¡Desenmascarando a los falsos técnicos de Microsoft!

Seguro que muchos de vosotros ya habéis oído sobre la nueva estafa telefónica que está circulando en Europa. Los estafadores han estado llamando a muchas personas en países como Alemania, Suecia, el Reino Unido y tal vez más. El engaño es simple; los atacantes se hacen pasar por funcionarios de un departamento de Microsoft, y dicen que recibieron información que indica que tu equipo está infectado con malware. Después se ofrecen (gratis) a verificar si esta información es cierta. Si aceptas, te piden que hagas un par de cosas y escribas algunos comandos. Esto engañará a los usuarios menos experimentados para que piensen que su ordenador de verdad está infectado.

Sólo quiero hacer notar que no existe tal departamento en Microsoft, y que la empresa jamás llamaría a sus clientes para hacerles una oferta como esta. Así que, si alguna vez recibes una llamada “de Microsoft” diciendo que tu ordenador podría estar dañado o infectado, ¡cuelga el teléfono!

A mí me llamaron muchas veces, hasta que me cansé y les seguí el juego. Pero mantuve encendidos mis ordenadores virtuales y grababa todo lo que estaban haciendo. La meta era descubrir quiénes eran y de qué trataba la estafa exactamente. Por suerte pude obtener información como su dirección IP interna, las cuentas de PayPal que usan para transferir dinero y los números de teléfono desde los que realizan las llamadas.

Imaginemos que has recibido la llamada telefónica y que no descartasla idea de que tu ordenador está infectado. El siguiente paso que toman los cibercriminales es convencerte de que tu ordenador, efectivamente, está infectado. Tratan de hacerlo siguiendo varios pasos. A continuación puedes ver una descripción de cada uno de los pasos, incluyendo capturas de pantalla:

  1. Los criminales te explican que tu ordenador está trabajando con recursos MUY bajos porque la infección está consumiendo la mayoría. Esto es una gran mentira. Lo que la imagen muestra es que tu ordenador está usando muy pocos recursos.
  2. Después abren Event Manager para identificar errores, alertas y otra información que se pueda usar para hacerte pensar que tu equipo está infectado. Este visor de sucesos muestra algunos mensajes de error, pero no tienen una relación directa con una infección. Casi todos los ordenadores tienen errores en los archivos de registros, en especial si el equipo no se ha reinstalado en mucho tiempo y está ejecutando muchos programas.
  3. Ahora quieren reforzar la idea de que tu ordenador está infectado y esperan que confirmes que tu ordenador es el que se menciona en los informes de su sistema. Para ello, tratarán de asociar tu equipo con un número único, un número que llaman “Identificación de Licencia del Consumidor”, conocido como CLSID por sus siglas en inglés. Pero el CLSID en realidad es el identificador de componentes Class Identifier. En la imagen de abajo puedes ver qué programa o CLSID está asociado con cada extensión de archivos. Después te pedirán que ejecutes el comando “assoc” en una solicitud DOS y te preguntarán si tu Identificación de Licencia de Consumidor es 888DCA60-FC0A-11CF-8F0F-00C04FD7D062. Este es en realidad el CLSID de la extensión de archivos ‘ZFSendToTarget’.
  4. Con esto no sólo tratan de convencerte de que tu ordenador está infectado, también de que el ordenador que están viendo en su sistema es de verdad tu ordenador. Ahora te piden que ejecutes otro comando DOS llamado “verify”. Dicen que si el resultado del comando verify es “off”, significa que la licencia de tu ordenador no está verificada. Este comando no tiene absolutamente nada que ver con tu licencia, sólo te permite activar/desactivar la verificación de que tus datos se han escrito en el disco de forma correcta.

    En este momento, la mujer a con la que estaba hablando comenzó a gritar “¡OH, DIOS MÍO!” en mi oído, estaba muy alterada porque mi licencia no estaba verificada; según ella, esto significaba que no se podían instalar parches de seguridad. Sugirió que el siguiente paso era permitir a un técnico que ingrese al ordenador y arregle todos estos problemas. No dudé en dar mi consentimiento al técnico para que ingrese a mi sistema porque estaba ejecutando todo desde un ordenador virtual vacío 🙂

  5. Los delincuentes utilizan un programa de administración a distancia llamado AMMYY. No conocía este programa antes de este incidente. Parece bastante directo y legítimo. El programa permitió que el técnico se conectara a mi ordenador y trabajara en él desde una ID única. Yo también podía ver todo lo que hacía. Un operador con la identificación “10878203” se conectó a mi equipo, y abajo están los permisos que solicitó.
  6. El administrador se conectó a mi equipo y lo comenzó a utilizar. Abrió el Administrador de Certificaciones y seleccionó un certificado viejo. La mujer todavía estaba en el teléfono, y me explicó que el operador había descubierto que el certificado inválido había impedido que mi equipo recibiera actualizaciones desde 2011.
  7. Ahora es cuando las cosas se comenzaron a poner muy turbias: me dijo que la única solución era activar mi sistema e instalar programas de seguridad que me iban a proteger contra virus, malware, troyanos, hackers y otras amenazas. Me preguntó si quería hacerlo y me dijo que, si lo hacía, el operador arreglaría mi ordenador e instalaría este programa. Dijo que sólo me costaría unos 250 $.
  8. Después, el operador instaló un programa llamado ‘G2AX_customer_downloader_win32_x86.exe’ desde el sitio web www.fastsupport.com. Cuando terminó de hacerlo, apareció una ventana de chat. Una persona llamada “David Stone” me informó que mi ordenador ya no estaba en peligro.

  9. Me dijo que, como había aceptado que actualizaran mi equipo, debía llenar un formulario y pagar 250 $. Después se abrió un formulario de PayPal. Pude recoger varias cuentas de PayPal diferentes, incluyendo: ukfastcare@gmail.com y ddkcare@gmail.com
  10. Sabía que esta era sólo una estafa y quería tratar de conseguir más información sobre esta gente. Así que traté de escribir una información falsa de Visa y MasterCard varias veces y dije que no podía comprar cosas por Internet con mi tarjeta. Los frustré. Después les pedí que visitaran un sitio web, diciéndoles que era el sitio web de un “amigo” que había publicado allí su información de tarjeta de crédito. El sitio era sólo un archivo de texto que decía lo siguiente: “Hola, por favor conéctese desde una IP diferente porque está detrás de un proxy”.
  11. Lo intentamos varias veces desde mi ordenador, usando diferentes navegadores, pero después les pedí que lo revisaran desde su sitio y, para mi sorpresa, lo hicieron. Estaba viendo mi archivo de registros y en cuanto se conectaron conseguí su dirección IP 🙂

    101.xxx.xxx.197 – – [01/Aug/2012:13:44:31 +0200] “GET //.txt HTTP/1.1″ 200 413 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1”

    También me desconecté varias veces del teléfono mientras hablábamos porque quería ver desde qué número me llamaban. Pude conseguir los siguientes números: 00441865589771, 008028, 002127773456 y un número oculto.

Después de recoger la información, me puse en contacto con los grupos pertinentes, como el equipo de seguridad de PayPal y varias agencias gubernamentales, con la esperanza de que detengan a los criminales. Están robando mucho dinero a gente inocente. Sé que ya se ha alertado a la gente sobre estas estafas, pero mi conclusión es que los criminales siguen llamando porque siguen ganando dinero con estos ataques.

El programa que utilizaron no tenía nada de malicioso, lo que significa que ningún programa de seguridad puede detectar este tipo de estafas. Esta es una de las razones principales por las que escribí este artículo y otros parecidos: necesitamos mantener a la gente informada hasta que los cibercriminales se vean obligados a detenerse.

Publicaciones relacionadas

Hay 12 comentarios
  1. marc

    Me acaban de llamar justo ahora… No he llegado hasta el punto de pagar nada pero he empezado a sospechar cuando me han me borrado cosas del sistema, diciendome que estaban guardándolo en los back up de microsoft, allí les he colgado de golpe y he desenchufazo el ordenador, m han vuelto a llamar y me han ldicho que por qué había colgado y les he contestado diciendo que ha habído un apagón y les he vuelto a colgar…. Hasta el momento no m han vuelto a llamar…

    AVISO QUE HE CEDIDO TANTO PORQUE NO TENGO NI IDEA DE INFORMÁTICA Y ME LO HE LLEGADO A CREER…. HASTA QUE HA HABÍDO COSAS QUE ME HAN HECHO SOSPECHAR….

  2. M.Carmen López Castro

    hace menos de una hora que me llamaron, y 20 minutos estuve al teléfono mareándolos jaja. Me pidieron que descargara el software Supremo Control Remote y claro, nada más ver la web de donde se descarga el programa me dí cuenta que no es oficial de Microsoft. Y les dije claramente que ellos no eran de Micosoft. Entonces me indicó para abrir “Ejecutar” y eso. Yo les reclamaba un técnico español y ellos me decían que lo harían a través del control remoto. Les dije que no iba a descarar el programa. Y dijeron¿Entonces como piensas hablar con un técnico español? Les dije que llamaría a mi técnico xD porque ellos no eran de Microsoft, claro. Bueno, pues que me colgaron cuando les dije: No, que tu no eres de Microsoft, yo sé lo que es. y dicen ¿qué sabes? y les dije: sé lo que tú haces. xD mi pregunta es, cómo puedo denunciarlo? Me parece fatal que estén engañando así a la gente.. Ojalá los cojan pronto.

  3. Francesc Morera Amat

    Ayer me llamaron sobre las 10 de la mañana, era un viernes y casualmente estaba en casa porque estoy de vacaciones. Al principio me creí el timo y me dejé engañar. Después de tenerme como una hora al teléfono acabé dándoles el número de dos tarjetas de crédito que por suerte las dos fueron bloqueadas por el banco viendo que aquello no era trigo limpio.

    Al final como no podían robarme el dinero, dijeron que el técnico estaba muy ocupado y que me llamarian al dia siguiente sobre la misma hora.Estoy esperando su llamada y ya pasan 10 minutos de la hora en que quedamos para que me llamaran. Por suerte me he dado cuenta del timo, he ido a las páginas oficiales donde se venden sistemas operativos de Microsoft Windows y los precios no tienen nada que ver con lo que me pedían ellos. Concretamente unos 300 € por una suscripción a Microsoft por 5 años.
    Como veis coincide casi a la perfección que hace David Jacoby en esta página. Gracias a foros como este se puede desenmascarar a timos que corren por la red y que a veces nos cuelan a los incautos y confiados consumidores.

    Enhorabuena por vuestra labor, y por dar a conocer timos como este, que rozan la perfección. A veces la ficción supera la realidad.

  4. Jon

    Vaya fenómenos. A mi me han llamado diciendo que se me iba a bloquear el ordenador en dos horas porque estaba infectado y estaban recibiendo alertas. Les he dicho que no me importaba lo más mínimo que se bloquease y se ha enfadado diciendo que lo bloquearía ya. Le he dicho que adelante, que lo hiciese online mientras yo lo veía y por supuesto, ha colgado.
    No creo que vuelva a llamar. Con lo difícil que es contactar con Mictosoft por un problema real como para que te llamen ellos en plan proactivos…

  5. Nacho

    Me han llamdo y he seguido instruciones, hasta que les he pedido una prueba de que son de microsoft y hay se han puesto a amenazarme con bloquear mi ordenador, y me lo han bloqueado,. he tenido que restaurar el sitema, y desistalar el programa que me intalaron, m an 10 euros lamban desde 958310000, al final les he desconectado y he pasado, me pedian todos mis datos y menos mal que he pasado de darselos, les pedi que lo hicieran por correo electronico y se han mosqueado diciendo que ese no es el protocolo… Que estafadores ….

  6. Josean

    Me acaban de llamar desde el teléfono 958310000, con acento inglés diciéndome que eran de Microsoft y que mi ordenador tenía un problema, les he dicho que yo no tenía ningún problema y que era informático y he colgado.

  7. Carlos

    Veo que lleva tiempo esta estafa, me acaban de llamar ahora mismo en el fijo del trabajo, al decirme que mi ordenador les habia alertado les dije que no tenian NPI y que podian irse a dar un paseo..
    Visto lo que comentais la cosa va de estafilla sencilla pero dando acceso de vuestros ordenadores a terceros des de internet podrian incluso colaros algun tipo de ransomware, como cryptotlocker o incluso peor..
    Desgraciadamente como decís hay mucha gente por ahí sin nociones de informatica suficientes ni conocimiento de la propia mala intención del ser humano como para entender rapidamente que es una estafa y que por que les digan que son de Microsoft, el ministerio de hacienda, la policia nacional o el propio papa de Roma no hay que hacerles caso y ante la duda buscar siempre la verdad por uno mismo llamando a los contactos pertinentes, en este caso decid que ya se encargara vuestro experto informatico y colgais.

  8. Jose

    Vuelven a la carga. Acaban de llamar. Ahora la aplicacion a ejecutar es anydesk.

  9. José María Sánchez

    Aunque el hilo lleva 2 años parado, me acaba de llamar el “técnico de Microsoft”, parecía chino, me pidió hablar en inglés, le dije que no y me habló en un pésimo español. En este caso quería tomar el control con el programa anydesk. Solo para decir que siguen empeñados.

  10. Yomisma

    Hoy me han llamado a mi teléfono fijo, diciendo que eran de “windows” (la primera en la frente) y que teníamos el ordenador hackeado y nos estaban robando datos y usando nuestra ip para asuntos turbios (en inglés). Les he dicho que mi marido trabaja en ciberseguridad y que tenemos mil firewalls; aun así, seguía insistiendo en que debía seguir sus instrucciones para liberar el pc de los hackers. Ahí ya le he dicho que sabía que no me podía estar llamando desde Washington porque allí es de noche y aquí de día () y que además no tenía acento de allí ()… seguía insistiendo mientras yo les decía que mi marido tenía instalados rastreadores de llamada. Ahí ya han colgado… a los diez minutos han vuelto a llamar esta vez ya preguntando por mi marido directamente. Les he dicho que ambos trabajamos en ciberseguridad para la policia () y que estaba rastreando la llamada y sabía de donde me llamaba… ni así, el tío seguía insistiendo. Le he dicho que pusiera el número en la lista Robinson () y me ha contestado que hay muchos hackers más por el mundo y que daba igual!!!!! Ya le he dicho que no iba a seguir hablando con el y he colgado. Espero que no vuelvan a llamar.

  11. Pk

    Nos han llamado a diferentes telefonos de la empresa, la gente les ha colgado pero yo les he seguido el rollo y el mismo protocolo que se ha explicado aqui con lo de mirar el visor de sucesos y luego hacerme descargar el Supreme.. ahí les he cortado por que la cosa ya duraba demasiado, pero me han estado llamando media mañana de nuevo y he pasado de cogerles.. los telefonos que he podido apuntar son: 447093539546 y 447971252104

  12. Carlos

    Hoy hemos recibido una llamada de este tipo, un varón que hablaba fatal español,. Decía ser un técnico de Microsoft que detectaba problemas en nuestro equipo. Lo cierto es que notamos algunos problemas desde hace unos días y por eso no hemos colgado inmediatamente. Finalmente le hemos dicho que lo haríamos más tarde porque estábamos ocupados, era cierto, quería que encendiéramos el equipo que daba problemas. Ha vuelto a llamar con muy mal genio porque después de una hora no lo habíamos encendido, diciendo que pensaba que el nuestro S. O. no tenía licencia o estaba caducada y que si volvíamos a colgar llamaría a la policía. Nos preocupa que pueda ser alguien que esté próximo a nuestra casa y se introduzca a través de nuestra wifi.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *