Hackers de tarjetas de crédito vuelven por Navidad, dice un exinvestigador del FBI

El tristemente célebre grupo de delincuentes cibernéticos FIN7 parece haber vuelto a trabajar aproximadamente un año después de que el FBI detuviera a tres de sus integrantes, actuación que supuso un gran golpe a las actividades del grupo.

Según el FBI, entre 2015 y las detenciones en agosto de 2018, el FIN7 fue responsable de una campaña de malware muy avanzada que golpeó a 100 empresas de la industria hotelera. Entre las empresas cuya información se divulgó se encontraban Chipotle Mexican Grill (CMG), Chili’s (EAT), Arby’s, Red Robin (RRGB), Sonic y Jason’s Deli.

FIN7 había sido vinculado previamente a robos de datos de Trump Hotels, Whole Foods (AMZN), Saks Fifth Ave y Lord & Taylor (HBAYF).

El grupo roba los datos de las tarjetas de crédito de los terminales punto de venta y de otros medios. Los datos luego se venden en la red oscura, el mercado negro de Internet. Luego se usan las tarjetas, lo cual cuesta millones de dólares a las instituciones financieras.

Esta semana, el grupo de expertos en seguridad cibernética FireEye descubrió una nueva pieza de malware avanzado que fue vinculado con FIN7, lo cual indica que el grupo se recuperó y volvió a la acción; algo que plantea un serio problema para grupos del sector minorista y hostelería, instituciones financieras y consumidores ahora que se acerca la temporada de Navidad.

“El grupo se ha recuperado definitivamente”, dijo Randy Pargman, un excientífico de primera línea del FBI que dejó la agencia hace algunas semanas tras 15 años de carrera y que sigue trabajando en el ámbito de la seguridad cibernética en Binary Defense. Pargman investigó al grupo en el cuerpo especial de delitos cibernéticos del FBI en Seattle. “Parecen estar reclutando a más gente para el grupo y ciertamente han estado llevando a cabo sus operaciones y usando instrumentos como un malware muy sofisticado”, dijo.

La mayoría de hackers usan malware genérico que compran en la red oscura. Y la mayoría de empresas importantes tienen software antivirus que puede detectar y lidiar con estos ataques. Pero FIN7 desarrolla malware propio para su uso exclusivo, lo que deja a los antivirus indefensos ante los ataques.

Hackeos a ‘escala empresarial’

FIN7 no es un simple grupo informal de hackers que se reúne en el sótano de la casa de los padres de uno de sus miembros. El grupo es tan avanzado como pueden ser las empresas de Silicon Valley, dijo Pargman a Yahoo Finance.

“Cuando el FIN7 pone su mira en empresas, lo aborda a una escala empresarial”, dijo.

El FBI no tiene claro el tamaño exacto de FIN7, pero dice que deben ser algunas “decenas” de personas y que hay varias divisiones que desempeñan funciones concretas, parecido a como ocurre en una empresa de verdad. Hay una sección dedicada a la investigación y el desarrollo encargada de averiguar las mejores formas de suplantar identidades y hackear, una sección dedicada a la investigación de mercados que identifica los objetivos con cuyas identidades los hackers puedan ganar dinero, expertos en estrategia que se centran en afinar el mejor enfoque y un grupo que trabaja en apuntar y manipular a individuos usando ingeniería social.

Gran parte del trabajo se realiza mediante la suplantación de identidad, mecanismo que implica llamar a un empleado de una empresa y hacerse pasar por un cliente. El grupo está asentado en Europa y está integrado por muchos europeos del este, pero el tema del acento estadounidense no es un problema. Los estafadores a este nivel pueden contratar fácilmente otro tipo de servicio web: personas que hablen inglés perfectamente que seguirán un guión diseñado para manipular a la persona al otro lado del teléfono.

Cuando una persona ya ha sido manipulada para instalar algo –que resulta ser malware– en su dispositivo sin saberlo, el malware puede propagarse rápidamente, lo cual otorga el control a los hackers de más y más computadoras durante el proceso. Entonces, ese departamento da acceso a otro grupo del FIN7, el cual busca y extrae los registros de la tarjeta de crédito para que FIN7 pueda venderlos.

De acuerdo al FBI, el grupo FIN7 ha robado aproximadamente 15 millones de registros en total, lo cual ha conllevado unos 100 millones de dólares en costos fraudulentos derivados del robo de información de tarjetas de crédito. El monto que se lleva el FIN7 es considerablemente menor, algo así como 10 dólares por cada tarjeta vendida; o menos, si se hace con un mayorista de la red oscura, lo cual suele ser así, dijo Pargman.

Un factor importante en los ingresos es qué tan nueva es la tarjeta y si tiene un código postal asociado.

“Nos dimos cuenta de que estaban haciendo grandes esfuerzos para robar el código postal junto a la tarjeta de crédito; así como los lugares en los que era usada la tarjeta”, dijo Pargman. Esta información es especialmente útil para los estafadores, dado que permite usar la tarjeta sin ser detectado. Si se usa en su propio código postal, es mucho más fácil evadir las medidas de detección de fraudes de los bancos.

Qué significa eso para los minoristas, los grupos de hostelería y los consumidores

Ahora que el FIN7 parece haber vuelto a la actividad, los minoristas que usan terminales punto de venta deberían estar alerta.

“Creo que es realmente importante para las empresas del sector minorista que lo entiendan y tengan un perfil del tipo de atacantes contra los que se enfrentan”, dijo Pargman. “Qué tipo de objetivos tienen y cómo operan. El mejor marco de referencia realmente es pensarlos como una empresa competitiva”.

La clave es entender que los hackers tienen capital para invertir y que los equipos de I+D y las protecciones básicas de marcar la casilla pueden no ser suficientes. Una defensa a gran escala implica formar a los empleados para que detecten los emails y llamadas para la suplantación de identidad. Las empresas que no se lo tomen en serio pueden encontrarse siendo objetivos de un vergonzoso y costoso robo de datos.

Los consumidores no pueden hacer mucho para evitar que las empresas que frecuentan dejen de ser hackeadas, pero Pargman recomienda tener más de una tarjeta para hacer pagos, leer tus estados de cuenta y familiarizarse con los requisitos para informarlo si sospechas un fraude. Las leyes federales estadounidenses dicen que los consumidores no son responsables de las transacciones hechas con sus números de tarjetas robados siempre que se haya informado pasados 60 días (si se ha robado la tarjeta física, es mucho menos tiempo).

Sin embargo, Pargman dice que es bueno comprobar tu estado de cuenta con frecuencia y tan pronto como sea posible: “Si un consumidor atento puede llamar e informar un número robado, esa podría ser la clave que la institución financiera necesita para vincular otros fraudes realizados con otras tarjetas al mismo tiempo”.

Ethan Wolff-Mann