Europol desmantela un importante esquema de phishing que exponía la plataforma iServer PhaaS y operaciones de ciberdelincuencia globales
En un duro golpe a la ciberdelincuencia internacional, Europol ha desmantelado una operación de phishing a gran escala que tenía como objetivo las credenciales de teléfonos móviles. El desmantelamiento de la plataforma de phishing como servicio (PhaaS), conocida como iServer, marca un punto de inflexión en la lucha contra los esquemas de phishing que explotan dispositivos móviles robados o perdidos. Las fuerzas de seguridad de varios países participaron en la operación, denominada Operación Kaerb, que condujo a la detención de 17 personas y la incautación de cientos de artículos, incluidos dispositivos móviles, vehículos y armas.
Table of Contents
El servicio de phishing de iServer que ataca las credenciales de teléfonos móviles
iServer, una plataforma de phishing automatizado, se destacó de otros servicios PhaaS al especializarse en desbloquear teléfonos móviles robados o perdidos. Los delincuentes que usaban la plataforma, a menudo denominados "desbloqueadores", buscaban credenciales de usuarios de plataformas móviles basadas en la nube, lo que les permitía eludir funciones de seguridad como el modo perdido y obtener el control de los dispositivos. Al hacerse pasar por servicios móviles de confianza, engañaban a las víctimas para que les entregaran información confidencial, como contraseñas y códigos de autenticación de dos factores (2FA).
Esta plataforma de phishing se dirigía principalmente a usuarios hispanohablantes de Europa, América del Norte y América del Sur, y los países con mayor número de víctimas eran Chile, Colombia, Ecuador y Perú. En total, iServer cobró más de 483.000 víctimas en todo el mundo.
Operación Kaerb: un esfuerzo global para derribar iServer
El esfuerzo coordinado, liderado por las fuerzas de seguridad de España, Argentina, Chile, Colombia, Ecuador y Perú, culminó con la detención del ciudadano argentino responsable del desarrollo y operación de iServer desde 2018. En el transcurso de la operación, se realizaron 17 detenciones, se realizaron 28 allanamientos y se decomisaron 921 artículos, entre dispositivos móviles y equipos electrónicos.
En total, se cree que más de 1,2 millones de teléfonos móviles fueron desbloqueados a través de la plataforma de phishing. El esquema no solo ayudó a los delincuentes a obtener acceso no autorizado a teléfonos robados, sino que también facilitó la venta ilegal de estos servicios a compradores externos, incluidos ladrones de teléfonos.
Cómo funcionó el esquema de phishing
iServer empleó técnicas sofisticadas para engañar a las víctimas y conseguir que revelaran las credenciales de sus dispositivos. Los delincuentes enviaban mensajes SMS fraudulentos a las víctimas, instándolas a hacer clic en un enlace para localizar su teléfono perdido. El enlace las conducía a través de una serie de redirecciones que finalmente las llevaban a una página de inicio de sesión falsa que imitaba las de plataformas populares basadas en la nube. Se les pedía a las víctimas que ingresaran sus credenciales, las contraseñas de sus dispositivos y los códigos de autenticación de dos factores, que luego eran utilizados por los atacantes para desbloquear y desvincular los teléfonos de sus legítimos propietarios.
Según la empresa de ciberseguridad Group-IB, con sede en Singapur, la automatización de la creación y entrega de páginas de phishing que ofrece iServer la distingue de las plataformas de phishing tradicionales. Al automatizar estos procesos, iServer permite a los delincuentes poco cualificados ejecutar sofisticados ataques de phishing con un mínimo esfuerzo.
La plataforma fantasma también fue desmantelada en una acción global
En un desarrollo relacionado, Europol y la Policía Federal Australiana (AFP) desmantelaron otra red criminal que operaba una plataforma de comunicaciones cifradas conocida como Ghost. Al igual que servicios como EncroChat y Sky ECC, Ghost permitía a las organizaciones criminales llevar a cabo actividades ilegales como el tráfico de drogas, el lavado de dinero y la violencia mientras evadían su detección.
Ghost, accesible a través de teléfonos inteligentes Android personalizados, ofrecía a los usuarios funciones como mensajería cifrada y la capacidad de autodestruir mensajes. La plataforma se convirtió en un centro del crimen organizado, con miles de usuarios que intercambiaban más de 1.000 mensajes al día. Como parte de la Operación Kraken, se realizaron 51 arrestos, incluidos 38 en Australia, y se detuvo a figuras clave vinculadas a organizaciones criminales.
La lucha continua de Europol contra la ciberdelincuencia
El desmantelamiento de iServer y de la plataforma Ghost pone de relieve el compromiso de Europol de desmantelar las redes de ciberdelincuencia que utilizan herramientas digitales para explotar a las víctimas. Como demuestran estas operaciones, el phishing como servicio y las plataformas de comunicación cifradas se han convertido en herramientas fundamentales para los ciberdelincuentes, por lo que es fundamental coordinar los esfuerzos de las fuerzas de seguridad a nivel mundial para frenar su propagación.
Los cibercriminales evolucionan constantemente sus tácticas, incluso recurriendo a plataformas menos conocidas, por lo que es esencial que las fuerzas de seguridad y las empresas privadas se mantengan a la vanguardia. La cooperación entre las naciones, combinada con los avances tecnológicos en materia de aplicación de la ley, seguirá desempeñando un papel clave en la lucha continua contra el cibercrimen.
Para las personas, la mejor línea de defensa sigue siendo la vigilancia. Ser cauteloso con los mensajes no solicitados, verificar los enlaces antes de hacer clic y utilizar la autenticación de dos factores puede ayudar a proteger los datos personales y los dispositivos móviles para que no caigan en manos equivocadas.
