On the Line: una película sobre el vishing

Los cineastas coreanos han hecho una película sobre la ciberdelincuencia que merece la pena, aunque solo sea como herramienta de formación.

¿Has visto alguna vez una adaptación cinematográfica de un glosario de ciberseguridad? Pues, para mi sorpresa, yo sí: La película surcoreana On the Line (título original: Boiseu; no confundir con la película del mismo nombre protagonizada por Mel Gibson y traducida al español como Secuestro en directo). Esta película de acción contiene tal concentración de ciberdelitos que casi podría recomendártela como un libro de texto sobre seguridad de la información; parece que los consultores contratados por los cineastas sabían muy bien lo que hacían.

On the Line como referencia del cibercrimen

La trama principal gira en torno al phishing por voz o vishing. Pero el protagonista, un expolicía convertido en capataz Han Seo-joon, también se encuentra con otras muchas técnicas de estafa. Dejemos la acción a un lado y centrémonos en los ciberincidentes (por orden de aparición).

El inhibidor de señal móvil

Un intruso accede a una construcción y esconde un dispositivo con varias antenas en una bolsa de materiales. Como veremos más adelante, se trata de un inhibidor de las señales de teléfonos móviles. El dispositivo bloquea las frecuencias en las que operan los teléfonos móviles, impidiendo todas las comunicaciones en el área de cobertura. Pronto queda claro por qué los delincuentes interfieren la señal: para realizar un ataque vishing.

El teléfono infectado con malware

La esposa de Seo-joon, que regenta una cafetería, recibe un mensaje de spam en su teléfono sobre un programa de apoyo a las pequeñas empresas que supuestamente otorga una prestación a empresas con menos de cinco empleados. Al tocar el enlace, instala un malware en su teléfono que concede a los delincuentes acceso a todos sus mensajes, registros de llamadas y datos personales, y que les permite redirigir las llamadas desde su teléfono a sus propios números.

Vishing (1ª situación)

A continuación, comienza el ataque vishing: recibe una llamada de alguien que se presenta como abogado y afirma que ha habido un accidente en la construcción que dio como resultado la detención y acusación de Seo-joon. Ella intenta llamar a su esposo de inmediato, pero no puede comunicarse debido a la interferencia; asume que su teléfono está apagado o fuera de cobertura. Marca el número de la obra y una voz le dice que ha ocurrido un accidente: ha muerto un trabajador y el capataz está bajo custodia policial. Aquí es donde entra en juego el malware: la llamada se ha desviado y ella está hablando con los delincuentes.

Poco después el teléfono vuelve a sonar. Esta vez, alguien la llama supuestamente desde el Departamento Central de Policía de Busan y le informa de que Seo-joon ha sido arrestado en relación con un accidente en una obra y que puede visitarlo en el centro de detención.

El “abogado” vuelve a llamar y argumenta persuasivamente que, si el caso llega a los tribunales, Seo-joon será declarado culpable y acabará en la cárcel, la única forma de evitarlo es pagando una indemnización. Presa del pánico, la esposa transfiere todos sus ahorros a la cuenta del supuesto bufete de abogados.

Una rápida intervención

En la pantalla vemos la interfaz bancaria de los estafadores cuando alguien divide el dinero y lo deposita en siete cuentas. Luego, unas personas armadas con documentos y tarjetas bancarias retiran el efectivo en varias sucursales. Cuando la mujer descubre que ha sido víctima de un fraude y corre a la oficina bancaria más cercana, el dinero ya no está en sus cuentas.

Vishing (2ª situación)

Resulta que el inhibidor no se ha instalado solo en busca de los ahorros de una víctima; el director de la constructora afirma que él también ha sido víctima de un engaño que le ha hecho perder una suma mucho más importante de la cuenta de los salarios. Una “compañía de seguros” llamó y ofreció un 50 % de descuento en un seguro familiar para constructores. El director, demasiado confiado, envía a los desconocidos no solo el dinero, sino también los datos personales de todos sus empleados. La señal móvil se interfirió en el mismo momento en el que se dio cuenta de que la llamada no era de una aseguradora.

El lavado de dinero a través del cambio de divisas

La policía explica a las víctimas que el dinero no se puede devolver porque se ha lavado a través de una red de plataformas de intercambio (en realidad, un servicio de transferencias). Es decir, los delincuentes depositan wons coreanos en Corea y retiran yuanes chinos en China.

Mulas de alquiler

El delincuente que colocó el inhibidor en la obra dirige una “agencia de viajes”, pero, en realidad, los agentes de viajes son personas de las provincias que buscan ganar dinero rápido. Los traen, los arreglan y los envían a las oficinas bancarias para cobrar los fondos robados. A juzgar por un comentario improvisado, el plan es involucrar a cada persona en la estrategia del retiro de efectivo dos o tres veces.

El sitio de póquer con una cuenta ficticia

Para averiguar qué está pasando, Seo-joon recurre a un hacker experto que conoce. En ese momento, está recibiendo la presión de unos delincuentes después de contratar la creación de un sitio de póquer online, que luego conectaron en secreto a su propia cuenta, aparentemente para desviar el dinero perdido por los jugadores (o al menos parte de él).

El dispositivo de falsificación masiva

El hacker explica exactamente cómo pueden llamar los atacantes a los teléfonos de las víctimas desde números falsos: mediante el uso de dispositivos instalados en apartamentos residenciales ordinarios para falsificar números de teléfono.

El comercio de datos personales

Seo-joon irrumpe en la oficina de un tal Sr. Park, que dirige esta empresa criminal en Corea. Allí ve cómo se empaquetan los documentos y tarjetas que reciben las mulas. Lo más significativo es que alguien en la oficina está vendiendo datos personales robados: bases de datos de deudores de microcréditos, clientes de grandes almacenes, socios de clubes de golf y clientes de propiedades de lujo.

El acceso no autorizado a datos personales

Seo-joon intenta ganarse la confianza de los jefes de esta red criminal en China con documentos falsos. Resulta que los villanos tienen acceso a la base de datos de la policía coreana e incluso a los historiales de pagos bancarios. Para comprobar la supuesta identidad de Seo-joon, le hacen preguntas sobre sus compras. Afortunadamente, el amigo hacker que le había proporcionado los documentos falsos tuvo la idea de hacerle aprender una historia que poder usar de tapadera.

Vishing (3ª situación): la perspectiva de los delincuentes

Seo-joon encuentra trabajo en un centro de llamadas y observa cómo un grupo de estafadores intenta que otra persona se desprenda de su dinero. Haciéndose pasar por investigadores de ciberdelitos en un banco, afirman que la cuenta de la víctima se está utilizando con fines fraudulentos, por lo que podría ser procesado como cómplice. Si no sabe nada al respecto, significa que su identidad ha sido robada y debe ponerse en contacto con el departamento de control financiero. La víctima, sospechando que algo no va bien, intenta contactar con el banco para bloquear la cuenta, pero su teléfono está infectado con el mismo troyano que redirige la llamada a los delincuentes, que lo convencen de que tardarán dos horas en bloquear la cuenta y que solo el departamento de control financiero puede brindarle asistencia urgente. Afortunadamente, Seo-joon logra sabotear el plan.

Los guionistas de los ataques vishing

En busca de los vishers, Seo-joon se infiltra en su operación y observa cómo crean sus estrategias. Se trata de un trabajo serio: los estafadores hacen estudios de mercado, encuentran grupos vulnerables de personas y desarrollan situaciones para cada una de ellas. El “guionista” principal explica que el vishing se basa en la empatía: no explotan la estupidez ni la ignorancia, sino los miedos y deseos.

Vishing (4ª situación)

A los estafadores se les ocurre un manual de estrategia completamente nuevo. Consiguen una lista de solicitantes de empleo que han tenido entrevistas con una gran empresa, llaman a todos los de la lista y les informan que han sido elegidos para el puesto. Sin embargo, antes de comenzar a trabajar, deben cumplir con algunos trámites: someterse a un examen médico, una verificación de crédito y dar los datos de un avalista. Puede ser un familiar mayor de 40 años que esté en condiciones de aportar cierta cantidad de dinero al programa federal de empleo juvenil…

Pero ¿podría ser un caso real?

El vishing en esta película se muestra de una forma bastante plausible y casi todos los trucos descritos son factibles en la vida real. Pero ¿realmente entrelazan los ciberdelincuentes los ataques de esta forma? Afortunadamente, solo en contadas ocasiones. La historia del malware telefónico que imita una llamada es bastante real: solo tienes que consultar nuestra publicación sobre un troyano similar. Pero un inhibidor recuerda más a un ataque dirigido y es poco probable que se implemente en una estrategia masiva. El lavado de dinero a través del cambio de divisas probablemente podría ocurrir en Corea, pero sería más difícil en otros lugares. Usar mulas para cobrar realmente sí es algo común. Lo que es innegablemente cierto es una frase pronunciada al final de la película: “Muchos se culpan a sí mismos por picar en el anzuelo, pero lo cierto es que les han perseguido unos depredadores realmente inteligentes y calculadores. Igualmente, serán capturados tarde o temprano”.

Consejos