Robo de activos digitales: Dinero fácil para los ciberdelincuentes

El robo de activos digitales es un fraude fácilmente monetizable que consiste en la sustracción y venta de códigos de tarjetas regalo, recargas y pins

Un abuelo acude a una tienda que comercializa tarjetas regalo y prepago para comprarle a su nieta una tarjeta de Playstation. La tienda le da un código al abuelo para que la nieta pueda canjear esta tarjeta comprando juegos o complementos para sus personajes favoritos. Sin embargo, cuando la chica va a activar la tarjeta descubren que el saldo ya se ha agotado. Este es un ejemplo cotidiano de un tipo de fraude en auge: el robo de activos digitales.

¿De qué hablamos cuando empleamos el concepto de activos digitales? En este cajón de sastre entran productos variopintos como las tarjetas regalo de múltiple clase de tiendas que se pueden canjear en sus e-commerce, las recargas de teléfonos móviles, tarjetas prepago para comprar en internet, accesos a plataformas de streaming como Netflix, Dazn o Spotify…

La dinámica sobre la que se sustenta el robo de activos digitales es muy sencilla. Los ciberdelincuentes acceden a los códigos de activación de estos productos ya sea atacando a los clientes finales o a los negocios intermediarios (como la tienda de nuestro ejemplo). Una vez que los tienen en su poder, los venden a terceras personas. Por ejemplo, un grupo criminal puede ofertar tarjetas regalo de Amazon o de Google Play por valor de 50 euros a tan solo 25 euros. De tal manera que el atacante obtiene una ganancia de 25 euros y la persona que adquiere de forma ilegítima la tarjeta se ahorra otros 25 euros.

En este artículo, vamos a analizar el robo de activos digitales y la importancia de combatir un fenómeno que afecta a miles de empresas y consumidores.

1. La tarjetización de los activos digitales: tiendas, videojuegos, recargas…

Uno de los procesos clave que han transformado el modelo económico en las últimas décadas es la servitización. Este concepto se usa para explicar cómo los negocios han pasado de vender productos a comercializar servicios recurrentes que se traducen en ingresos constantes. Sin ir más lejos, el modelo Software-as-a-Service (SaaS) forma parte de este proceso.

Pues bien, al igual que hablamos de la servitización de la economía, también podemos recurrir a un concepto similar: la tarjetización. Las grandes multinacionales del sector textil ofrecen a sus clientes la posibilidad de adquirir tarjetas regalo y, dentro de su estrategia de fidelización, obsequian ellas mismas a sus clientes con vales canjeables en sus e-commerce. Pero el fenómeno de la tarjetización no termina ahí. De hecho, está en plena expansión gracias al auge del comercio online y la proliferación de las compras y transacciones que se llevan a cabo a través de webs y aplicaciones móviles.

Por ejemplo, en el sector retail la tarjetización es un fenómeno de una relevancia crucial. Al igual que en la industria del entretenimiento (videojuegos, audiovisual, música…). Un amigo melómano está de cumpleaños y no sabes qué regalarle porque ya no consume música en físico, ¿por qué no obsequiarle una tarjeta para que disfrute de una plataforma de streaming gratis durante medio año? ¿Quieres recargarle el móvil a un familiar que se encuentra a miles de kilómetros de distancia para que pueda llamarte cuando quiera? También es posible recargar tarjetas prepago desde otro país. La digitalización ha transformado para siempre nuestra forma de consumir, pero también trae consigo una cara B: muchos delincuentes ven en el robo de activos digitales un negocio criminal que puede reputarles grandes beneficios económicos.

2. Vectores de ataque y targets en los casos de robo de activos digitales

Los delincuentes necesitan obtener los códigos de activación legítimos de los productos o servicios antes de que los clientes finales procedan a usarlos y, por lo tanto, consumir el saldo de las tarjetas. Por lo tanto, el quid de la cuestión radica en cómo pueden los delincuentes hacerse con estos códigos antes de que sean usados de forma legítima.

Por ende, es fundamental abordar cuáles son los vectores de ataque de los delincuentes y sus targets.

Los profesionales de ciberinteligencia y Threat Hunting de Tarlogic han constatado que el robo de activos digitales es una práctica delictiva que no busca atacar directamente a las compañías que ofrecen estos productos. Hablando en plata, para conseguir el código de activación de una tarjeta regalo de Amazon o un pin de Netflix, los criminales no lanzan su ataque contra estas multinacionales, con unos controles de seguridad avanzados que dificultan el éxito de un ataque, sino que se centran en la cadena de suministros y los clientes finales. ¿Por qué?

Compañías como Apple, Vodafone o Primark llegan a acuerdos con empresas distribuidoras que, a su vez, trabajan con miles de puntos de venta finales. Es decir, pequeños negocios que comercializan esta clase de tarjetas y productos digitales, ejerciendo como intermediarios, y que no disponen de una estrategia de ciberseguridad. Estos establecimientos, al igual que sus clientes, son mucho más vulnerables a los ciberataques para llevar a cabo el robo de activos digitales que las compañías propietarias de los activos y las que distribuyen las tarjetas.

2.1. Puntos de venta

Por ello, el primer vector de ataque para el robo de activos digitales son las tiendas, quioscos, locutorios, ultramarinos y otra clase de negocios retail. Hoy en día, es posible conseguir una tarjeta regalo, realizar recargas telefónicas o hacerse una tarjeta para pagar por internet en cientos de miles de pequeños establecimientos en nuestro país.

Si recorremos cualquier ciudad prestando atención a los negocios, descubriremos cómo en la gran mayoría de tiendas de golosinas se pueden obtener tarjetas y pins para acceder a contenidos digitales o recargar móviles prepago.

Estos establecimientos no tienen en la venta de activos digitales su principal fuente de negocio, están escasa o nulamente concienciados con respecto a las ciberamenazas y, además, trabajan con varios proveedores que, a menudo, son competencia entre sí. Por ejemplo, un quiosco puede realizar recargas de Movistar, pero también de Digi o de MásMóvil. Y, además, vender tarjetas prepago para gastar en la plataforma de venta de videojuegos Stream o comercializar pins de métodos de pago online como Paysafecard o Neosurf.

2.1.1. Equipos escasamente protegidos, punto débil del robo de activos digitales

¿Qué implica esto? Los equipos no son propiedad de las multinacionales, sino de los pequeños negocios que los emplean para gestionar las recargas y generar los códigos o pins de activación para vendérselos a los clientes finales. De tal forma que las propietarias y las distribuidoras de activos digitales carecen de control sobre la seguridad de los equipos. ¿Por qué? Estos ordenadores se emplean para trabajar con varias compañías y, además, los costes de protegerlos serían inasumibles para una empresa, puesto que hablamos de miles de ordenadores.

Como consecuencia de ello, los equipos desde los que se generan los códigos de activación están expuestos al uso de toda clase de malware para robar los pins nada más son creados.

A lo que habría que sumar una escasa formación digital de los trabajadores que venden los productos, así como problemas comunicativos a la hora de informar a las compañías proveedoras del robo de activos digitales. Dificultando, así, la gestión de los incidentes de seguridad y la paralización de las actividades fraudulentas.

2.2. Clientes

El otro vector de ataque principal lo constituyen los usuarios finales de los activos digitales. Mediante técnicas de ingeniería social, los delincuentes pueden intentar acceder a las cuentas de los consumidores en determinados e-commerce o plataformas de contenidos digitales. ¿Con qué objetivo? Sustraer el código de una tarjeta regalo enviada por una compañía para premiar la fidelidad del cliente.

También es posible atacar a los clientes finales mediante campañas de ingeniería social engañándolos para que faciliten el pin de activación a los criminales. ¿Cómo? Suplantando la identidad de la compañía que suministra el producto digital.

3. Ingeniería social y malware para obtener los códigos de activación

Una vez que los ciberdelincuentes tienen claros sus targets y los vectores de ataque, proceden a iniciar sus actividades fraudulentas. Para ello, emplean técnicas de ingeniería social como phishing, smishing o vishing para conseguir los códigos de activación directamente o poder desplegar en los equipos de sus víctimas malware que les permita acceder a ellos como info-stealers o spywares. O, incluso, conseguir las credenciales para acceder a los programas y plataformas desde los que se generan los códigos.

La forma de proceder en el robo de activos digitales es similar a otros ataques. Los actores hostiles ponen en marcha campañas de ingeniería social contra sus víctimas, por ejemplo, una serie de pequeños establecimientos que realiza recargas telefónicas y comercializa tarjetas de e-commerce y plataformas. Envían a estos comercios un email haciéndose pasar por una compañía legítima para conseguir que el usuario pinche en un enlace o se descargue un documento. Esta acción permitirá a los delincuentes desplegar un malware que, en última instancia, les ayude a acceder a los pines de activación de los productos digitales.

También se han detectado fraudes de robo de activos digitales en los que los puntos de venta o sus clientes reciben llamadas telefónicas informándoles sobre una incidencia a la hora de generar los códigos de activación, solicitando que se proporcionen para poder comprobar que se han creado con éxito. Las casuísticas son infinitas. En la mayoría de ataques entran en juego tanto un elemento ligado a la ingeniería social y la suplantación de identidades, como el uso de malware para infectar los equipos desde los que se generan los códigos y llevar a cabo el robo de activos digitales antes de que los clientes que los han comprado puedan usarlos.

4. ¿Dónde se comercializan los códigos sustraídos?

Las personas ajenas al sector de la ciberseguridad pueden creer que esta clase de fraude se lleva a cabo en la archiconocida Dark Web, pero los profesionales de ciberinteligencia y Threat Hunting que combaten el robo de activos digitales se encuentran con una realidad bastante más prosaica y menos enigmática.

La fase final del robo de activos digitales se produce en foros, grupos de Telegram e, incluso, en las propias redes sociales de las compañías cuyos activos son comercializados de forma ilegítima. Sí, has leído bien. En algunas ocasiones, las compañías publican un anuncio en redes sociales como Facebook o Instagram y los criminales aprovechan los comentarios para publicitar su negocio ilegal.

Por ejemplo, pensemos en una plataforma de streaming audiovisual como HBO Max o SkyShowTime. La empresa anuncia una serie de televisión que acaba de incorporar a su catálogo y un grupo centrado en el robo de activos digitales anuncia que comercializa códigos para poder disfrutar del show. En este caso, además del robo de activos digitales mediante la sustracción de códigos, también existen otro tipo de fraudes audiovisuales como la sustracción de cuentas o el modelo IPTV.

El panorama de amenazas es complejo y diverso. De ahí que a ella múltiples actores que buscan enriquecerse a través del robo de activos digitales y su posterior venta. Ello implica no solo tener la capacidad de sustraer los códigos, sino también poder desplegar una estrategia de marketing agresiva. Lo que se traduce en que compitan entre ellos en canales en abierto que les permitan llegar a audiencias masivas.

Al fin y al cabo, a la Dark Web accede un número reducido de internautas, mientras que los canales oficiales de compañías multinacionales como Apple o Amazon impactan en millones de consumidores.

4.1. Una vuelta de tuerca: Apariencia de legalidad

Toda esta cuestión se complejiza más si incluimos un elemento extra: algunos grupos delictivos son capaces de crear webs que parecen ser oficiales y desde las que se pueden comprar los códigos para acceder, por ejemplo, a una plataforma de streaming. E, incluso, ofrecen un servicio de soporte a sus clientes.

De tal manera que muchos usuarios adquieren códigos ilegítimos sin identificar que lo son, creyendo, en todo momento, que están actuando de manera legal. Este modus operandi da buena muestra del nivel de sofisticación que ha alcanzado el robo de activos digitales para su posterior comercialización.

5. El gato, el ratón, el robo de activos digitales y su monetización

La tecnología evoluciona a un ritmo nunca antes visto en la Historia. En el terreno de la ciberseguridad, los profesionales diseñan y desarrollan técnicas, tácticas y procedimientos para optimizar las capacidades de prevención, detección, respuesta y recuperación ante ciberataques. Pero, a la vez, los ciberdelincuentes innovan sus TTPs de forma continua con el objetivo de anticiparse a los profesionales de ciberseguridad, ciberinteligencia o Threat Hunting. Es lo que comúnmente denominamos como el juego del gato y el ratón. Una carrera continua en la búsqueda de la excelencia. ¿Qué implica esto? No se puede poner fin al robo de activos digitales de forma definitiva.

Al igual que sucede con otras actuaciones fraudulentas, en el robo de activos digitales se puede observar una escalada de la complejidad de los ataques, como respuesta al perfeccionamiento de las barreras y mecanismos de seguridad. Esto es posible porque los grupos de delincuentes están 100% profesionalizados y dedican una gran cantidad de recursos al diseño e implementación de los ataques. ¿Por qué? El robo de activos digitales es un negocio fraudulento muy lucrativo, ya que se trata de productos fácilmente monetizables.

5.1. Fácil comercialización

Si retomamos lo que abordamos en el apartado anterior, podemos observar que los contenidos digitales se pueden comercializar de manera sencilla y convertirlos en dinero con suma rapidez. El quid de este modelo no radica en el valor de los productos que se sustraen, sino en la cantidad de contenidos digitales que se pueden robar y en la capacidad de comercializarlos de manera eficaz.

En otra clase de ciberataques, por ejemplo, los que se ponen en marcha contra compañías industriales para robarles su propiedad intelectual, el objetivo es extraordinariamente valioso, pero su monetización es más compleja. Mientras que en el robo de activos digitales existen:

• Muchos productos digitales que se pueden sustraer y su número va en aumento como consecuencia de la tarjetización y la digitalización.
• Numerosos puntos de venta con una posición de ciberseguridad precaria y profesionales escasamente formados.
• Una enorme cantidad de potenciales consumidores dispuestos a pagar por códigos de activación ilegítimos.

6. Servicios de ciberinteligencia y Threat Hunting para entender a los delincuentes y anticiparse a ellos

Habida cuenta de lo que hemos tratado a lo largo de este artículo, podemos concluir que la tarea de las compañías para combatir el robo de activos digitales es compleja. No solo por el nivel de conocimientos, preparación y recursos de los delincuentes, sino también porque en esta clase de fraude entran en juego otros negocios que forman parte del canal de ventas y que carecen de mecanismos de ciberseguridad.

¿Qué pueden hacer las empresas que comercializan productos y servicios digitales? ¿Deben resignarse a sufrir el robo de activos digitales, así como el daño económico y reputacional asociado a ello?

Por supuesto que no. Que el robo de activos digitales no se pueda eliminar en su totalidad, no significa que no se pueda contener y reducir a cifras irrelevantes que no afecten a los modelos de negocio.

En esta tarea juegan un papel crucial los servicios de ciberinteligencia y Threat Hunting.

6.1. Ciberinteligencia

Los servicios de ciberinteligencia expecializados en la investigación y prevención del fraude son de vital importancia.

Como hemos indicado con anterioridad, el robo de activos digitales es una práctica maliciosa cada vez más sofisticada. De ahí que resulte crítico contar con equipos de análisis de fraude especializados en el sector para luchar contra la piratería online, proteger la marca y los productos digitales y diseñar soluciones personalizadas para poner coto a las actividades fraudulentas.

Es primordial entender que el fraude es un comportamiento que siempre va a existir, entender cómo funciona, en qué tecnología se apoya, tener la capacidad de desplegar entornos señuelo para analizarlo de cerca y advertir las modificaciones que este va desarrollando en respuesta a cada medida de prevención, solo se puede conseguir con un entendimiento continuo de su funcionamiento.

6.2. Threat Hunting

También son de gran valor añadido los servicios de Threat Hunting proactivo. Puesto que detectar de manera proactiva las amenazas ligadas al robo de activos digitales y disponer de mecanismos de respuesta ante incidentes eficaces es fundamental a la hora de combatir estos fraudes.

Los profesionales de Threat Hunting ponen el foco en las TTPs de los grupos delictivos para detectar actividad maliciosa en el menor tiempo posible, comprender sus metodologías para adaptar las capacidades de detección y respuesta e ir un paso por delante en el juego del gato y el ratón.

En definitiva, el robo de activos digitales es una tipología de ciberataques fácilmente monetizables que no solo afecta a las compañías que comercializan esta clase de productos, sino también a las empresas distribuidoras, los puntos de venta y, sobre todo, a los clientes finales.

Para hacer frente a un panorama de amenazas en constante evolución y que sofistica y perfecciona sus técnicas y tácticas, es fundamental contar con el conocimiento y la experiencia de profesionales especializados en ciberinteligencia y Threat Hunting. Gracias a ellos se puede combatir el robo de activos digitales con éxito y evitar que este genere pérdidas millonarias que afecten negativamente a empresas y consumidores.