La eterna estafa con las recargas de Nequi

Del 18 al 24 de julio de 2024 un ciberatacante engañó 4.418 personas usuarios de Nequi. Un porcentaje de estas personas entregaron sin darse cuenta datos como contraseña, nombre, número de teléfono, ubicación, banco que usan y su Ip.

El atacante anónimo usa una estrategia que combina anuncios falsos en Google, portales falsos de bancos, ingeniería social y lleva años haciendo la misma actividad sin que ninguna autoridad o la misma marca hagan algo para detenerlo a pesar que deja un rastro que puede servir para su identificación. 

Todos los afectados y víctimas tienen en común que son usuarios de la plataforma Nequi y usaron Google en Colombia para hacer algún tipo de transacción con este servicio.

La estrategia de saqueo está activa en este momento y  afecta diaramente cientos de personas en todo el país.

Muchohacker.lol y un equipo de investigadores en ciberseguridad, que trabajan desde el anonimato y sin ánimo de lucro, encontraron evidencias de cómo actúa la operación de saqueo. 

Ciberatacante atacado

Los técnicos que ayudaron a crear este reportaje lograron infiltrarse en la infraestructura de la amenaza. Gracias a esto se pudo verificar su magnitud y comprobar con evidencias las afectaciones a miles de ciudadanos.

Expertos recopilaron las URL desde donde se realizan los ataques, analizaron la infraestructura técnica de los sitios encontrando ciertas vulnerabilidades que explotaron.  Es decir, se atacó al atacante.

Se descubrió que existe una conexión que tienen los sitios falsos con unos canales en un servicio de chat popular donde el atacante recibe automáticamente todos los datos que envían las víctimas.  

Una vez se concreta el ataque los datos robados llegan a un chat. Este chat carece de seguridad y los técnicos pudieron acceder a su información .  Gracias a esto Muchohacker.lol pudo verificar que del 18 al 24 de julio, 4,418 personas cayeron en la trampa. 

Ataque a los más débiles

El actor malicioso encontró una forma de vulnerar las reglas que tienen los anuncios de Google Ads en Colombia. 

Su estrategia consiste utilizar nombres falsos y clonar portales de empresas reales, que no tienen infraestructura de seguridad, para sembrar anuncios falsos de Recarga de Nequi. Estos ads tienen un link que simula ser la plataforma Nequi pero que en realidad son clones de Nequi hechos para robar datos.

Durante una semana MuchoHacker.lol analizó la complicada estrategia recopilando información de los anuncios y habló con una de las víctimas del clonador de sitios web para concluir que su estrategia, aparte de robar datos de usuarios de Nequi, afecta las pequeñas empresas que usa como señuelo.

Una de las empresas afectadas es una Floristería en Cali. “Nosotros denunciamos que están suplantando nuestra página”, indico a MuchoHacker.lol “Realmente no tiene nada que ver con nosotros, ellos clonaron nuestro sitio web”, concluyó la víctima que hizo la denuncia.

El portal ebenzers.online es el clon del portal original. El atacante le indica a Google que es el dueño de la empresa real y crea una cuenta publicitaria desde donde lanza los anuncios falsos e increíblemente, según muestra la evidencia, sube al portal hasta anuncios reales de la floristería. 

A pesar de que Google Colombia, en teoría, verifica a las personas y empresas que usan sus servicios el atacante, con el sitio clonado y con unos datos falsos como nombre y otros, logra obtener la aprobación. En este caso la cuenta publicitaria le pertenece a una persona llamada Stphanie Barliza Fonseca. A esta persona no la conocen en la Floristeria original. 

Pero este no es el único caso. Una persona llamada Juan Luis Vargas Puerta, probablemente con datos falsos, es el dueño de una cuenta publicitaria que promociona una empresa que recarga oxígeno en México.  La empresa original es https://oxitran.com pero el atacante tiene los dominios https://www.oxitranpserecargas.com y Recargasoxitranpse.com desde donde lanza los ataques. 

El atacante en ciertos momentos del día activa el clon de la página web original y luego lo reemplaza con la versión falsa de Nequi. 

Una lista de URL detectadas que siguen el patrón de web clonada y uso de cuenta publicitaria que simula pertenecer a una empresa real:

URL FALSA	Empresa Real
https://desdetuhogarpse.store/?gad_source=1&gclid=Cj0KCQjw-uK0BhC0ARIsANQtgGNUoAaIuY1–bPKryZRuwtaqDCKXN6lhil05NiGCchGn1pguIFQ2twaAhlNEALw_wcB	Pinturas Tito Pabón.
https://conexionpserecargnequi.netlify.app	No se logró identificar la web real
https://milusd.com/	No se logró identificar la web real
https://www.oxitranpserecargas.com https://www.oxitranpserecargas.com/recargas/	https://oxitran.com
Sdymmpsrluzdeluna.com	https://sdymmpsrluzdeluna.com
Mensarecarigas.com	No se logró identificar la web real
Clientes-recargas-col.com	No se logró identificar la web real
Lebolshaneqvilcli3nt3.alwaysdata.net	No se logró identificar la web real

Una vez el ladrón logra clonar la página web original para engañar las comprobaciones de Google le paga a Google Colombia para mostrar anuncios. Las url que utiliza le ayudan a sobrepasar las medidas de seguridad. 

También se encontró evidencia de que usa la infraestructura técnica de sitios web vulnerados y los dueños de esos portales no se dan cuenta que desde su sitio web se hace un ataque digital.

Los usuarios que buscan en Google palabras clave como “recarga nequi” o similares tendrán que adivinar cual es la url correcta. Aunque Google advierte que existe una diferencia entre búsqueda orgánica y anuncios la mayoría de personas no saben la diferencia y caen en el link incorrecto. 

Una vez le dan clic a la página falsa, cuya url corresponde a un sitio clonado, aparece un clon exacto del portal de Nequi.  Allí inicia verdaderamente la estafa porque la persona sin saber muy bien dónde está termina dando sus datos personales y claves. 

Una vez pasa esto, el atacante desarrolló una infraestructura técnica donde recoge toda la información en el dominio de la página falsa. Los expertos en ciberseguridad encontraron que sin ningún tipo de seguridad los datos están en línea. 

Sus sitios están conectados a unos bots en un chat a donde en estricto orden llegan los datos de las personas. Muchohacker.lol pudo verificar que muchas personas entregan contraseñas sin saber a quién. Aparte de eso el atacante usa un servicio para georeferenciar a sus víctimas. Con esto sabe de dónde llegó el mensaje. En los chats que pudimos ver el nombre de los barrios en Bogotá.

Existe evidencia que la empresa Nequi sabe de esta situación desde al menos el 11 de octubre de 2022 cuando en su portal en Facebook advierten que no se deben hacer transacciones por fuera de la página oficial. 

Estamos hablando que este tipo de estafa puede tener años de estar activa sin que ninguna autoridad o la propia empresa afectada haga algo real y efectivo para detenerla. 

Nos comunicamos con Nequi para saber su opinión y nos dieron la oportunidad de enviar un cuestionario. Las respuestas no llegaron al momento de la publicación de este reportaje pero apenas lleguen se publicarán. 

Ni ante la SIC, ni el Colcert, ni la Policía Nacional se hace requerimentos de prensa para conocer sobre el desarrollo de investigaciones alrededor de este tipo de estafa porque nunca responden a las preguntas de MuchoHacker.lol

Dadas las circunstancias, el tiempo, el tipo de estrategia y su desarrollo se podría afirmar que los usuarios de este servicio de Nequi tendrán que acostumbrarse a identificar las url falsas porque en Colombia no hay poder humano que detenga estos ciberdelincuentes.