Los Yahoo Boys crecen: del spam de las cartas nigerianas a la ingeniería social
- Reportajes
Los estafadores nigerianos, más conocidos como ?Yahoo Boys?, han evolucionado del envío masivo de spam fraudulento al negocio de robo de datos bancarios, suplantación en redes sociales, clonación de webs y el compromiso de mails corporativos. Nueve de cada diez grupos criminales dedicados a los ataques BEC operan desde el país africano.
Todo aquel que tenga un correo electrónico y mire en su bandeja de ‘spam’ encontrará decenas de mensajes procedentes de una viuda de un jefe de Estado africano o de un enigmático hombre de negocios reclamando desesperadamente ayuda para la transferencia de enormes sumas de dinero hacia mercados fiscales más estables en Europa o Estados Unidos.
Este conenido fue publicado en el número de Marzo de la revista IT Digital Security, disponible desde este enlace.
Lo único que uno debe hacer para obtener un porcentaje de esa fortuna es colaborar en la transacción, facilitando sus datos personales y bancarios. Y pese a las faltas de ortografía y lo inusual de la oferta, funciona. Los nigerianos son los reyes del ‘spam’ y han explotado la fórmula con numerosas variantes como los anuncios de ‘romance’, donde una atractiva mujer reclama dinero para sus estudios o una operación quirúrgica, y nuevos escenarios como la guerra de Siria y Afganistán.
El timo alcanzó su máxima popularidad en la década del 2000 y fue bautizado como ‘las cartas nigerianas’ porque la mayoría de ellos procedían de este país africano. El fraude se inició en realidad en los noventa, antes incluso de la popularización de internet, y sólo hizo más que aumentar con los envíos electrónicos masivos.
Dos décadas después, las bandas organizadas asentadas en África occidental han evolucionado también a nuevas formas de fraude informático, multiplicando sus ingresos y magnificando los daños causados por sus ataques.
Nigeria se encuentra en la lista de los países donde más ataques informáticos se generan –ocupó el puesto número tres en el informe anual del FBI de 2013-, y según los últimos datos procedentes de diversas compañías de seguridad, continúa jugando un papel protagonista en los ataques a escala mundial.
Sus actividades se extienden ahora a la clonación de páginas web de entidades financieras, a la suplantación en las redes sociales, al robo de datos personales, el ‘phishing’, el malware, y los más novedosos ataques dirigidos de ‘spear fishing’ a través de ingeniería social.
De los viejos timos dirigidos a individuos incautos que se creían historias inverosímiles de príncipes nigerianos y bellas mujeres rusas, los estafadores nigerianos han pasado a centrar sus objetivos en empresas y corporaciones mediante el compromiso de correos corporativos (BEC).
“Todavía hay muchos ataques dirigidos a individuos particulares, pero en general, han aprendido que los grandes beneficios se obtienen cuando tu víctima es una gran corporación”, explica Zeki Turedi, estratega tecnológico de CrowdStrike.
“Las bandas nigerianas han sabido aplicar lo aprendido con los timos de spam para lograr ser tremendamente efectivos en la técnica del BEC. No solo en su habilidad para engañar a las víctimas, sino también en su capacidad para mover y blanquear el dinero procedente del fraude”, añade Turedi. “En lo que se refiere a BEC, podemos afirmar que Nigeria es básicamente el líder mundial”.
Una lista de 50.000 correos corporativos
Según una investigación del equipo Unit 42 de la firma Palo Alto Networks, que analizó las actividades del grupo nigeriano conocido como Silver Terriers, identificó un total de 300 actores asociados a medio millón de ataques, con 15 herramientas distintas de malware para llevar a cabo tareas de compromiso de correo. “Sólo durante el año pasado –afirma la compañía en su informe de 2018- han emprendido 17.600 ataques al mes, lo que supone un aumento del 45% con respecto al ejercicio anterior. La mayoría de estas acciones iban dirigidas contra compañías más que contra individuos”.
En otra investigación separada, la empresa especializada en seguridad de correo electrónico Agari, siguió los pasos de otra banda nigeriana con ramificaciones en el Reino Unido y Estados Unidos. Los cibercriminales tenían en su poder 50.000 direcciones de correo electrónico pertenecientes en su mayoría a CFOs y CEOs de compañías pertenecientes a diversos sectores; desde pequeñas empresas a grandes corporaciones, los principales bancos a nivel mundial, entidades de crédito y agencias inmobiliarias de más de 80 países, entre ellos España.
“Agari ha cruzado cuentas de correo con perfiles de redes sociales y otros registros personales para extraer una imagen real de la identidad real de los atacantes. Parece que nueve de cada diez grupos criminales dedicado al envío de correos operan desde Nigeria”, afirma Agari.
“Como si de una empresa de marketing se tratara, London Blue utilizó servicios comerciales de análisis de datos, entre ellos una empresa de San Francisco, para generar ‘leads’, seleccionar sus objetivos y emprender sus campañas de phishing y BEC”, añade la firma.
Y su tasa de éxito es elevada. Tres de cada cien víctimas responden al primer correo enviado por los criminales, y de ellos, casi cuatro acaban por morder finalmente el anzuelo. Eso supone 3,7 casos de éxito por cada mil mails. De esta manera, los ataques BEC ocasionaron unas pérdidas globales de 12.500 millones de dólares en los últimos cinco años, según datos del FBI.
Pese a no utilizar técnicas avanzadas, las bandas nigerianas utilizan métodos muy extendidos y sencillos, lo que les permite contar con un enorme ejército de hackers a su disposición. “Cualquiera que tenga una experiencia previa en phishing puede realizar estos ataques –explica Eusebio Nieva, director técnico de la firma Check Point España-. En algunos casos utilizan cosas tan básicas como key loggers que compran directamente en el mercado negro”.
“Otras veces –continúa Nieva-, ni siquiera usan ningún tipo de software; simplemente se hacen pasar por el director de la compañía o alguien con autoridad. Esto hace que sea complicado que los programas de defensa identifiquen los correos. Pero ya existen sistemas inteligentes de spam o sistemas que localizan dominios similares al de la empresa que permiten identificar este tipo de emails”.
Además de programas de detección, el experto de Check Point recomienda ante todo proteger los procesos de negocio de la compañía, “con sistemas de doble autenticación, u horarios determinados para transacciones, porque en muchos casos los cibercriminales reclaman las transacciones con urgencia”.
El territorio de los ‘Yahoo Boys’
Amparados por la falta de legislación en ciberseguridad y la falta de recursos de las autoridades, los criminales han encontrado en África un refugio ideal donde desarrollar sus actividades. Y la expansión del acceso a internet en el continente sólo aumentará su atractivo. La región está demostrando ser un entorno muy confortable para que las mafias se instalen, operen y lancen sus ataques, asegura la firma norteamericana Trend Micro.
Los soldados africanos del cibercrimen son los ‘Yahoo Boys’, jóvenes de entre 22 y 29 años, desempleados y con escasa formación, que con programas maliciosos rudimentarios –y mucho ingenio- son capaces de cobrarse botines sustanciosos. Actúan a menudo desde cibercafés, cuentan con amigos en las fuerzas de seguridad o en las oficinas de la banca, y tienen contactos con las redes internacionales del hampa.
Y no ocultan su nivel de vida. “La mayoría están en páginas de contactos y compran y venden con identidades falsas. Los Yahoo Boys tienen su propio argot, les encanta aparentar, conducir coches tuneados y cambiarlos regularmente”, según recoge un estudio realizado por el profesor Joshua Oyeniyi Aransiola, de la universidad nigeriana de Obafemi Awolowo, que entrevistó a 40 de estos gángsters del cibercrimen. “Visten a la última y llevan las joyas más caras. Salen a clubs y son famosos por sus fiestas con chicas de alterne”.
“Los jóvenes criminales nigerianos, normalmente estudiantes universitarios, comienzan con los timos tradicionales de spam. Eventualmente, los novatos son ‘ascendidos’ para su participación en los fraudes de BEC”, explica Zeki Turedi, estratega tecnológico de CrowdStrike.
En la parte alta de la jerarquía se encuentran los llamados “Next Level cybercriminals” –cibercriminales de siguiente nivel-, que al contrario que los Yahoo Boys, no hacen exhibición de su riqueza y tratan de presentarse como miembros respetables de su comunidad. “Los next level cybercriminals tienen más formación técnica, compran software y contratan servicios de cifrado en foros clandestinos, y tienen grandes habilidades y recursos para el lavado de dinero”, relata Trend Micro en su informe ‘La ciberdelincuencia en África occidental: preparada para el mercado clandestino’, elaborado en colaboración con la Interpol.
“Mantienen cuentas bancarias y contactos en el exterior y hombres de la organización desplegados en las regiones donde se producen los ataques. Los datos de la Interpol muestran que estas organizaciones se expanden en el exterior. Se trata de ciudadanos africanos que han migrado a los países objetivo”, añade el informe de Trend Micro.
En un país donde la mitad de la población vive aún bajo el umbral de pobreza y el 50 por ciento de los jóvenes están desempleados, el cibercrimen es un reclamo tentador para la juventud, aunque el fraude informático haya dañado la imagen del país.
Algunas páginas bloquean las IPs nigerianas, y páginas como Paypal no permiten enviar dinero al Estado africano. Nigeria es la economía más grande de África, uno de los principales productores de petróleo del continente y un mercado emergente con un fuerte crecimiento económico. Existen oportunidades financieras e inversores legítimos, aunque muchas de sus ofertas de negocio, por culpa de los ‘Yahoo Boys’ acaben en la bandeja spam.
“Las operaciones internacionales de estas bandas suponen un problema no sólo para Nigeria –concluye Zeki Turedi, de CrowdStrike-. Las fuerzas del orden de múltiples países deben ser capaces de comunicarse e intercambiar información para parar y detener de manera rápida a estos criminales. Por desgracia, los cibercriminales son capaces de esconderse entre los pliegues de la burocracia internacional”.
¿Por qué los timadores nigerianos no ocultan su procedencia?
Pese a que los hackers nigerianos se han evolucionado hacia fraudes electrónicos más sofisticados, las mafias continúan utilizando la clásica técnica de las ‘cartas nigerianas’: mensajes de correo masivo donde los cibercriminales tratan de engañar a individuos incautos para que les envíen dinero o compartan sus datos bancarios.
1,57 personas de cada cien acaban por morder el anzuelo en los correos de ‘romance’, donde los estafadores se hacen pasar por una mujer en busca de relaciones, pero según las investigaciones de CrowdStrike, las bandas utilizan este tipo de spam como apoyo a sus ataques BEC. “El FBI considera los timos de ‘romance’ como un sistema secundario asociado al BEC, puesto que las víctimas de este fraude son utilizados como ‘mulas’ para cobrar dinero o facilitar las transferencias procedentes de emails corporativos”, asegura la firma de ciberseguridad.
¿Pero por qué los timadores, pese a la mala fama del país africano insisten en decir que son de Nigeria? ¿Por qué envían correos electrónicos con una ortografía y una sintaxis tal que les ha hecho merecedores del Premio Anti-Nobel de Literatura de 2005? Un estudio publicado por Microsoft Research tiene la respuesta. Según la firma de Redmond, los estafadores usan patrones matemáticos y datos históricos para determinar el perfil de las personas que realmente acaban por caer en la trampa. Al introducir deliberadamente errores ortográficos y gramaticales en el mail, eliminan a aquellos de mayor nivel educativo que lo identifican inmediatamente como un fraude. Así evitan perder tiempo con gente que al final no va a entregar el dinero.
Nigeria es conocida en internet por ser la base de un gran número estafadores. Si alguien considera que el mensaje es auténtico, es una prueba de su desconocimiento y experiencia en la Red. La elección de países africanos o en conflicto, que a menudo son vistos en Europa y EEUU como un foco de corrupción, contribuye a que las víctimas acaben por creer que las estrambóticas ofertas de traspaso de fondos o entrega de imposibles herencias son reales.
Jaime Velázquez
