Búsqueda de Ciberamenazas

Condenan a 13 años de cárcel al cabecilla del servicio iSpoof de estafas telefónicas

En noviembre de 2022 escribimos sobre el desmantelamiento en varios países de un sistema de Ciberdelincuencia como Servicio (CaaS) conocido como iSpoof.

Aunque iSpoof se anunciaba abiertamente como un sitio que no pertenecía a la darkweb, accesible con un navegador normal a través de un nombre de dominio normal, y aunque utilizar sus servicios podría haber sido técnicamente legal en algún país (si eres abogado, nos encantaría conocer tu opinión al respecto una vez que hayas visto las capturas de pantalla históricas del sitio web que aparecen a continuación) un tribunal del Reino Unido no tenía ninguna duda de que el sistema iSpoof se había implantado con la intención de cometer delitos.

El cabecilla del sitio, Tejay Fletcher de 35 años, de Londres, fue condenado a una pena de prisión de más de una década para reflejar ese hecho.

Muestra el número que quieras

Hasta noviembre de 2022, cuando se retiró el dominio tras emitirse una orden de incautación a las fuerzas de seguridad estadounidenses, la página principal del sitio tenía este aspecto:

callerID
Puedes mostrar cualquier número que desees en la pantalla de llamadas, esencialmente falsificando tu identificador de llamadas

Y una sección explicativa, más abajo en la página, dejaba bastante claro que el servicio no estaba ahí simplemente para mejorar tu propia privacidad, sino para ayudarte a engañar a las personas a las que llamabas:

Consigue la capacidad de cambiar lo que alguien ve en la pantalla de su identificador de llamadas cuando recibe una llamada tuya. ¡Nunca sabrán que eras tú! Puedes elegir el número que quieras antes de llamar. Tu interlocutor creerá que eres otra persona. ¡Es fácil y funciona en todos los teléfonos del mundo!

 

Por si aún te quedaba alguna duda de cómo puedes utilizar iSpoof para ayudarte a estafar a víctimas desprevenidas, aquí tienes el vídeo promocional del sitio, proporcionado por cortesía de la Policía Metropolitana (más conocida como “la Met”) de Londres, Reino Unido:

 

Como verás a continuación, y en nuestra cobertura anterior de esta historia, los usuarios de iSpoof en realidad no eran anónimos en absoluto.

Más de 50.000 usuarios del servicio ya han sido identificados, y cerca de 200 personas ya han sido detenidas y están siendo investigadas solo en el Reino Unido.

Hazte pasar por un banco…

En pocas palabras, si te registrabas en el servicio de iSpoof, por muy técnico o no que fueras, podías empezar inmediatamente a hacer llamadas que aparecerían en los teléfonos de las víctimas como si procedieran de una empresa en la que ya confiaban.

Como dijo la Policía Metropolitana

Los usuarios de iSpoof, que tenían que pagar para utilizar sus servicios, se hacían pasar por representantes de bancos como Barclays, Santander, HSBC, Lloyds y Halifax [conocidos bancos británicos], fingiendo avisar de actividades sospechosas en sus cuentas.

Los estafadores animaban a los incautos a revelar información de seguridad, como códigos de acceso de un solo uso, para obtener su dinero.

Las pérdidas totales declaradas por los estafados mediante iSpoof ascienden a 48 millones de libras sólo en el Reino Unido, y se cree que la pérdida media es de 10.000 libras. Dado que el fraude se denuncia muy poco, se cree que la cantidad total es mucho mayor.

En los 12 meses transcurridos hasta agosto de 2022, se hicieron unos 10 millones de llamadas fraudulentas en todo el mundo a través de iSpoof, de las cuales unos 3,5 millones se hicieron en el Reino Unido.

Curiosamente, la Met afirma que alrededor del 10% de esas llamadas en el Reino Unido (unas 350.000 en total), realizadas a 200.000 víctimas potenciales diferentes, duraron más de un minuto, lo que sugiere una tasa de éxito sorprendentemente alta para los estafadores que utilizaron el servicio iSpoof para dar a sus llamadas falsas un aire fraudulento de legitimidad.

Cuando recibes llamadas de un número en el que tiendes a confiar, por ejemplo, un número que utilizas con tanta frecuencia que lo has añadido a tu propia lista de contactos para que aparezca con un identificador de tu elección, como compañía de tarjetas de crédito, en lugar de algo de aspecto genérico como +44.121.496.0149, es más probable que confíes implícitamente en la persona que llama antes de oír lo que tiene que decir.

Al fin y al cabo, el sistema que transmite el número de la persona que llama al destinatario antes incluso de que se conteste la llamada se conoce en la jerga como identificación de la persona que llama, o identificación de la línea de llamada (CLI) fuera de Norteamérica.

No es ningún tipo de identificación

Esas palabras mágicas ID e identificación en realidad no deberían estar ahí, porque un llamante con conocimientos técnicos (o un llamante sin ningún tipo de conocimientos técnicos que utilizara el servicio iSpoof) podría insertar el número que quisiera al iniciar la llamada.

En otras palabras, el identificador de llamadas no solo no te dice nada sobre la persona que utiliza el teléfono que te llama, sino que tampoco te dice nada fiable sobre el número del teléfono que te llama.

El identificador de llamadas no “identifica” a la persona que llama ni al número que llama con más fiabilidad que la dirección del remitente impresa en el reverso de un sobre de correo postal o la dirección de respuesta que figura en el encabezamiento de los correos electrónicos que recibes.

Todas esas “identificaciones” pueden ser elegidas por el originador de la comunicación, y pueden decir prácticamente cualquier cosa que el remitente o la persona que llama elijan.

En realidad, deberían llamarse “Lo que el comunicante quiere que pienses”, que podría ser una sarta de mentiras, en lugar de referirse a ellas como un ID o una identificación.

Y se mentía mucho, gracias a iSpoof, según la Met:

Antes de su cierre en noviembre de 2022, iSpoof crecía constantemente. 700 nuevos usuarios se registraban en el sitio cada semana y ganaba una media de 80.000 libras semanales. En el momento del cierre tenía 59.000 usuarios registrados.

El sitio ofrecía una serie de paquetes para usuarios que compraban, en Bitcoins, el número de minutos que querían utilizar el software para hacer llamadas.

El sitio obtuvo grandes beneficios, según la Met:

iSpoof ganó algo más de 3 millones de libras, y Fletcher se benefició de entre 1,7 y 1,9 millones de libras por dirigir y permitir que los estafadores arruinaran la vida de las víctimas. Llevaba un estilo de vida extravagante, poseía un Range Rover valorado en 60.000 £ y un Lamborghini Urus valorado en 230.000 £. Se iba de vacaciones con regularidad, con viajes a Jamaica, Malta y Turquía sólo en 2022.

Anteriormente, en 2023, Fletcher se declaró culpable de los delitos de fabricar o suministrar artículos para su uso en fraude, alentar o ayudar a la comisión de un delito, poseer bienes delictivos y transferir bienes delictivos.

La semana pasada fue condenado a 13 años y 4 meses de prisión; otras 169 personas en el Reino Unido “han sido detenidas bajo sospecha de utilizar iSpoof y siguen bajo investigación policial”.

¿Qué hacer?

  • CONSEJO 1. Trata el identificador de llamadas como nada más que una pista.

Lo más importante que debes recordar (y explicar a los amigos y familiares que creas que pueden ser vulnerables a este tipo de estafa) es lo siguiente: EL NÚMERO DE LA PERSONA QUE LLAMA QUE APARECE EN TU TELÉFONO ANTES DE QUE CONTESTES NO PRUEBA NADA.

  • CONSEJO 2. Inicia siempre tú mismo las llamadas oficiales, utilizando un número en el que puedas confiar.

Si realmente necesitas ponerte en contacto por teléfono con una organización, como tu banco, asegúrate de iniciar tú la llamada y de utilizar un número que hayas calculado tú mismo.

Por ejemplo, consulta un extracto bancario oficial reciente, comprueba el reverso de tu tarjeta bancaria, o incluso visita una sucursal y pregunta cara a cara a un empleado por el número oficial al que debes llamar en futuras emergencias.

  • CONSEJO 3. Ayuda a los amigos y familiares vulnerables.

Asegúrate de que los amigos y familiares que creas que podrían ser vulnerables a ser engatusados (o amedrentados, confundidos e intimidados) por estafadores, independientemente de cómo se pongan en contacto contigo por primera vez, sepan que pueden y deben pedirte consejo antes de aceptar nada por teléfono.

Y si alguien les pide que hagan algo que es claramente una intrusión en su espacio digital personal, como instalar Teamviewer para dejarles entrar en el ordenador, leer en voz alta un código de acceso secreto de la pantalla, o decirles un número de identificación personal o una contraseña, asegúrate de que saben que está bien simplemente colgar sin decir ni una palabra más, y ponerse en contacto contigo para comprobar los hechos.