Así Funciona el Robo de Datos que Amenaza a Usuarios de Bancolombia
Experto en ciberseguridad hizo seguimiento a un mensaje de texto falso y descubrió que varias personas habían entregado sus datos sin darse cuenta. A pesar de la evidencia y de informar a las autoridades – y al propio banco – nadie toma medidas para frenar amenaza de robo inminente.
Probablemente millones de usuarios de servicios digitales en Colombia han recibido en alguna oportunidad un mensaje de texto o correo electrónico fraudulento donde su banco les informa algún tipo de transacción.
Muchas personas ya se han vuelto expertas en diferenciar los mensajes originales de su banco frente a los falsos. Sin embargo, aún no es claro cuántas personas caen en las artimañas digitales que se crean diariamente para lograr acceso a la contraseña y nombre de usuario de las cuentas de los bancos.
Todos los días en redes sociales se pueden leer quejas de cómo desaparece dinero de cuentas pero no se conocía que hay detrás de las estrategias de pishing que terminan con el robo de dinero.
Por primera vez se conoce pública y técnicamente cómo funciona una de las modalidades de estafa luego de un análisis técnico que hizo persona con alto conocimiento digital y que se mantiene bajo el anonimato.
MuchoHacker.lol leyó la explicación pública que hizo el analista y le realizó una serie de preguntas para comprender e intentar verificar. Se tuvo acceso a base de datos con posibles datos robados de clientes y se puede confirmar la existencia del aplicativo que roba información y la forma como recolecta los datos. Se encontraron evidencias que sustentan y explican porque de, un momento a otro, desaparece el dinero de cuentas.
Igualmente, nos comunicamos con Bancolombia vía X el 10 de enero de 2024 a las 4:15 p.m para advertir la situación y preguntar porqué el banco no hace una actividad similar a la del analista y para comprender y verificiar con la fuente principal. La persona que respondió no entendió la situación y mostró poco interés en resolver las dudas periodísticas que saltan a la vista ante una denuncia tan grave.
La información publicada originalmente y reproducida en MuchoHacker.lol no pudo ser confirmada por un tercero.
El analista digital que reveló el modo de operación de los ladrones indicó que antes de hacer pública la información avisó al CAI Virtual y a Bancolombia sin recibir respuestas a pesar de que las evidencias muestran una estrategia digital que debería ser desactivada por alguien pues se está robando el dinero de las personas sin que nadie haga algo para detenerlo.
Se omite consultar a la Policía de Colombia pues históricamente nunca han dado respuestas a las denuncias que desde hace 15 años se hacen en este blog.
Un mensaje que no es enviado precisamente desde la cárcel
Ya es casi es un mito urbano la idea de que la intención de robo de datos que llega por correo o SMS es una estrategia de un señor en una cárcel de Colombia. Aunque sí se dan casos, el tipo de ataque es mucho más sofisticado y técnico que el que puede crear un señor con un celular enviando mensajes de texto para ver quien cae. Así operaría toda la operación digital, según el análisis del experto:
- Llega Mensaje de Texto supuestamente de Bancolombia donde se advierte una compra y se ofrece la oportunidad de reversar el cobro en una página web.
Cualquier persona sin conocimiento del tema puede caer. Bancolombia, y al parecer ningún banco en el país, tiene la funcionalidad de advertir a sus clientes sobre una compra e inmediatamente reversar una transacción. El mensaje claramente es una estrategia para convencer a la víctima de visitar un sitio web y entregar sus datos privados.
Ante la alerta por mensaje de texto existe una alta probabilidad de visitar el sitio web que acompaña este mensaje de texto. Se omite la URL por razones de seguridad y porque aún está activa la estafa.
- El Mensaje de texto va acompañado de un link. El link abre una versión falsa de la página original de Bancolombia.
En medio de la alerta, cualquier persona que no está concentrada en la situación, y que advierte un posible robo, no se detiene a verificar la URL del sitio web que acaba de abrir. La página web es exacta a la original. Entrega sus datos sin darse cuenta que le da acceso digital a su cuenta a un ladrón.
- Analista que recibió el intento de estafa da clic al sitio web falso para estudiar sus componentes y descubre que el portal falso de Bancolombia tiene una falla de seguridad. Dejó expuesto y abierto el acceso al código que permite entender cómo funciona el aplicativo donde se alojan los datos robados.
En este pantallazo se observan varios datos que ayudan a entender cómo funciona la página web que se usa para robar los datos. El aplicativo no es una simple página que recibe datos. Y probablemente no es un desarrollo realizado “in house” desde una cárcel de Colombia. Tiene una infraestructura técnica alojada en un servicio pago y gratuito de Google llamado Firebase.
Google Firebase es una plataforma en la nube ofrecida por Google que proporciona una variedad de servicios y herramientas para el desarrollo de aplicaciones web y móviles. En teoría Google Colombia podría saber quién está detras de la estrategia ya que usan un servicio desarrollados por ellos.
- El analista detecta la falla de seguridad en el aplicativo que roba datos y accede a la base de datos donde se aloja información robada y encuentra contraseñas y datos privados de clientes de Bancolombia.
Utilizando una técnica de acceso que solo utilizan los expertos en ciberseguridad logra acceder al aplicativo alojado en Firebase con la sorpresa de que allí encuentra evidencia de posibles datos de usuarios.
En este pantallazo se observa parte de la base de datos que genera el aplicativo ladrón. Se observa que el día 7 de enero a las 3:54 un usuario, probablemente de Bancolombia, dio clic en el mensaje de texto falso y entregó datos. Al menos en esta evidencia se pudieron encontrar tres casos.
- Ante la posibilidad real de evidencia que demuestra entrega de datos reales de cuentas de Bancolombia, analista advierte al banco y a las autoridades locales sobre esta situación. No les importa.
Hace más de 24 horas el analista digital advirtió a Bancolombia sobre la situación. Al momento de esta publicación no han dado respuesta pese a poner a su disposición el conocimiento técnico que ayudaría a desactivar la operación de robo.
Existe una alta probabilidad de que el aplicativo ladrón de datos siga recopilando información y por consiguiente un alto riesgo de robo real de dinero.
Para verificar todos sus hallazgos el experto digital pudo comprobar que los datos enviados al aplicativo son ciertos.
Ante la gravedad de los hechos y las evidencias que muestran una estrategia real de robo a cuentas de Bancolombia MuchoHacker.lol también intentó comunicación con el banco y no se obtuvieron respuestas por parte de la entidad financiera.
Estos son los mensajes que se compartieron con Bancolombia que parece no entender qué pasa.
Recomendaciones para evitar caer en este tipo de Pishing
Algunas recomendaciones:
1. Verifique autenticidad del sitio web
Verifique URL y busque el candado de seguridad en la barra de direcciones. Cualquier letra adicional o no entendible es sospechosa. No haga esta comprobación sin concentrarse en lo que hace. Si tiene dudas llame al banco.
2. No haga clic en enlaces sospechosos
Evite hacer clic en enlaces en correos electrónicos, mensajes de texto o mensajes instantáneos que parezcan sospechosos. En su lugar, vaya directamente al sitio web del banco escribiendo la URL en el navegador o traves del app.
3. Cuide credenciales de acceso
Los bancos nunca solicitan esta información a través de correos electrónicos o sms no solicitados. Parece una bobada dar esta recomendación, pero no es tan tonto. La solicitud de contraseñas solo se da en casos específicos. Aprenda cuándo.
4.Monitoree sus cuentas regularmente
Revise sus estados de cuenta bancarios y de tarjetas de crédito regularmente para detectar cualquier actividad sospechosa.
5.Identifique cuál es el método de comunicación de su banco
Tenga claro cómo su banco se comunica con usted. En algunas instituciones financiera usted puede habilitar o deshabilitar la forma como usted desea que se comuniquen. Tener claro si se hace por mensaje de texto, correo electrónico o el app ayuda a disminuir riesgo que proviene de canales no autorizados
6. Sea consciente de que sus datos posiblemente están expuestos en Internet
No es un mito ni ciencia ficción. Millones de datos de colombianos están expuestos públicamente sin que nada se puede hacer para evitarlo. Es preferible entender esta realidad que ser un inocente usuario de Internet que cree que no es vulnerable. Si sus datos están expuestos existe una alta probabilidad de ataque.
7.Vuelva a usar la llamada a un teléfono y la visita a un banco
A pesar de que los creyentes en la tecnología creen que todo lo soluciona Internet la verdad y la realidad es que eso no es cierto. Ante una emergencia o una sospecha comunciarse vía digital con un banco en Colombia es prácticamente un imposible. Usted debe conocer el número telefónico y la extensión donde tramitan incidentes digitales.
Debe crear un protocolo de acción no digital cuando suceda un incidente. Bien sea visita a entidad finaciera física o redacción de derechos de petición o cartas a las entidades financieras cuyas fallas de seguridad son evidentes.
¿Cómo saben los ladrones que tengo una cuenta en un banco particular?
Uno de los grandes misterios que rodea este tipo de actividad de robo digital es establecer cómo los atacantes logran establecer la relación entre un número telefónico y la cuenta de un banco. Aún no se conoce. Pero justamente los intentos de estafas llegan con links donde las víctimas tienen cuentas.
Una de las respuestas puede ser el robo y tráfico de base de datos. MuchoHacker.lol hizo una búsqueda sencilla en un foro de la deep web y encontró queun famoso atacante vende una base de datos supuestamente asociada a Bancolombia. No se pudo verificar la autenticidad de este conjunto de datos donde está nombre, teléfono, dirección y posible cupo de tarjeta.
La publicación es de fácil acceso y ya se hizo pública en X. Al menos en este post se afirma que se tienen 2507 datos de posibles clientes de Bancolombia que se venden en este foro.