Los intentos de estafa a través de plataformas digitales son moneda corriente. Una de las técnicas que exhibe casos en aumento es el denominado “smishing”, que básicamente son fraudes que se canalizan a través de mensajes de texto (SMS). Un caso reciente es sorprendente, por el giro dramático en la historia: ciberdelincuentes se metieron con quien no debían.
El caso de Grant Smith y su venganza contra los piratas informáticos que intentaron engañar a su esposa
Según recoge el sitio Genbeta, la historia comenzó cuando la esposa de Grant Smith recibió un SMS fraudulento. En este caso, se trataba de una comunicación supuestamente proveniente del Servicio Postal de Estados Unidos, en el que se pedían datos para la entrega de un paquete, en verdad inexistente.
Ese tipo de mensajes procuran manipular a las posibles víctimas para que entreguen información sensible, incluyendo accesos a plataformas financieras. Un detalle, antes de avanzar: Smith es el fundador de una empresa de ciberseguridad, Phantom Security. Otro detalle: su esposa cayó en la trampa.
En lugar de simplemente dejar pasar el engaño, el protagonista de esta historia ideó un plan para infiltrarse en los sistemas de los piratas informáticos y finalmente exponerlos ante las autoridades. Naturalmente, para ello necesitó apelar a algunos artilugios de orden técnico. Siguiendo a la fuente, “encontró un sistema bien organizado, diseñado para recolectar y almacenar en forma masiva datos personales y financieros de miles de víctimas”.
Smith también encontró que el ataque se basaba en un kit de smishing creado por un estudiante chino, que se vendía por una suscripción mensual de 200 dólares. Con la colaboración de otros investigadores, el experto descifró cómo funcionaba el esquema de los estafadores. Uno de los aspectos más llamativos fue el siguiente: el kit incluía un método que permitía a su creador acceder a los paneles de administración de sus clientes. En otras palabras, no solo ganaba dinero con las ventas, sino que también recopilaba los datos que robaban otros ciberdelincuentes.
La información que recabó Smith es impresionante: los atacantes contaban con casi 440.000 números de tarjetas de crédito y más de 50.000 direcciones de correo electrónico.
Para poner un broche en su venganza, Smith entregó esta información al FBI y al Servicio de Inspección Postal de Estados Unidos. Y ya hay una investigación en marcha. La fuente concluye con un aspecto relevante: si bien el especialista en ciberseguridad parece aquí un héroe, lo cierto es que sin autorización empleó técnicas que violan las normativas locales.
