La Policía Nacional ha detenido a tres personas en Sevilla por supuestamente clonar páginas web de una conocida multinacional fabricante de dispositivos electrónicos con la finalidad de obtener, mediante ‘phishing’, las credenciales necesarias para desbloquear ‘smartphones’ y ‘tablets’ robados previamente.Según ha informado este sábado la Policía, los arrestados regentaban un establecimiento dedicado supuestamente a la venta y reparación de móviles y ordenadores, donde presuntamente receptaban los dispositivos sustraídos o extraviados por sus propietarios, y, hasta el momento, se han localizado perjudicados en Málaga, Sevilla, Jerez de la Frontera, Córdoba, Madrid, y Cádiz.
Las investigaciones se iniciaron a raíz de una denuncia presentada en Málaga por un ciudadano al que le habían sustraído su teléfono móvil en la Feria de Sevilla en 2015, y que había recibido posteriormente un mensaje fraudulento solicitándole sus credenciales para desbloquear el terminal.
Tras cerca de un año de pesquisas se localizó a tres personas en Sevilla –una pareja nicaragüense y un ciudadano español–, que, “con multitud de datos falsos”, presuntamente habían creado la infraestructura de los mensajes telefónicos y la página web fraudulenta idéntica a la de la multinacional suplantada.Los investigados regentaban un comercio dedicado supuestamente a la venta y reparación de teléfonos móviles y ordenadores, en el que se recibían “multitud de terminales robados” para, a través de este tipo de ingeniería social, desbloquearlos, restaurarlos a valores de fábrica y venderlos.Una vez encontrados “indicios suficientes” de la implicación en los hechos de los tres sujetos investigados, se llevaron a cabo tres entradas y registros simultáneos en sus domicilios y en el comercio regentado por éstos, establecimiento donde fueron intervenidos 100 teléfonos móviles de los que se está investigando su procedencia, así como los ordenadores desde los que controlaban y administraban las páginas webs falsas, y en los que se ha podido encontrar centenares de usuarios a los que les presuntamente robaron sus credenciales. Igualmente, se han intervenido 2.800 euros y material informático para liberar y desbloquear todo tipo de teléfonos móviles.‘Ingeniería’ para burlar los datosSegún añade la Policía, “para burlar los altos niveles de seguridad y protección de los sistemas operativos del fabricante de los dispositivos electrónicos que receptaban y que impiden el acceso no consentido al contenido de éstos, salvo que se cuente con las claves facilitadas por el titular, los arrestados habían creado un sistema altamente efectivo”.
De esta manera, una vez habían recibido teléfonos y tabletas robados, enviaban un sms o un whatsapp a los propietarios que habían activado previamente el servicio de búsqueda del teléfono en el que figuraba como remitente el fabricante.
En el mensaje le indicaban que el servicio técnico había recuperado su terminal, y que, para restaurarlo, debía acceder a través de un enlace que le facilitaban a una página web, supuestamente de la compañía. La web, en realidad, era una clonación del sistema de almacenamiento en la nube de la multinacional de dispositivos informáticos para acceder a los servicios personales de cada usuario, donde solicitaban, entre otros datos, la clave y la contraseña.Una vez que el propietario del teléfono perdido o robado entraba en la página web falsa e introducía sus credenciales –usuario más contraseña–, los arrestados lo recibían de forma automática. Con esta información tenían acceso completo al terminal –álbum de fotos, correos electrónicos, WhatsApp y redes sociales–, aunque su verdadero objetivo supuestamente era “lucrarse con la venta de estos teléfonos y tabletas sustraídas”. Para ello, restauraban los valores de fábrica del terminal y cambiaban el IMEI de serie “para que no pudieran ser rastreados y recuperados, y de este modo poder venderlos con más tranquilidad”.
La investigación ha sido desarrollada por agentes del Grupo de Delitos Tecnológicos de la Brigada de Policía Judicial de Málaga con la colaboración de los grupos de delitos tecnológicos de Sevilla y Jerez de la Frontera (Cádiz).Consejos para evitar el phishing
Al hilo de este caso, la Policía ha aprovechado para recordar que, en el caso de haber perdido un teléfono móvil, hay que tener en cuenta que ningún fabricante se pondrá en contacto con el usuario mediante sms o Whatsapp para comunicarle que ha sido encontrado.Además, aconseja “tener especial cuidado si nos redirigen hacia un enlace de alguna página que no comienza con https o carece de certificado digital, es decir, del candado que suele aparecer en la parte inferior de la barra de estado o en la parte superior de la barra de direcciones, y que si pinchamos sobre él nos muestra una ventana con la descripción del certificado”.También se debe tener en cuenta que “en las páginas a las que nos redirigen, los botones suelen ser imágenes en lugar de botones”. Según la Policía, “la mejor opción es teclear directamente la dirección web en tu navegador o utiliza marcadores/favoritos si quieres ir más rápido”.
