El hacker sampedrino Mauro Eldritch, un destacado investigador especializado en amenazas cibernéticas y director de BCA LTD, ha estado en la vanguardia de la lucha contra el ciberdelito en los últimos años. Su trabajo reciente, en colaboración con empresas como NorthScan y ANY.RUN, ha revelado un sofisticado esquema de ciberdelincuencia orquestado por un grupo criminal vinculado a Corea del Norte, lo que fue resaltado por medios especializados de Sudamérica y el mundo.

A través de un intrincado análisis, Eldritch “ha podido registrar en tiempo real las actividades de espías norcoreanos, evidenciando el uso de herramientas de inteligencia artificial para robar información y fondos de computadoras occidentales, recursos que, en última instancia, financian el régimen de Kim Jong Un”.

La motivación detrás de estas acciones reside en un contexto de sanciones internacionales que presionan económicamente al régimen norcoreano. Estados Unidos, a través de la Oficina de Control de Activos Extranjeros (OFAC), establece prohibiciones estrictas sobre la contratación de trabajadores norcoreanos y la transferencia de fondos al gobierno de este país.

Ante esta situación, grupos como "Famous Chollima", una facción del conocido grupo Lazarus, han recurrido a tácticas clandestinas para mantener su flujo de ingresos.

Una de las tácticas más recientes detectadas por Eldritch -de gran actividad durante la existencia de Rainbowex y de colaboración con La Opinión- involucra el contacto directo con desarrolladores tecnológicos, bajo la apariencia de reclutadores estadounidenses. Este modus operandi incluye ofertas de empleo tentadoras que, al ser investigadas, revelan su naturaleza fraudulenta.

En uno de estos casos, un supuesto reclutador, apodado "Blaze", contactó a Heiner García de NorthScan, proponiéndole hacerse pasar por él durante entrevistas laborales. El ofrecimiento incluía un salario atractivo de aproximadamente 3.000 dólares mensuales, pero el verdadero objetivo era obtener información personal y acceso remoto a las computadoras de los postulantes.

Utilizando técnicas avanzadas de ingeniería social y manipulación, los atacantes solicitaban datos sensibles a cambio de acceder a oportunidades laborales. A partir de este punto, Eldritch, junto a ANY.RUN, desarrolló un sistema de “sandboxing” (técnica en ciberseguridad) que les permitió monitorear las actividades de estos ciberdelincuentes en un entorno virtual controlado.

Esta técnica permitió a los investigadores observar cada movimiento, archivo abierto y acción realizada por el atacante en tiempo real.

Durante esta operación, el hacker cometió un error crucial al dejar abierta su cuenta de Google, lo que permitió a Eldritch y su equipo acceder a sus herramientas y comunicaciones internas. Esta filtración resultó en una importante recopilación de información que demostró la frustración y presión bajo la que operaban los ciberdelincuentes.

El diseño de esta investigación dejó una enseñanza vital: “Es elemental que las organizaciones implementen controles de identidad rigurosos y procesos de verificación exhaustiva durante la contratación”. Además, es fundamental capacitar a los equipos de recursos humanos en la identificación de señales de alerta de posibles fraudes y compartir historias reales con los candidatos para concienciarlos sobre la naturaleza del ciberdelito.

En un entorno digital cada vez más complejo, la cautela y el escepticismo son herramientas esenciales para salvar la seguridad de las empresas y sus activos digitales.

La Opinión & Sin Galera dieron a conocer en la mañana del sábado el informe completo elaborado por BCA LTD, la empresa que el especialista en informática Mauro Eldritch elaboró durante las últimas semanas para desentrañar quiénes son y de qué manera se generó un gran consorcio de inversores que tiene epicentro en ciudades como San Pedro, Gualeguaychú y Bahía Blanca, dentro del territorio argentino.

El resumen en nueve ítems desnuda paso a paso cómo se gestó este mecanismo dentro de una plataforma que no respeta normas de seguridad y vulnera la provisión de datos personales. Desde el “acceso a la linterna” del celular a “capturas de pantalla” aleatorias forman parte de los riesgos que corren las personas que fueron invitadas a entregar copia de sus documentos y fotos del rostro para poder incorporarse a la red de Telegram en la que al menos dos veces al día se recibían instrucciones para “invertir”.

En el texto y en las imágenes todos los accesos directos para que cualquier persona pueda comprobar los datos que se proporcionan.

INFORME TEXTUAL DE BTA LTD SOBRE RAINBOWEX

- 1) El dominio rainbowex(.)life fue registrado hace apenas unas semanas el 02/07. Teníamos el dato de que esta gente cambia habitualmente de dominio por denuncias de abuso o fraude. Los datos de quién lo registró están redactados, es un servicio extra de pago que permite a quien registra el dominio esconder sus datos del registro público.

- 2) La aplicación está "escondida" detrás de un proveedor de seguridad muy conocido llamado CloudFlare, y sus servidores están en Amazon AWS en la región "ap-southeast-1" es decir, Asian-Pacific 1 (Singapur). Sin embargo, la aplicación no es singapurense por varios motivos:

- 3) El lenguaje de la aplicación es "zh-CN" (Chino de China). El equivalente en Singapur es "zh-SG" (Chino de Singapur).

- 4) El proveedor de email de la aplicación es Aliyun(.)com, parte del conglomerado Alibaba Cloud, ambos de China. Esto también puede verse públicamente al consultar los registros DNS MX de la aplicación.

- 5) Al desempaquetar la aplicación, vemos que hace llamadas recurrentes a un servidor en dcloud(.)net(.)cn, otro proveedor de servicios de nube basados en China (de hecho, .cn es el dominio de China). Este dominio fue marcado como malicioso dos veces. También se comunica con m3w(.)cn, un dominio que no tiene registrante declarado y fue marcado como malicioso apenas unas 72 veces.

- 6) La plantilla de aplicación que utilizan hace múltiples referencias a "liuyingyong(.)cn", otro dominio chino. Al visitarlo, encontramos que es un sitio donde justamente, la gente sube plantillas gratis para armar aplicaciones. Probablemente el template del sitio haya sido descargado de ahí.

- 7) La aplicación no está listada en App Store / Play Store, por lo que no es distribuida por medios oficiales. Esto implica que no pasó una auditoría de seguridad ni una revisión de calidad. De hecho, al desensamblarla nuestra auditoría encontró tres vulnerabilidades graves, una reportada en el año 2020 y las otras dos en 2018. La aplicación también busca saber si el teléfono del usuario está "rooteado", esto es si tiene permisos de administrador total, lo cual podría permitirle hacer literalmente cualquier cosa que se le ordene. Por otro lado la app solicita muchos permisos, desde manipular la linterna hasta leer todas las fotos y videos e incluso instalar otros paquetes. Una función particular que nos llamó la atención toma capturas de pantalla sobre la actividad del usuario y las guarda con fecha y hora. Es momento de preguntarnos ¿para qué la aplicación necesita hacer esto?

- 8) Todas las funciones envían la información de forma insegura (texto plano) y en el idioma del usuario, pero con aclaraciones en Chino Tradicional (de nuevo, usado en China y no en Singapur).

- 9) No hay registros de actividad ante AFIP o CNV, entes que regulan a las personas físicas y jurídicas y a prestadores de este tipo de servicios financieros respectivamente. Hace falta autorización de CNV para captar fondos y para dar recomendaciones financieras. Rainbow, Arco Iris o las personas involucradas no tienen un registro oficial, lo que equivale hablando de forma vulgar a jugar a la quiniela clandestina.

Eldritch es Director de Birmingham Cyber Arms y el sábado por la mañana confirmó la publicación de los datos que pertenecen a la base de Pami que fue hackeada hace varias semanas y por cuyo rescate pedian setecientos setenta mil dólares.

Habló de la línea de tiempo que se cumplió con los dominios de la empresa pastera y señaló que como aún no se ha pagado lo que exigen quienes se adueñaron de las credenciales, la información sigue en riesgo.