El Buró Federal de Investigaciones (FBI) está a la caza de ciberdelincuentes, quienes presuntamente lanzaron ataques cibernéticos en contra de empresas de telecomunicaciones estadounidenses.

Dicha institución hizo pública una alerta en la que solicita a las y los ciudadanos reportar información sobre la actividad afiliada a la República Popular China, rastreada públicamente como Salt Typhoon.

El FBI advirtió que la investigación sobre estos actores y su actividad reveló una amplia y significativa campaña cibernética para acceder a estas redes y atacar a víctimas a escala global.

“Esta actividad resultó en el robo de registros de llamadas, un número limitado de comunicaciones privadas con víctimas identificadas y la copia de información seleccionada, sujeta a solicitudes judiciales de las fuerzas del orden estadounidenses”, reveló el FBI.

El FBI señaló que mantiene su compromiso de proteger al sector de las telecomunicaciones de Estados Unidos y a las personas y organizaciones afectadas por Salt Typhoon, identificando, mitigando e interrumpiendo su ciberactividad maliciosa.

Estados Unidos ofrece recompensa por información

El FBI hizo un llamado para que las personas que tengan información sobre gente que participa en Salt Typhoon o en otras actividades relacionadas con Salt Typhoon, se acerquen a ellos para comunicarla.

Señaló que además, el programa Recompensas por la Justicia del Departamento de Estado de Estados Unidos ofrece una recompensa de hasta 10 millones de dólares por información sobre personas vinculadas a gobiernos extranjeros que participen en ciertas actividades cibernéticas maliciosas contra infraestructura crítica de dicho país, pues se trata de violación de la Ley de Abuso y Fraude Informático.

El Buró Federal de Investigaciones (FBI, por sus siglas en inglés) reveló una investigación que acusa espionaje cibernético de China a través de las redes de telecomunicaciones en Estados Unidos.

“La continua investigación del gobierno de Estados Unidos sobre los ataques a la infraestructura de telecomunicaciones comerciales por parte de la República Popular China (RPC) ha revelado una amplia y significativa campaña de espionaje cibernético”, señaló el FBI.

De acuerdo con el reporte del FBI y de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), detectaron robo de datos de registros de llamadas de clientes, así como la vulneración de las comunicaciones privadas.

“En concreto, hemos identificado que actores afiliados a la República Popular China han comprometido las redes de varias empresas de telecomunicaciones para permitir el robo de datos de registros de llamadas de clientes, la vulneración de las comunicaciones privadas de un número limitado de personas que participan principalmente en actividades gubernamentales o políticas”, agregó el reporte del FBI.

Ambas instituciones estadounidenses acusaron que el espionaje incluye la copia de determinada información que estaba sujeta a solicitudes de las fuerzas de seguridad de Estados Unidos en virtud de órdenes judiciales.

“El FBI y la CISA siguen prestando asistencia técnica, compartiendo rápidamente información para ayudar a otras posibles víctimas y trabajando para fortalecer las defensas cibernéticas en todo el sector de las comunicaciones comerciales”, afirmaron.

La Oficina del Director de Inteligencia Nacional (ODNI), el Buró Federal de Investigaciones (FBI) y la Agencia de Seguridad Cibernética y de Infraestructura (CISA) afirmaron, de manera conjunta, que Irán busca desestabilizar el proceso electoral de Estados Unidos.

“Como cada uno de nosotros ha indicado en declaraciones públicas anteriores, Irán busca avivar la discordia y socavar la confianza en nuestras instituciones democráticas. 

“Además, Irán ha demostrado un interés desde mucho antes en explotar las tensiones sociales a través de diversos medios, incluido el uso de operaciones cibernéticas para intentar obtener acceso a información sensible relacionada con las elecciones estadounidenses”, acusaron las tres agencias de inteligencia estadounidense.

En una declaración conjunta, aseguraron que Irán percibe las elecciones de este año como particularmente importantes en términos del impacto que podrían tener en sus intereses de seguridad nacional, lo que aumenta la inclinación de Teherán a tratar de dar forma al resultado.

Las agencias advirtieron que han observado una actividad iraní cada vez más agresiva durante este ciclo electoral, que incluye específicamente operaciones de influencia dirigidas al público estadounidense y operaciones cibernéticas dirigidas a las campañas presidenciales.

“Esto incluye las actividades recientemente denunciadas para comprometer la campaña del expresidente Trump, que la Comunidad de Inteligencia (CI) atribuye a Irán.

“La CI está segura de que los iraníes, mediante ingeniería social y otros esfuerzos, han buscado acceder a personas con acceso directo a las campañas presidenciales de ambos partidos políticos. Esas actividades, incluidos robos y revelaciones, tienen como objetivo influir en el proceso electoral estadounidense”, comunicaron las agencias.

Afirmaron que proteger la integridad de las elecciones de Estados Unidos, de la influencia o interferencia extranjera es un asunto de alta prioridad.

El FBI afirmó que ha estado rastreando esta actividad, además de estar en contacto con las víctimas, y continuará investigando y reuniendo información para perseguir y desbaratar a los actores de amenazas responsables.

El Departamento de Justicia de Estados Unidos se unió al Reino Unido y a socios policiales internacionales en Londres para anunciar el desmantelamiento de LockBit, uno de los grupos de ransomware más activos del mundo que se ha dirigido a más de 2 mil víctimas y recibió más de 120 millones de dólares en pagos por rescate.

Las autoridades comunicaron que la División Cibernética de la Agencia Nacional contra el Crimen (NCA) del Reino Unido, en cooperación con el Departamento de Justicia, la Oficina Federal de Investigaciones (FBI) y otros socios internacionales encargados de hacer cumplir la ley, interrumpió las operaciones de LockBit al apoderarse de numerosos sitios web públicos utilizados por el grupo para conectarse a la red.

Informaron que se apoderaron de la infraestructura de la organización y tomaron el control de los servidores utilizados por los administradores de LockBit, interrumpiendo así su capacidad para atacar y cifrar redes y extorsionar a las víctimas amenazando con publicar datos robados.

“Durante años, los asociados de LockBit han implementado este tipo de ataques una y otra vez en los Estados Unidos y en todo el mundo. Hoy en día, las fuerzas del orden de Estados Unidos y el Reino Unido están quitándoles las claves de su operación criminal.

“Y vamos un paso más allá: también obtuvimos claves de la infraestructura LockBit incautada para ayudar a las víctimas a descifrar sus sistemas capturados y recuperar el acceso a sus datos. LockBit no es la primera agrupación de ransomware que el Departamento de Justicia y sus socios internacionales han desmantelado, y no será el último”, dijo el Fiscal General, Merrick B. Garland.

Relacionado: Ransomware al alza en América Latina; Interpol toma acciones

Además, la NCA, en cooperación con el FBI y socios internacionales encargados de hacer cumplir la ley, ha desarrollado capacidades de descifrado que pueden permitir a cientos de víctimas en todo el mundo restaurar sistemas cifrados utilizando la variante de ransomware LockBit.

El grupo de ransomware se centró en infraestructuras críticas y grandes grupos industriales, con demandas de rescate que oscilan entre 5.4 y 75.4 millones de dólares.

En 2023, el grupo atacó al operador postal británico, a un hospital canadiense para niños, y en Francia a los hospitales de Corbeil Essonnes y Versalles en la región parisina.

Los ciberdelincuentes ponían a disposición de sus “afiliados” herramientas e infraestructuras que les permitían realizar ataques. Estos consistían en infectar la red informática de las víctimas para robar sus datos y cifrar sus archivos.

Se exigía un rescate en criptomonedas para descifrar y recuperar la información, bajo amenaza de publicar los datos de las víctimas.

Según el jefe de la NCA, las investigaciones no revelaron un “apoyo directo” del Estado ruso hacia LockBit, pero sí una “tolerancia” hacia la ciberdelincuencia en Rusia.

“Son delincuentes cibernéticos. Tienen su sede en todo el mundo. Hay una gran concentración de estos individuos en Rusia y a menudo hablan ruso”, subrayó.

El Mundo

Los delincuentes informáticos han encontrado un nuevo método para sustraer los datos de sus víctimas, los puntos de carga gratuitos que podemos encontrar en hoteles, centros comerciales y aeropuertos. Tanto es así, que el FBI ha lanzado una alerta a los usuarios para que no caigan en este tipo de robo de datos.

La agencia de seguridad ha publicado un tuit que alerta sobre lo que ha denominado ‘hackeo por carga’, en el que da a los usuarios una serie de recomendaciones para evitarlo. En primer lugar y lo más importante, hay que llevar un cable y cargador propio y no fiarse del que pueda estar ya enganchados o te proporcione un tercero.

También, según el FBI, es muy importante que el enganche se produzca en un punto de carga que esté empotrado en la pared y no tenga ningún dispositivo ‘puente’ que se encuentr entre nuestro terminal y el punto de carga.

Esta alerta no responde a ningún caso en particular ni parece estar vinculada a un aumento de robos de datos mediante este método pero es la segunda agencia de seguridad que avisa sobre esta práctica.

El regulador de telecomunicaciones de Estados Unidos (FCC) fue el primero en asegurar que los cacos informáticos pueden sutraer nombres de usuario, contraseñas y otros archivos mediante el ‘hackeo por carga’. Además, informó de que no solo los teléfonos móviles se pueden ver afectados. Ordenadores, tablets e incluso consolas de videojuegos pueden ser atacados de esta manera.

El Mundo

Hive, que ofrecía servicios de ransomware a la carta, era el grupo responsable del ataque en 2021 al Hospital Memorial Health de EE.UU., el servicio de salud pública de Costa Rica o el proveedor de servicios de emergencia y ambulancias Empress EMS, entre otros.

El grupo también atacó el pasado mes de octubre los equipos informáticos de Tata Power, una de las principales empresas eléctricas de India. En total, se calcula que Hive podría haber atacado más de 1.500 empresas y organizaciones en todo el mundo en los últimos dos años y obtenidos millones de dólares mediante extorsión.

El ransomware es un tipo de ataque en el que la red informática de la víctima queda cifrada e inaccesible hasta que se realice un pago, generalmente en bitcoin u otra criptomoneda que dificulte el rastreo de las transferencias. En los últimos años, este tipo de ataques se han vuelto mucho más frecuentes, y con víctimas cada vez más importantes. En 2022, por ejemplo, Telefónica sufrió un ataque de estas características que afectó al 85% de sus sistemas.

La página web de Hyve, que hasta hoy se mantenía activa en la conocida como Internet profunda o deep web (una red de sitios web accesible solo mediante clientes anónimos y cifrados) muestra ahora un mensaje de las agencias de seguridad que han participado en la operación. “Esta acción se ha llevado a cabo en coordinación con la Oficina del Fiscal de los Estados Unidos para el Distrito Medio de Florida y la Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia con la asistencia de Europol”, dice el texto.

El FBI confirmó hoy jueves que ha tenido acceso a la red informática de Hive desde julio de 2022, lo que permitió a los agentes federales estadounidenses capturar y ofrecer las claves de descifrado de Hive a víctimas de todo el mundo. Desde que consiguió infiltrarse, el FBI ha ayudado a al menos a 336 víctimas del ransomware, según declaraciones de la agencia, evitando más de 130 millones de dólares en pagos de rescate.

El FBI no ha explicado cómo identificó los servidores de Hive, y de momento no se han anunciado detenciones.

CRHOY Erick Murillo

El Buró Federal de Investigaciones (FBI, por sus siglas en inglés), también se unió a la ayuda internacional tras el ciberataque de ransomware perpetrado por el Gupo Conti contra instituciones públicas.

La información la confirmó Marcos Mandojana, ministro consejero de la embajada de Estados Unidos en el país.

“El gobierno costarricense recibió apoyo del FBI que viajó al país para asistir en la investigación“, confirmó Mandojana durante el evento “Recuperación de Costa Rica de ataques cibernéticos: Un camino a seguir”.

El diplomático agregó que la embajada estadounidense también colaboró a enfrentar la amenaza cibernética y 5 investigadores del Organismo de Investigación Judicial (OIJ) estuvieron la semana pasada en Panamá recibiendo una capacitación en análisis forense digital impartida por el Departamento de Justicia, para ayudar con la investigación de ciberdelitos.

“Estamos organizando una capacitación en setiembre para funcionarios costarricenses dirigida por expertos cibernéticos del Instituto de ingeniería de software Carnegie Mellon sobre cómo coordinar y responder a incidentes cibernéticos.

El equipo de la embajada continuará trabajando con Micitt y otras instituciones junto con países aliados como España e Israel y con el sector privado en la búsqueda de una Costa Rica más segura”, añadió el representante de la misión extranjera.

El pasado mes de mayo, el Departamento de Estado de Estados Unidos anunció que ofrecía una recompensa de hasta 10 millones de dólares por información que permita identificar o ubicar a cualquier persona con una posición de liderazgo clave en el grupo de crimen organizado Conti, responsable de los ciberataques a sitios gubernamentales costarricenses.

También dijo que ofrece una recompensa de hasta 5 millones de dólares por información que conduzca al arresto o condena de cualquier persona, en cualquier país, que conspire para participar o tratar de participar en un incidente de Conti.

“Estados Unidos está comprometido a ayudar a nuestros amigos costarricenses ante los ciberataques por parte del grupo Conti que sufrió en las últimas semanas. Esta asistencia reafirma y refuerza nuestra cooperación cercana con Costa Rica desde hace mucho tiempo”, señaló en ese oportunidad,  Cynthia Telles, la embajadora de Estados Unidos

Enter.co-Alejandra Betancourt

En el año 2014, el mundo conoció OneCoin, una empresa con base en Bulgaria que comercializaba una supuesta criptomoneda bajo el mismo nombre. Tiempo después la noticia de que Ruja Ignatova, la mujer en cabeza de la compañía, había estado robando a sus clientes, pues la moneda no existía; allí se le atribuyó el apodo de la ‘reina de las criptomonedas’. Desde el 2017, las autoridades perdieron el rastro de Ignatova; ahora, hace parte de los 10 fugitivos más buscados por el FBI.

El día de ayer, el FBI anunció, a través de su página web, que la ‘reina de las criptomonedas’ fue incluida en la lista de las diez personas más buscadas por el equipo de seguridad. Además, la entidad ofreció una recompensa de 100.000 dólares para la o las personas que aporten información relevante para la captura de la fugitiva.

Ignatova comenzó sus estafas en el año 2014. La fugitiva lograba convencer a sus clientes de que OneCoin era una moneda digital con la que no tendrían pérdidas. Incluso, en el año 2019, Geoffrey S. Berman, fiscal federal de Manhattan, Estados Unidos, afirmó durante una acusación que se había ejecutado una «compañía multimillonaria de criptomonedas basada completamente en mentiras y engaños. Prometían grandes rendimientos y mínimo riesgo, pero, como se alega, este negocio era una estructura piramidal basada en humo y espejo más que en ceros y unos. Los inversores fueron víctimas mientras los acusados se enriquecían», agregó.

Increíblemente, las personas confiaban en la ‘reina de las criptomonedas’ al punto de realizar transferencias bancarias a la compañía para comprar paquetes de OneCoin. Actualmente, Ignatova está acusada por delitos como: conspiración para cometer un fraude electrónico, fraude electrónico, conspiración para cometer lavado de dinero, conspiración para cometer fraude de valores y fraude de valores. Se estima que la fugitiva logró robar al menos unos 4.000 millones de dólares.

Por último, los investigadores señalaron que a diferencia de otras criptomonedas, OneCoin “no tenía un valor real”. Agregaron que “No ofrecía a los inversores ningún método para rastrear su dinero y no se podía usar para comprar nada”. Dicho así, las autoridades se sorprenden de que tanta gente haya caído en la trampa cuando no tenían garantías.

Fayerwayer-Guy Acurero

Un nuevo informe del Buró Federal de Investigaciones, mejor conocido como FBI, asegura que los hackers están robando información personal y utilizando deepfakes para solicitar teletrabajos.

El FBI explicó a través del Centro de Quejas de Delitos en Internet cómo los ciberdelincuentes están robando la información de identificación personal de los estadounidenses y solicitando trabajos remotos. Luego, utilizan videos falsos para pasar las entrevistas y conseguir los trabajos en línea.

La publicación del buró explicó: “Los puestos de trabajo remoto o trabajo desde el hogar identificados en estos informes incluyen tecnología de la información y programación de computadoras, bases de datos y puestos de trabajo relacionados con el software”.

“En particular, algunas posiciones informadas incluyen acceso a identificación de clientes, datos financieros, bases de datos de TI corporativas e información patentada”, agregó.

Impresionados por los deepfakes

La información de identificación personal puede incluir cualquier información utilizada para identificar a una persona, como su número de seguro social, su licencia de conducir e incluso la información de su seguro médico.

Una vez que los ciberdelincuentes tienen esos datos, pueden solicitar trabajos remotos usando su nombre y dirección junto con calificaciones falsas.

Lo que más impresiona a los investigadores es cómo los hackers se presentan a las entrevistas, con videos falsos para fingir que son las víctimas de robo de información. Incluso, pueden usar modificadores de voz para las entrevistas telefónicas.

Como bien lo explica Digital Trends, la tecnología Deepfake utiliza inteligencia artificial y aprendizaje automático para hacer coincidir cuidadosamente las expresiones faciales de una persona con un video real. Solo necesita una sola foto fija, como la de una licencia de conducir, y puede recrear un video impresionantemente realista.

Hay formas de detectar un deepfake, como percatarse de que los movimientos de los labios no estén sincronizados con las palabras pronunciadas. Los hackers necesitan usar voces pregrabadas para que la IA genere una coincidencia

Crítica

El Módulo de Identidad del Suscriptor (Subscriber Identity Module), o SIM, es un pequeño chip de memoria contenido en un dispositivo móvil que almacena información asociada al propietario de este. Las tarjetas SIM, que se transfieren fácilmente de un dispositivo a otro, contienen una cadena de números únicos que permiten al operador de telefonía móvil atribuir un dispositivo específico a una persona concreta; una vez transferidas a un nuevo dispositivo, lo más probable es que también se transfieran los ajustes personales y los contactos.

La transferencia física de la tarjeta SIM no es la única forma de cambiar de teléfono. ¿Qué pasaría si su tarjeta SIM fallara y tuviera que comprar una nueva? El propietario del teléfono tendría que llamar al operador de telefonía móvil y pedirle que asigne la nueva tarjeta SIM a su número de teléfono actual. Lo más probable es que el propietario tenga que responder a algunas preguntas de seguridad y, tal vez, facilitar un PIN para verificar que es el legítimo propietario del teléfono.

El intercambio de tarjetas SIM exige cierto esfuerzo. Históricamente, los objetivos han sido los individuos con grandes patrimonios y las personas en posiciones de poder e influencia, pero recientemente, el intercambio de SIM se ha generalizado. Tal vez estemos viendo un aumento de este tipo de delitos debido a la mayor atención de las fuerzas de seguridad a las bandas de ransomware.

Desde hace muchos años, el ransomware ha sido la principal amenaza cibercriminal, no obstante, con el aumento de la presión global para que las naciones tomen medidas contra los individuos y grupos que realizan ataques de ransomware, los cibercriminales pueden estar centrando sus esfuerzos en otros lugares en busca de una ocasión más certera.

En cuanto al ámbito financiero, una vez que los delincuentes se hacen con el control del número de teléfono de la víctima, utilizan las credenciales bancarias robadas para acceder a las aplicaciones bancarias móviles o a los monederos de criptomonedas para iniciar el retiro de los fondos.

Podrían validar con una contraseña de un solo uso enviada por la institución financiera a través de un mensaje de texto al número de teléfono del que se han apoderado recientemente.

Los delincuentes han utilizado el chantaje, el soborno y la manipulación social para obtener acceso al dispositivo del cliente.

Un método habitual es que el delincuente cree un perfil del cliente actual que contenga suficiente información personal identificable (PII) para autenticarse falsamente ante el representante de atención al cliente de la compañía. Esta información de identificación personal puede adquirirse fácilmente y a bajo coste en mercados de la dark web.

Lo que preocupa del intercambio de SIM es que la víctima rara vez hace algo mal: nunca ha hecho clic en un enlace de phishing ni ha introducido información personal en un sitio web falso. Las señales claras de que se ha sido víctima de un intercambio de SIM son que los teléfonos afectados ya no podrán hacer llamadas y no tendrán recepción.

Aunque es difícil estar en constante vigilancia ante una amenaza que a veces está fuera del control de los usuarios, hay formas de mitigar el riesgo. Es importante que las personas establezcan un código PIN para su cuenta de operador de telefonía móvil. Esto puede añadir un límite de protección para los ataques que se lanzan utilizando su PII robada.

Otra opción es el uso de aplicaciones de autenticación sobre la autenticación de dos factores basada en SMS. Estas aplicaciones de autenticación pueden asociarse a un dispositivo físico, no sólo a un número de teléfono. Una de las ventajas -además de no tener un mensaje SMS secuestrado- es que el individuo tendrá todos los códigos en una ubicación central y que estarán disponibles todo el tiempo, incluso cuando el teléfono esté desconectado.

Otras formas incluyen el uso de una llave de autenticación física para las cuentas críticas y la vigilancia, ya que una interrupción importante del servicio, como el fallo en la entrega de mensajes, debe abordarse urgentemente informando de la situación a su proveedor de servicios, supervisando las contraseñas de las cuentas en línea y comprobando las transacciones de las cuentas bancarias”.

Austin Berglas, Global Head of Professional Services. Fue ex-agente especial adjunto a cargo de la rama cibernética de la oficina del FBI en Nueva York.