Ámsterdam.- La «Operación Kaerb», coordinada por Europol y Ameripol, en asociación con agencias de aplicación de la ley y autoridades judiciales europeas y latinoamericanas, arrestó a 17 ciberdelincuentes en Argentina, Chile, Colombia, Ecuador, Perú y España, que estaban detrás de la plataforma de phishing iServer dirigida a usuarios móviles
483.000 usuarios, principalmente hispanohablantes de Europa, América del Norte y América del Sur, fueron víctimas de phishing mientras intentaban recuperar el acceso a sus dispositivos en España, Argentina, Chile, Colombia, Ecuador y Perú.
Según los investigadores policiales, la plataforma de phishing como servicio iServer, que estuvo activa durante cinco años, atacó a más de 1,2 millones de teléfonos móviles. El administrador de la plataforma de phishing iServer, un ciudadano argentino, también fue arrestado durante la operación policial interinstitucional que tuvo lugar entre el 10 y el 17 de septiembre de 2024.
La plataforma iServer, amplió su alcance a Europa y otras regiones. Si bien iServer era esencialmente una plataforma de phishing automatizada, su enfoque específico en la recolección de credenciales para desbloquear teléfonos robados la distingue de las típicas ofertas de phishing como servicio.
La plataforma de iServer cuenta con una interfaz web que permite a los delincuentes poco capacitados, conocidos como «desbloqueadores», robar contraseñas de dispositivos, credenciales de usuario de plataformas móviles basadas en la nube y otra información personal de las víctimas. Esto les permite eludir el «modo perdido» y desbloquear teléfonos adquiridos por medios ilegales.
Durante sus investigaciones sobre las actividades delictivas de iServer, los especialistas de Group-IB también descubrieron la estructura y los roles de los sindicatos delictivos que operan con la plataforma: el propietario/desarrollador de la plataforma vende el acceso a «desbloqueadores», quienes a su vez brindan servicios de desbloqueo de teléfonos a otros delincuentes con dispositivos robados y bloqueados.
Los ataques de phishing están diseñados específicamente para recopilar datos que otorgan acceso a dispositivos móviles físicos, lo que permite a los delincuentes adquirir las credenciales de los usuarios y las contraseñas de los dispositivos locales para desbloquearlos o desvincularlos de sus propietarios. iServer automatiza la creación y la entrega de páginas de phishing que imitan las populares plataformas móviles basadas en la nube, presentando varias implementaciones únicas que mejoran su eficacia como herramienta de ciberdelito.
Los desbloqueadores obtienen la información necesaria para desbloquear los teléfonos móviles, como el IMEI, el idioma, los detalles del propietario y la información de contacto, a la que a menudo se accede a través del modo perdido o a través de plataformas móviles basadas en la nube. Utilizan dominios de phishing proporcionados por iServer o crean los suyos propios para configurar un ataque de phishing. Después de seleccionar un escenario de ataque, iServer crea una página de phishing y envía un SMS con un enlace malicioso a la víctima.
Se utiliza un enlace de «redireccionamiento» para filtrar y verificar al visitante antes de llevarlo a la página de phishing final; si no cumple las reglas, se le niega el acceso. Una vez que las víctimas ingresan sus credenciales, la plataforma las verifica y se les puede solicitar información adicional, como códigos OTP.
Finalmente, los delincuentes reciben las credenciales robadas y validadas a través de la interfaz web de iServer, lo que les permite desbloquear un teléfono, desactivar el «modo Perdido» y desvincularlo de la cuenta del propietario.
«Es un honor para nosotros detener millones de ataques cibernéticos dirigidos a usuarios móviles. El arresto de los miembros del sindicato, incluido el autor intelectual, ha evitado un fraude significativo y ha salvaguardado la vida personal de personas en varias regiones», dijo Dmitry Volkov, CEO de Group-IB. «Este es otro gran ejemplo de colaboración transfronteriza y continuaremos apoyando los esfuerzos de las fuerzas de seguridad locales e internacionales para combatir el cibercrimen a nivel mundial».
Mensaje SMS recibido por una víctima de iServer (Grupo-IB)
«El delincuente vende el acceso a su sitio web y cobra costes adicionales por realizar phishing, SMS, correos electrónicos o llamadas», dijo Europol. «Los usuarios delincuentes de la plataforma, o «desbloqueadores», proporcionan servicios de desbloqueo de teléfonos a otros delincuentes en posesión de teléfonos robados».
En la plataforma se registraron más de 2.000 desbloqueadores. El Centro Europeo de Delitos Cibernéticos (EC3) de Europol y el Centro Especializado de Delitos Cibernéticos de Ameripol coordinaron la operación internacional, siendo la primera vez que las dos organizaciones trabajaron juntas en un caso de este tipo.
Ir a inicio