¡Desenmascarando a los falsos técnicos de Microsoft!

Seguro que muchos de vosotros ya habéis oído sobre la nueva estafa telefónica que está circulando en Europa. Los estafadores han estado llamando a muchas personas en países como Alemania, Suecia, el Reino Unido y tal vez más. El engaño es simple; los atacantes se hacen pasar por funcionarios de un departamento de Microsoft, y dicen que recibieron información que indica que tu equipo está infectado con malware. Después se ofrecen (gratis) a verificar si esta información es cierta. Si aceptas, te piden que hagas un par de cosas y escribas algunos comandos. Esto engañará a los usuarios menos experimentados para que piensen que su ordenador de verdad está infectado.

Sólo quiero hacer notar que no existe tal departamento en Microsoft, y que la empresa jamás llamaría a sus clientes para hacerles una oferta como esta. Así que, si alguna vez recibes una llamada “de Microsoft” diciendo que tu ordenador podría estar dañado o infectado, ¡cuelga el teléfono!

A mí me llamaron muchas veces, hasta que me cansé y les seguí el juego. Pero mantuve encendidos mis ordenadores virtuales y grababa todo lo que estaban haciendo. La meta era descubrir quiénes eran y de qué trataba la estafa exactamente. Por suerte pude obtener información como su dirección IP interna, las cuentas de PayPal que usan para transferir dinero y los números de teléfono desde los que realizan las llamadas.

Imaginemos que has recibido la llamada telefónica y que no descartasla idea de que tu ordenador está infectado. El siguiente paso que toman los cibercriminales es convencerte de que tu ordenador, efectivamente, está infectado. Tratan de hacerlo siguiendo varios pasos. A continuación puedes ver una descripción de cada uno de los pasos, incluyendo capturas de pantalla:

  1. Los criminales te explican que tu ordenador está trabajando con recursos MUY bajos porque la infección está consumiendo la mayoría. Esto es una gran mentira. Lo que la imagen muestra es que tu ordenador está usando muy pocos recursos.
  2. Después abren Event Manager para identificar errores, alertas y otra información que se pueda usar para hacerte pensar que tu equipo está infectado. Este visor de sucesos muestra algunos mensajes de error, pero no tienen una relación directa con una infección. Casi todos los ordenadores tienen errores en los archivos de registros, en especial si el equipo no se ha reinstalado en mucho tiempo y está ejecutando muchos programas.
  3. Ahora quieren reforzar la idea de que tu ordenador está infectado y esperan que confirmes que tu ordenador es el que se menciona en los informes de su sistema. Para ello, tratarán de asociar tu equipo con un número único, un número que llaman “Identificación de Licencia del Consumidor”, conocido como CLSID por sus siglas en inglés. Pero el CLSID en realidad es el identificador de componentes Class Identifier. En la imagen de abajo puedes ver qué programa o CLSID está asociado con cada extensión de archivos. Después te pedirán que ejecutes el comando “assoc” en una solicitud DOS y te preguntarán si tu Identificación de Licencia de Consumidor es 888DCA60-FC0A-11CF-8F0F-00C04FD7D062. Este es en realidad el CLSID de la extensión de archivos ‘ZFSendToTarget’.
  4. Con esto no sólo tratan de convencerte de que tu ordenador está infectado, también de que el ordenador que están viendo en su sistema es de verdad tu ordenador. Ahora te piden que ejecutes otro comando DOS llamado “verify”. Dicen que si el resultado del comando verify es “off”, significa que la licencia de tu ordenador no está verificada. Este comando no tiene absolutamente nada que ver con tu licencia, sólo te permite activar/desactivar la verificación de que tus datos se han escrito en el disco de forma correcta.

    En este momento, la mujer a con la que estaba hablando comenzó a gritar “¡OH, DIOS MÍO!” en mi oído, estaba muy alterada porque mi licencia no estaba verificada; según ella, esto significaba que no se podían instalar parches de seguridad. Sugirió que el siguiente paso era permitir a un técnico que ingrese al ordenador y arregle todos estos problemas. No dudé en dar mi consentimiento al técnico para que ingrese a mi sistema porque estaba ejecutando todo desde un ordenador virtual vacío 🙂

  5. Los delincuentes utilizan un programa de administración a distancia llamado AMMYY. No conocía este programa antes de este incidente. Parece bastante directo y legítimo. El programa permitió que el técnico se conectara a mi ordenador y trabajara en él desde una ID única. Yo también podía ver todo lo que hacía. Un operador con la identificación “10878203” se conectó a mi equipo, y abajo están los permisos que solicitó.
  6. El administrador se conectó a mi equipo y lo comenzó a utilizar. Abrió el Administrador de Certificaciones y seleccionó un certificado viejo. La mujer todavía estaba en el teléfono, y me explicó que el operador había descubierto que el certificado inválido había impedido que mi equipo recibiera actualizaciones desde 2011.
  7. Ahora es cuando las cosas se comenzaron a poner muy turbias: me dijo que la única solución era activar mi sistema e instalar programas de seguridad que me iban a proteger contra virus, malware, troyanos, hackers y otras amenazas. Me preguntó si quería hacerlo y me dijo que, si lo hacía, el operador arreglaría mi ordenador e instalaría este programa. Dijo que sólo me costaría unos 250 $.
  8. Después, el operador instaló un programa llamado ‘G2AX_customer_downloader_win32_x86.exe’ desde el sitio web www.fastsupport.com. Cuando terminó de hacerlo, apareció una ventana de chat. Una persona llamada “David Stone” me informó que mi ordenador ya no estaba en peligro.

  9. Me dijo que, como había aceptado que actualizaran mi equipo, debía llenar un formulario y pagar 250 $. Después se abrió un formulario de PayPal. Pude recoger varias cuentas de PayPal diferentes, incluyendo: ukfastcare@gmail.com y ddkcare@gmail.com
  10. Sabía que esta era sólo una estafa y quería tratar de conseguir más información sobre esta gente. Así que traté de escribir una información falsa de Visa y MasterCard varias veces y dije que no podía comprar cosas por Internet con mi tarjeta. Los frustré. Después les pedí que visitaran un sitio web, diciéndoles que era el sitio web de un “amigo” que había publicado allí su información de tarjeta de crédito. El sitio era sólo un archivo de texto que decía lo siguiente: “Hola, por favor conéctese desde una IP diferente porque está detrás de un proxy”.
  11. Lo intentamos varias veces desde mi ordenador, usando diferentes navegadores, pero después les pedí que lo revisaran desde su sitio y, para mi sorpresa, lo hicieron. Estaba viendo mi archivo de registros y en cuanto se conectaron conseguí su dirección IP 🙂

    101.xxx.xxx.197 – – [01/Aug/2012:13:44:31 +0200] “GET //.txt HTTP/1.1″ 200 413 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1”

    También me desconecté varias veces del teléfono mientras hablábamos porque quería ver desde qué número me llamaban. Pude conseguir los siguientes números: 00441865589771, 008028, 002127773456 y un número oculto.

Después de recoger la información, me puse en contacto con los grupos pertinentes, como el equipo de seguridad de PayPal y varias agencias gubernamentales, con la esperanza de que detengan a los criminales. Están robando mucho dinero a gente inocente. Sé que ya se ha alertado a la gente sobre estas estafas, pero mi conclusión es que los criminales siguen llamando porque siguen ganando dinero con estos ataques.

El programa que utilizaron no tenía nada de malicioso, lo que significa que ningún programa de seguridad puede detectar este tipo de estafas. Esta es una de las razones principales por las que escribí este artículo y otros parecidos: necesitamos mantener a la gente informada hasta que los cibercriminales se vean obligados a detenerse.

Publicaciones relacionadas

Hay 6 comentarios
  1. marc

    Me acaban de llamar justo ahora… No he llegado hasta el punto de pagar nada pero he empezado a sospechar cuando me han me borrado cosas del sistema, diciendome que estaban guardándolo en los back up de microsoft, allí les he colgado de golpe y he desenchufazo el ordenador, m han vuelto a llamar y me han ldicho que por qué había colgado y les he contestado diciendo que ha habído un apagón y les he vuelto a colgar…. Hasta el momento no m han vuelto a llamar…

    AVISO QUE HE CEDIDO TANTO PORQUE NO TENGO NI IDEA DE INFORMÁTICA Y ME LO HE LLEGADO A CREER…. HASTA QUE HA HABÍDO COSAS QUE ME HAN HECHO SOSPECHAR….

  2. M.Carmen López Castro

    hace menos de una hora que me llamaron, y 20 minutos estuve al teléfono mareándolos jaja. Me pidieron que descargara el software Supremo Control Remote y claro, nada más ver la web de donde se descarga el programa me dí cuenta que no es oficial de Microsoft. Y les dije claramente que ellos no eran de Micosoft. Entonces me indicó para abrir “Ejecutar” y eso. Yo les reclamaba un técnico español y ellos me decían que lo harían a través del control remoto. Les dije que no iba a descarar el programa. Y dijeron¿Entonces como piensas hablar con un técnico español? Les dije que llamaría a mi técnico xD porque ellos no eran de Microsoft, claro. Bueno, pues que me colgaron cuando les dije: No, que tu no eres de Microsoft, yo sé lo que es. y dicen ¿qué sabes? y les dije: sé lo que tú haces. xD mi pregunta es, cómo puedo denunciarlo? Me parece fatal que estén engañando así a la gente.. Ojalá los cojan pronto.

  3. Francesc Morera Amat

    Ayer me llamaron sobre las 10 de la mañana, era un viernes y casualmente estaba en casa porque estoy de vacaciones. Al principio me creí el timo y me dejé engañar. Después de tenerme como una hora al teléfono acabé dándoles el número de dos tarjetas de crédito que por suerte las dos fueron bloqueadas por el banco viendo que aquello no era trigo limpio.

    Al final como no podían robarme el dinero, dijeron que el técnico estaba muy ocupado y que me llamarian al dia siguiente sobre la misma hora.Estoy esperando su llamada y ya pasan 10 minutos de la hora en que quedamos para que me llamaran. Por suerte me he dado cuenta del timo, he ido a las páginas oficiales donde se venden sistemas operativos de Microsoft Windows y los precios no tienen nada que ver con lo que me pedían ellos. Concretamente unos 300 € por una suscripción a Microsoft por 5 años.
    Como veis coincide casi a la perfección que hace David Jacoby en esta página. Gracias a foros como este se puede desenmascarar a timos que corren por la red y que a veces nos cuelan a los incautos y confiados consumidores.

    Enhorabuena por vuestra labor, y por dar a conocer timos como este, que rozan la perfección. A veces la ficción supera la realidad.

  4. Jon

    Vaya fenómenos. A mi me han llamado diciendo que se me iba a bloquear el ordenador en dos horas porque estaba infectado y estaban recibiendo alertas. Les he dicho que no me importaba lo más mínimo que se bloquease y se ha enfadado diciendo que lo bloquearía ya. Le he dicho que adelante, que lo hiciese online mientras yo lo veía y por supuesto, ha colgado.
    No creo que vuelva a llamar. Con lo difícil que es contactar con Mictosoft por un problema real como para que te llamen ellos en plan proactivos…

  5. Nacho

    Me han llamdo y he seguido instruciones, hasta que les he pedido una prueba de que son de microsoft y hay se han puesto a amenazarme con bloquear mi ordenador, y me lo han bloqueado,. he tenido que restaurar el sitema, y desistalar el programa que me intalaron, m an 10 euros lamban desde 958310000, al final les he desconectado y he pasado, me pedian todos mis datos y menos mal que he pasado de darselos, les pedi que lo hicieran por correo electronico y se han mosqueado diciendo que ese no es el protocolo… Que estafadores ….

  6. Josean

    Me acaban de llamar desde el teléfono 958310000, con acento inglés diciéndome que eran de Microsoft y que mi ordenador tenía un problema, les he dicho que yo no tenía ningún problema y que era informático y he colgado.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *