La red china que está detrás de la masiva estafa por mensajes de texto que podría robar los datos de cuentas bancarias

“La entrega de su paquete ha sido suspendida debido a que falta un número de calle en el paquete, por favor actualice“.

“Correos Chile, su paquete sigue retenido en aduanas por impago de las tasas (1290CPL) puede pagarlos en el siguiente enlace“.

“Corre0sChile: Por favor actualice su informacion de direccion dentro de 24 horas o perderemos su artículo“.

“No podemos organizar la entrega del paquete porque la direccion que proporciono no coincide con su codigo postal, actualice”.

Así dicen algunos de los mensajes que muchas personas denuncian recibir hace meses en sus celulares. En julio de 2023, Correos de Chile alertó que se trataba de una estafa masiva que, tras rellenar un formulario web, permitiría robar los datos de las tarjetas bancarias.

Según publica Ciper Chile, los ingenieros expertos en ciberseguridad ―fundadores del laboratorio Twoko―, Rodrigo Apablaza y Carlos Baeza, investigaron este tipo de smishing. La práctica criminal mezcla el tradicional phishing con los mensajes SMS, a través de lo que se obtienen datos confidenciales de los usuarios.

Apablaza y Baeza aseguran que “nos enfrentamos a un grupo de ciberdelincuentes internacionales”. Esto pues, según su indagatoria, un usuario chino de Telegram, identificado como @chenlun, es el vendedor de paquetes con instrucciones para montar estafas por mensajería. Además, dieron con un canal de YouTube con el mismo nombre, donde se subían tutoriales para realizar “campañas maliciosas”.

Entre los productos que ofrece @chenlun están kits para montar páginas web similares a las de una institución real. Estos links son los que se envían, luego, a través de SMS, y en las que los receptores ingresan y registran sus datos bancarios pensando que están en un sitio seguro.

Los fundadores de Twoko analizaron los movimientos de 80 números telefónicos que enviaron mensajes maliciosos para estafas, con lo que pudieron sistematizar datos relevantes. Entre ellos resalta que todos los números se inician con el prefijo “56 44”, y que probablemente pertenecen a un callcenter.

Los investigadores remarcan que “tenemos dos grandes hallazgos. Primero, logramos identificar al grupo de cibercriminales tras estas campañas. Tenemos evidencia de cómo este grupo ofrece información muy detallada para montar el kit de la página web que suplanta a alguna institución, que es donde finalmente te dirigen estos SMS, y donde tus datos bancarios son filtrados. Segundo, es que estas campañas son enviadas por empresas proveedores de internet o que ofrecen el servicio de envío de mensajes masivos. Esto involucra muchos elementos y componentes técnicos además del aprovechamiento de vacíos normativos y tecnológicos”.

Baeza y Apablaza recomiendan, en este sentido, fijarse en que “los mensajes estén bien escritos, sin faltas de ortografía o redacción. Desconfiar de remitentes desconocidos, de promociones, cupones o concursos. Nunca facilitar información personal o hacer clic en los enlaces y por ningún motivo descargar archivos adjuntos”.

Ambos especialistas entregaron en octubre pasado un informe detallado al al Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) del Ministerio del Interior. Esto, en dos oportunidades, una a través del formulario web, y otra a través de correo institucional. Sin embargo, plantean, nunca obtuvieron respuesta, hecho que niega la repartición pública.

En el reporte se incluyeron, también, las compañías Netline Telefónica Ltda., Idustel Chile Ltda., Andes Inversiones SpA, Cellplus SpA, Hablaip SpA, TCS Chile SpA e Intermax SpA, a través de las cuales se distribuirían los mensajes.

La red china que está detrás de las estafas por mensaje de texto

Tras analizar los números telefónicos y las empresas de mensajería masiva, los especialistas rastrearon las URL que se incluían en los mensajes que provenían de instituciones como Chilexpress o Correos de Chile. Al analizar los metadatos y el código fuente de los distintos enlaces, hallaron comentarios en chino y una palabra clave: Chenlun.

“Pudimos identificar que el desarrollador de la plataforma provenía específicamente de China. Además, siguiendo la IP, logramos encontrar desde dónde se administraba este smishing“, señala Apablaza.

Al buscar a Chenlun, que se volvió recurrente en los sitios maliciosos, “llegamos hasta canales de Telegram asociados a su nombre en los que se venden ‘packs de smishing‘. Allí también se puede encontrar información técnica sobre la plataforma de administración que ejecuta estas estafas. Nos dimos cuenta de que hay toda una red detrás de estas campañas maliciosas de SMS” ―dice Apablaza―.

También, detectaron que sitios especializados en ciberseguridad lo vinculan a casos de estafa vía smishing en distintos países, adaptándose a los servicios de correspondencia locales. Una de ellas es la de Entel, donde se afirma que Chenlun es un “orquestador chino de robo de tarjetas de crédito a través de sitios web falsos”.

“Chenlun ofrece tres opciones de alquiler de código fuente de sitios web de phishing sofisticados. La primera opción, ‘Phishing Básico con Tarjeta de Crédito’, solicita información de tarjetas de crédito por 100 unidades mensuales, alrededor de 92 euros. La segunda opción, ‘Código de Verificación Regular’, por 200 unidades mensuales equivalente a 184 euros, involucra al usuario en el proceso de fraude. La tercera, ‘PIN de Banca en Línea’, a 250 unidades mensuales, permite acceso a cuentas bancarias”, describen.

Según la empresa de telefonía, “Chenlun utiliza Telegram para promocionar sus servicios y mantiene un canal de YouTube con tutoriales sobre implementación de campañas de phishing. Las actividades de Chenlun resaltan la sofisticación y gravedad de las amenazas cibernéticas actuales”.

Rodrigo Apablaza y Carlos Baeza sostienen que “la comunidad en torno a los productos Chenlun parece activa y en crecimiento. Cada día se unen nuevos usuarios y diariamente se publican anuncios de servicios de otros individuos”. Además, comentan que las campañas maliciosas que analizaron “son ejecutadas por una red de cibercriminales conocida como ‘Triad Smishing‘. Se trata de un grupo delictivo que ofrece una infraestructura de cibercrimen como servicio, suministrando kits personalizados a otros actores maliciosos a nivel internacional”.