Cuando los ciberestafadores meten la pata: así boicoteó este experto en seguridad uno de los fraudes que suplantan a la DGT

¿Una base de datos accesible sin nombres de usuario ni contraseña? Los cibercriminales ya no son como antes

Fake Dgt
Sin comentarios Facebook Twitter Flipboard E-mail

"Los malos, habitualmente son muy buenos, pero cuando eres un estafador en serie, a veces te dejas cosas mal configuradas, o más bien, no configuradas". Así comienza un hilo en X titulado "Molestando a estafadores Volumen 3", elaborado por el experto en ciberseguridad 'Winix', y en el que relata cómo desmanteló él solo una campaña de phishing.

Todo comenzó cuando Winix recibió múltiples reportes de un enlace de phishing a través de su plataforma de denuncias de mensajes fraudulentos 'ScamHammer': el enlace en cuestión suplantaba a la Dirección General de Tráfico, la estafa de la DGT tan en auge en estos días, de la que de hecho os hablamos hace poco.

Ante la persistencia de estos reportes, Winix decidió investigar más a fondo.

Un vistazo a…
¡QUE NO TE ENGAÑEN! Los principales TIMOS en COMPRAS ONLINE y CÓMO EVITARLOS

Accediendo a los datos recopilados por los estafadores

Winix explica en su hilo que los estafadores suelen almacenar los datos robados de dos maneras: en archivos de texto plano o en bases de datos. En este caso, los delincuentes habían optado por guardar los datos robados en una base de datos (MariaDB gestionada de manera gráfica a través de phpMyAdmin), un método más sofisticado que requiere un mayor nivel de conocimientos técnicos.

"Lo malo es que cuando aumenta la sofisticación de un sistema, tus conocimientos tienen que ir a la par. Usar tecnologías que no entiendes, es mala idea".

La sorpresa llegó cuando Winix accedió al enlace de phishing y añadió "/phpmyadmin" al final de la URL... en lugar de encontrar medidas de seguridad robustas, se topó con una base de datos completamente desprotegida:

"He entrado directamente en su base de datos, sin login, sin nada".
MariaDB La base de datos maliciosa en cuestión. Nótese que su nombre hace referencia al 'profit' (lucro o beneficio económico).

Esta negligencia por parte de los estafadores permitió a Winix acceder a una tabla llamada "data" que contenía información extremadamente sensible de los usuarios que habían sido víctimas de la estafa de phishing, y habían cedido sus datos personales y financieros confiando en que su destinataria era la propia DGT.

"Tened cuidado ahí fuera, las cosas están feas y no parece que nadie vaya a hacer nada" (Winix)

La reacción de Winix

Atentos Atentos al nombre de cada uno de los campos.

Así, al descubrir 71 registros con datos como nombres, apellidos, números de tarjetas de crédito, CVV, fechas de caducidad y PINs, Winix no dudó en actuar:

"En cuanto he visto lo que había en la base de datos, he eliminado todos los datos de CVV, PIN y número de tarjeta".

Winix reconoce ser consciente de que esta acción no es lo ideal desde una perspectiva legal o ética, pero alega que estaba motivado por la urgencia de proteger a las víctimas.

Después de eso, y tras haber guardado algunas pruebas del contenido original de dicha base de datos, se lo notificó a los proveedores de hosting, de quienes ha destacado que respondieron con rapidez, eliminando la página maliciosa casi de inmediato.

Vía | Alberto Menéndez

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar fraudes en Internet y ciberestafas

Inicio