Aunque últimamente no hemos hablado mucho sobre los fraudes de soporte técnico, eso no significa que hayan desaparecido, como lo demuestran las denuncias incesantes de los lectores en comentarios a otros artículos anteriores sobre el tema. De hecho, yo también sigo recibiendo llamadas telefónicas de este tipo, junto con los fraudes de seguro de protección de pagos donde se ofrecen a ayudarme con mis reclamos por un accidente de tránsito que, en realidad, nunca tuve.

Como este artículo va a ser bastante extenso, les recuerdo cómo funciona el fraude básico con este breve extracto del paper presentado por Martijn Grooten, Craig Johnston, Steve Burn y por mí en Virus Bulletin en 2012.

El fraude básico es muy simple. El estafador llama a víctima por teléfono en forma inesperada para desorientarla, y la persuade de que tiene un problema en el equipo y que debe pagarle a la supuesta empresa que le está llamando para que lo solucione en forma remota. El estafador dice llamar de parte de una entidad autorizada, en general algún tipo de proveedor de servicios y, en la mayoría de los casos, de Microsoft.

[…]

Cuando logra persuadir a la víctima de que la llamada es genuina (o incluso antes), el estafador le explica que recibió una notificación sobre ciertos problemas que tiene el equipo o, en otros casos, se ofrece a verificar el sistema para ver si tiene algún problema. En general, la trampa está en usar indebidamente algunas utilidades del sistema para "probar" que el equipo tiene problemas. También se suele persuadir a la víctima para que le otorgue al estafador acceso remoto al sistema de modo que pueda verificar su estado y, en muchos casos, instalar software que "solucionaría" los problemas detectados.

Varios de estos comentarios provienen de personas que fueron contactadas por estafadores y encontraron nuestros artículos mientras buscaban más información. Está claro que, a pesar de la gran atención que nosotros (y, más recientemente, otras personas de la industria de seguridad) le otorgamos a este tipo de fraude, hay muchas personas que nunca lo habían experimentado antes o que no se dieron cuenta de inmediato de que se trataba de una estafa.

Estafar al estafador

Otros comentarios provienen de personas que están al tanto y que aprovecharon el llamado inesperado para hacerle perder el tiempo al estafador y enfurecerlo.

Hace poco, mi colega Aryeh Goretsky me sugirió que leyera un artículo del periodista Steve Ragan, donde muestra la grabación de una charla que tuvo con una estafadora. Escuché muchas grabaciones de este estilo en los últimos años, pero esta incluye una táctica interesante para persuadir a la víctima de que su sistema está siendo atacado. A pesar de que ya analicé y escribí sobre muchas tácticas de este tipo, ésta me resultó completamente nueva.

La estafadora le pidió que ejecutara la utilidad de Configuración del sistema msconfig. A continuación, le indicó que hiciera clic en la pestaña Servicios y le dijo que los servicios cuyo estado fuera "Detenido" eran síntoma del "problema" del equipo.

msconfig-tab

De hecho, es perfectamente normal que algunos servicios estén detenidos, ya sea porque no se requieren en la configuración de Windows que el usuario elige utilizar, o porque no necesitan estar activos en todo momento. Naturalmente, Ragan lo sabía y aprovechó la oportunidad para provocar un poco a la estafadora.

Una práctica peligrosa: provocar a los estafadores

Cuando la estafadora se dio cuenta de que se había dejado engañar por alguien que conocía muy bien la naturaleza fraudulenta de la llamada y le habían hecho perder el tiempo, intentó decirle que había logrado acceder a su sistema porque ahora sabía su identificador CLSID. Pero la amenaza fue en vano: ¿cómo podríamos pensar que un periodista de seguridad no iba a saber lo que CLSID es en realidad (incluso aunque esté mal escrito en el artículo), y que no se puede usar para identificar un sistema específico ni, menos aún, exponerlo a un ataque?

De todas formas, salió bastante bien parado: un canadiense que se rehusó a aprovechar los servicios ofrecidos por un estafador fue amenazado de muerte, mientras que también hubo casos de amenazas de violación y violencia como éstas. De hecho, hace varios años, un estafador mucho menos agresivo me aconsejó que me tomara unas vacaciones de inmediato porque pronto estaría muerto; de modo que esta táctica en particular no es tan nueva.

Si quieren reírse un rato, pueden ver otras originales contestaciones a scammers e incluso un video de un caso.

La venganza del estafador

Los tipos de daños ocasionados varían desde pérdidas financieras directas debido al pago por instalaciones de programas innecesarios y, a veces, dañinos; la instalación de software intencionalmente malicioso; el robo de datos confidenciales; la destrucción intencional del sistema; o el bloqueo del acceso mediante algún modo de cifrado al estilo de los clásicos ransomware.

Una de las maneras en que los estafadores de soporte afectan gravemente a sus víctimas es cuando la víctima es lo suficientemente descuidada como para otorgarle el acceso de su PC y luego decide no pagar por su servicio de reparación. En muchos casos denunciados donde se desarrolla una escena similar, el estafador se aprovecha de la conexión remota para destruir el sistema. Si resulta ser experto en tecnología (lamentablemente existen casos así), puede dejar el equipo de su víctima inutilizable.

Asimismo, puede dejar instalada una trampa apenas accede al sistema, ya sea para destruirlo en caso de que la víctima no siga su juego o para volver a obtener acceso a la PC (y a la tarjeta de crédito de la víctima) en un futuro.

Nos llegan varios comentarios de personas que le permitieron al estafador acceder a su PC y luego no saben qué hacer. Lamentablemente, esto no es como el ataque de un único programa malicioso (o de una variante), donde conocemos con bastante certeza lo que va a hacer el programa si ya hemos visto o analizado la misma variante. Aunque en este caso la estafa en sí es bastante sistemática, el payload no lo es.

La estafa se lleva a cabo a través de diversas organizaciones e individuos que usan scripts diferentes y, si las víctimas les permiten acceder a su PC, no podemos adivinar lo que hicieron en cada caso en particular. Pero sabemos que:

  • Podrían robar archivos y datos (también de tarjetas de crédito) para su abuso o uso indebido, aunque estas historias son difíciles de corroborar.
  • Podrían borrar archivos y programas. Incluso hay denuncias sobre estafadores que utilizaron indebidamente la utilidad Syskey de Windows para bloquear el acceso de la víctima a su propio sistema, aunque es difícil decir si esta táctica tan molesta es común o no. (Volveré a tocar este tema a la brevedad).
  • Podrían agregar al sistema programas que son esencialmente inofensivos y hasta útiles, aunque en dichos casos suele tratarse de software que se puede conseguir en otro lado en forma gratuita o, por el contrario, versiones piratas de software legítimo que pueden funcionar o no sin una licencia adecuada.
  • Podrían instalar malware, aunque, una vez más, no tengo referencias confiables de que haya ocurrido en realidad. Pero la posibilidad claramente existe.

Dicho esto, no podemos asegurar lo que se hizo en cada caso específico: no existe una única solución con pasos detallados a seguir que sirva en todos los casos y que les podamos ofrecer a aquellas personas cuyas PC quedaron expuestas, ni tampoco podemos ofrecer soporte a cada uno individualmente a través del blog. Los clientes de ESET pueden obtener asesoramiento poniéndose en contacto con el área de soporte de ESET. Si no eren clientes, quizás les interese tener en cuenta los servicios auxiliares ESET Support Services, que ofrecemos para optimizar el rendimiento del equipo y eliminar malware (disponible en Estados Unidos).

Si usas un producto de otro fabricante, deberías ponerte en contacto con sus servicios de soporte. Los productos gratuitos no suelen ofrecer soporte sin cargo (con excepción de los foros de usuarios, donde la calidad del asesoramiento puede variar bastante y resultar excelente o no tanto), pero quizá puedas pagar por una consulta individual. Si directamente no tienes ningún producto de seguridad, tus opciones son muy limitadas. Siempre tendrás la opción de usar uno de los módulos de exploración online gratuitos (aquí encontrarás el de ESET).

Sin embargo, la gama de acciones que puede haber efectuado el estafador es demasiado amplia. Ni siquiera el software de seguridad pago de máxima categoría puede garantizar que detectará todos los problemas que pueda haber causado un estafador con acceso al equipo. Recomendamos buscar un técnico de algún servicio local reconocido que pueda ver el equipo (preferentemente en persona).

No obstante, la mejor manera de evitar este tipo de problemas es no otorgarle el acceso a la PC a nadie en quien no puedas (o no deberías) confiar. Y será más fácil lidiar con el problema si ya cuentas con la posibilidad de arrancar el sistema desde un medio externo. También vale la pena considerar el uso de una herramienta de terceros que haga backup del registro del sistema para complementar la Restauración del sistema.

Y por supuesto, esfuérzate por hacer copias de respaldo de los archivos y datos en forma habitual: el paper de Aryeh Goretsky titulado Options for backing up your computer es un buen punto de partida para comenzar con esta tarea.

En los próximos días profundizaremos en el análisis de las estafas de soporte técnico y daremos consejos para evitarlas.