intentó mostrarle al ejército estadounidense cómo puede, y debe, adoptar sus métodos.
Múltiples objetivos de estafas de smishing
La Tríada del Smishing es prolífica. Además de recurrir a los servicios postales como señuelo para sus estafas, el grupo de habla china se ha dirigido a la banca en línea, el comercio electrónico y los sistemas de pago de Estados Unidos, Europa, India, Pakistán y Emiratos Árabes Unidos, según Shawn Loveland, director de operaciones de Resecurity, que ha monitoreado constantemente al grupo.
La Tríada del Smishing envía entre 50,000 y 100,000 mensajes diarios, de acuerdo con las investigaciones de Resecurity. Sus mensajes de estafa se mandan mediante SMS o iMessage de Apple, este último cifrado. Loveland asegura que la Tríada está formada por dos grupos distintos: un pequeño equipo dirigido por un hacker chino que crea, vende y da mantenimiento al kit de smishing, y un segundo grupo de personas que compran la herramienta de estafa. (Una vía de acceso oculta en el kit permite al creador consultar la información de los administradores que lo usan, añade Smith en una publicación de su blog).
