¡Desenmascarando a los falsos técnicos de Microsoft!

Seguro que muchos de vosotros ya habéis oído sobre la nueva estafa telefónica que está circulando en Europa. Los estafadores han estado llamando a muchas personas en países como Alemania, Suecia, el Reino Unido y tal vez más. El engaño es simple; los atacantes se hacen pasar por funcionarios de un departamento de Microsoft, y dicen que recibieron información que indica que tu equipo está infectado con malware. Después se ofrecen (gratis) a verificar si esta información es cierta. Si aceptas, te piden que hagas un par de cosas y escribas algunos comandos. Esto engañará a los usuarios menos experimentados para que piensen que su ordenador de verdad está infectado.

Sólo quiero hacer notar que no existe tal departamento en Microsoft, y que la empresa jamás llamaría a sus clientes para hacerles una oferta como esta. Así que, si alguna vez recibes una llamada “de Microsoft” diciendo que tu ordenador podría estar dañado o infectado, ¡cuelga el teléfono!

A mí me llamaron muchas veces, hasta que me cansé y les seguí el juego. Pero mantuve encendidos mis ordenadores virtuales y grababa todo lo que estaban haciendo. La meta era descubrir quiénes eran y de qué trataba la estafa exactamente. Por suerte pude obtener información como su dirección IP interna, las cuentas de PayPal que usan para transferir dinero y los números de teléfono desde los que realizan las llamadas.

Imaginemos que has recibido la llamada telefónica y que no descartasla idea de que tu ordenador está infectado. El siguiente paso que toman los cibercriminales es convencerte de que tu ordenador, efectivamente, está infectado. Tratan de hacerlo siguiendo varios pasos. A continuación puedes ver una descripción de cada uno de los pasos, incluyendo capturas de pantalla:

  1. Los criminales te explican que tu ordenador está trabajando con recursos MUY bajos porque la infección está consumiendo la mayoría. Esto es una gran mentira. Lo que la imagen muestra es que tu ordenador está usando muy pocos recursos.
  2. Después abren Event Manager para identificar errores, alertas y otra información que se pueda usar para hacerte pensar que tu equipo está infectado. Este visor de sucesos muestra algunos mensajes de error, pero no tienen una relación directa con una infección. Casi todos los ordenadores tienen errores en los archivos de registros, en especial si el equipo no se ha reinstalado en mucho tiempo y está ejecutando muchos programas.
  3. Ahora quieren reforzar la idea de que tu ordenador está infectado y esperan que confirmes que tu ordenador es el que se menciona en los informes de su sistema. Para ello, tratarán de asociar tu equipo con un número único, un número que llaman “Identificación de Licencia del Consumidor”, conocido como CLSID por sus siglas en inglés. Pero el CLSID en realidad es el identificador de componentes Class Identifier. En la imagen de abajo puedes ver qué programa o CLSID está asociado con cada extensión de archivos. Después te pedirán que ejecutes el comando “assoc” en una solicitud DOS y te preguntarán si tu Identificación de Licencia de Consumidor es 888DCA60-FC0A-11CF-8F0F-00C04FD7D062. Este es en realidad el CLSID de la extensión de archivos ‘ZFSendToTarget’.
  4. Con esto no sólo tratan de convencerte de que tu ordenador está infectado, también de que el ordenador que están viendo en su sistema es de verdad tu ordenador. Ahora te piden que ejecutes otro comando DOS llamado “verify”. Dicen que si el resultado del comando verify es “off”, significa que la licencia de tu ordenador no está verificada. Este comando no tiene absolutamente nada que ver con tu licencia, sólo te permite activar/desactivar la verificación de que tus datos se han escrito en el disco de forma correcta.

    En este momento, la mujer a con la que estaba hablando comenzó a gritar “¡OH, DIOS MÍO!” en mi oído, estaba muy alterada porque mi licencia no estaba verificada; según ella, esto significaba que no se podían instalar parches de seguridad. Sugirió que el siguiente paso era permitir a un técnico que ingrese al ordenador y arregle todos estos problemas. No dudé en dar mi consentimiento al técnico para que ingrese a mi sistema porque estaba ejecutando todo desde un ordenador virtual vacío 🙂

  5. Los delincuentes utilizan un programa de administración a distancia llamado AMMYY. No conocía este programa antes de este incidente. Parece bastante directo y legítimo. El programa permitió que el técnico se conectara a mi ordenador y trabajara en él desde una ID única. Yo también podía ver todo lo que hacía. Un operador con la identificación “10878203” se conectó a mi equipo, y abajo están los permisos que solicitó.
  6. El administrador se conectó a mi equipo y lo comenzó a utilizar. Abrió el Administrador de Certificaciones y seleccionó un certificado viejo. La mujer todavía estaba en el teléfono, y me explicó que el operador había descubierto que el certificado inválido había impedido que mi equipo recibiera actualizaciones desde 2011.
  7. Ahora es cuando las cosas se comenzaron a poner muy turbias: me dijo que la única solución era activar mi sistema e instalar programas de seguridad que me iban a proteger contra virus, malware, troyanos, hackers y otras amenazas. Me preguntó si quería hacerlo y me dijo que, si lo hacía, el operador arreglaría mi ordenador e instalaría este programa. Dijo que sólo me costaría unos 250 $.
  8. Después, el operador instaló un programa llamado ‘G2AX_customer_downloader_win32_x86.exe’ desde el sitio web www.fastsupport.com. Cuando terminó de hacerlo, apareció una ventana de chat. Una persona llamada “David Stone” me informó que mi ordenador ya no estaba en peligro.

  9. Me dijo que, como había aceptado que actualizaran mi equipo, debía llenar un formulario y pagar 250 $. Después se abrió un formulario de PayPal. Pude recoger varias cuentas de PayPal diferentes, incluyendo: ukfastcare@gmail.com y ddkcare@gmail.com
  10. Sabía que esta era sólo una estafa y quería tratar de conseguir más información sobre esta gente. Así que traté de escribir una información falsa de Visa y MasterCard varias veces y dije que no podía comprar cosas por Internet con mi tarjeta. Los frustré. Después les pedí que visitaran un sitio web, diciéndoles que era el sitio web de un “amigo” que había publicado allí su información de tarjeta de crédito. El sitio era sólo un archivo de texto que decía lo siguiente: “Hola, por favor conéctese desde una IP diferente porque está detrás de un proxy”.
  11. Lo intentamos varias veces desde mi ordenador, usando diferentes navegadores, pero después les pedí que lo revisaran desde su sitio y, para mi sorpresa, lo hicieron. Estaba viendo mi archivo de registros y en cuanto se conectaron conseguí su dirección IP 🙂

    101.xxx.xxx.197 – – [01/Aug/2012:13:44:31 +0200] “GET //.txt HTTP/1.1″ 200 413 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64; rv:14.0) Gecko/20100101 Firefox/14.0.1”

    También me desconecté varias veces del teléfono mientras hablábamos porque quería ver desde qué número me llamaban. Pude conseguir los siguientes números: 00441865589771, 008028, 002127773456 y un número oculto.

Después de recoger la información, me puse en contacto con los grupos pertinentes, como el equipo de seguridad de PayPal y varias agencias gubernamentales, con la esperanza de que detengan a los criminales. Están robando mucho dinero a gente inocente. Sé que ya se ha alertado a la gente sobre estas estafas, pero mi conclusión es que los criminales siguen llamando porque siguen ganando dinero con estos ataques.

El programa que utilizaron no tenía nada de malicioso, lo que significa que ningún programa de seguridad puede detectar este tipo de estafas. Esta es una de las razones principales por las que escribí este artículo y otros parecidos: necesitamos mantener a la gente informada hasta que los cibercriminales se vean obligados a detenerse.

Publicaciones relacionadas

Hay 22 comentarios
  1. marc

    Me acaban de llamar justo ahora… No he llegado hasta el punto de pagar nada pero he empezado a sospechar cuando me han me borrado cosas del sistema, diciendome que estaban guardándolo en los back up de microsoft, allí les he colgado de golpe y he desenchufazo el ordenador, m han vuelto a llamar y me han ldicho que por qué había colgado y les he contestado diciendo que ha habído un apagón y les he vuelto a colgar…. Hasta el momento no m han vuelto a llamar…

    AVISO QUE HE CEDIDO TANTO PORQUE NO TENGO NI IDEA DE INFORMÁTICA Y ME LO HE LLEGADO A CREER…. HASTA QUE HA HABÍDO COSAS QUE ME HAN HECHO SOSPECHAR….

  2. M.Carmen López Castro

    hace menos de una hora que me llamaron, y 20 minutos estuve al teléfono mareándolos jaja. Me pidieron que descargara el software Supremo Control Remote y claro, nada más ver la web de donde se descarga el programa me dí cuenta que no es oficial de Microsoft. Y les dije claramente que ellos no eran de Micosoft. Entonces me indicó para abrir “Ejecutar” y eso. Yo les reclamaba un técnico español y ellos me decían que lo harían a través del control remoto. Les dije que no iba a descarar el programa. Y dijeron¿Entonces como piensas hablar con un técnico español? Les dije que llamaría a mi técnico xD porque ellos no eran de Microsoft, claro. Bueno, pues que me colgaron cuando les dije: No, que tu no eres de Microsoft, yo sé lo que es. y dicen ¿qué sabes? y les dije: sé lo que tú haces. xD mi pregunta es, cómo puedo denunciarlo? Me parece fatal que estén engañando así a la gente.. Ojalá los cojan pronto.

  3. Francesc Morera Amat

    Ayer me llamaron sobre las 10 de la mañana, era un viernes y casualmente estaba en casa porque estoy de vacaciones. Al principio me creí el timo y me dejé engañar. Después de tenerme como una hora al teléfono acabé dándoles el número de dos tarjetas de crédito que por suerte las dos fueron bloqueadas por el banco viendo que aquello no era trigo limpio.

    Al final como no podían robarme el dinero, dijeron que el técnico estaba muy ocupado y que me llamarian al dia siguiente sobre la misma hora.Estoy esperando su llamada y ya pasan 10 minutos de la hora en que quedamos para que me llamaran. Por suerte me he dado cuenta del timo, he ido a las páginas oficiales donde se venden sistemas operativos de Microsoft Windows y los precios no tienen nada que ver con lo que me pedían ellos. Concretamente unos 300 € por una suscripción a Microsoft por 5 años.
    Como veis coincide casi a la perfección que hace David Jacoby en esta página. Gracias a foros como este se puede desenmascarar a timos que corren por la red y que a veces nos cuelan a los incautos y confiados consumidores.

    Enhorabuena por vuestra labor, y por dar a conocer timos como este, que rozan la perfección. A veces la ficción supera la realidad.

  4. Jon

    Vaya fenómenos. A mi me han llamado diciendo que se me iba a bloquear el ordenador en dos horas porque estaba infectado y estaban recibiendo alertas. Les he dicho que no me importaba lo más mínimo que se bloquease y se ha enfadado diciendo que lo bloquearía ya. Le he dicho que adelante, que lo hiciese online mientras yo lo veía y por supuesto, ha colgado.
    No creo que vuelva a llamar. Con lo difícil que es contactar con Mictosoft por un problema real como para que te llamen ellos en plan proactivos…

  5. Nacho

    Me han llamdo y he seguido instruciones, hasta que les he pedido una prueba de que son de microsoft y hay se han puesto a amenazarme con bloquear mi ordenador, y me lo han bloqueado,. he tenido que restaurar el sitema, y desistalar el programa que me intalaron, m an 10 euros lamban desde 958310000, al final les he desconectado y he pasado, me pedian todos mis datos y menos mal que he pasado de darselos, les pedi que lo hicieran por correo electronico y se han mosqueado diciendo que ese no es el protocolo… Que estafadores ….

  6. Josean

    Me acaban de llamar desde el teléfono 958310000, con acento inglés diciéndome que eran de Microsoft y que mi ordenador tenía un problema, les he dicho que yo no tenía ningún problema y que era informático y he colgado.

  7. Carlos

    Veo que lleva tiempo esta estafa, me acaban de llamar ahora mismo en el fijo del trabajo, al decirme que mi ordenador les habia alertado les dije que no tenian NPI y que podian irse a dar un paseo..
    Visto lo que comentais la cosa va de estafilla sencilla pero dando acceso de vuestros ordenadores a terceros des de internet podrian incluso colaros algun tipo de ransomware, como cryptotlocker o incluso peor..
    Desgraciadamente como decís hay mucha gente por ahí sin nociones de informatica suficientes ni conocimiento de la propia mala intención del ser humano como para entender rapidamente que es una estafa y que por que les digan que son de Microsoft, el ministerio de hacienda, la policia nacional o el propio papa de Roma no hay que hacerles caso y ante la duda buscar siempre la verdad por uno mismo llamando a los contactos pertinentes, en este caso decid que ya se encargara vuestro experto informatico y colgais.

  8. Jose

    Vuelven a la carga. Acaban de llamar. Ahora la aplicacion a ejecutar es anydesk.

  9. José María Sánchez

    Aunque el hilo lleva 2 años parado, me acaba de llamar el “técnico de Microsoft”, parecía chino, me pidió hablar en inglés, le dije que no y me habló en un pésimo español. En este caso quería tomar el control con el programa anydesk. Solo para decir que siguen empeñados.

  10. Yomisma

    Hoy me han llamado a mi teléfono fijo, diciendo que eran de “windows” (la primera en la frente) y que teníamos el ordenador hackeado y nos estaban robando datos y usando nuestra ip para asuntos turbios (en inglés). Les he dicho que mi marido trabaja en ciberseguridad y que tenemos mil firewalls; aun así, seguía insistiendo en que debía seguir sus instrucciones para liberar el pc de los hackers. Ahí ya le he dicho que sabía que no me podía estar llamando desde Washington porque allí es de noche y aquí de día () y que además no tenía acento de allí ()… seguía insistiendo mientras yo les decía que mi marido tenía instalados rastreadores de llamada. Ahí ya han colgado… a los diez minutos han vuelto a llamar esta vez ya preguntando por mi marido directamente. Les he dicho que ambos trabajamos en ciberseguridad para la policia () y que estaba rastreando la llamada y sabía de donde me llamaba… ni así, el tío seguía insistiendo. Le he dicho que pusiera el número en la lista Robinson () y me ha contestado que hay muchos hackers más por el mundo y que daba igual!!!!! Ya le he dicho que no iba a seguir hablando con el y he colgado. Espero que no vuelvan a llamar.

  11. Pk

    Nos han llamado a diferentes telefonos de la empresa, la gente les ha colgado pero yo les he seguido el rollo y el mismo protocolo que se ha explicado aqui con lo de mirar el visor de sucesos y luego hacerme descargar el Supreme.. ahí les he cortado por que la cosa ya duraba demasiado, pero me han estado llamando media mañana de nuevo y he pasado de cogerles.. los telefonos que he podido apuntar son: 447093539546 y 447971252104

  12. Carlos

    Hoy hemos recibido una llamada de este tipo, un varón que hablaba fatal español,. Decía ser un técnico de Microsoft que detectaba problemas en nuestro equipo. Lo cierto es que notamos algunos problemas desde hace unos días y por eso no hemos colgado inmediatamente. Finalmente le hemos dicho que lo haríamos más tarde porque estábamos ocupados, era cierto, quería que encendiéramos el equipo que daba problemas. Ha vuelto a llamar con muy mal genio porque después de una hora no lo habíamos encendido, diciendo que pensaba que el nuestro S. O. no tenía licencia o estaba caducada y que si volvíamos a colgar llamaría a la policía. Nos preocupa que pueda ser alguien que esté próximo a nuestra casa y se introduzca a través de nuestra wifi.

  13. Diego

    Hola, me acaban de llamar, y se han identificado como técnicos de Microsft, por el acento parecían Indios o paquistaníes, y me han dicho lo mismo: que mi ordenador tenía un problema y que no funcionaba bién. Les he dejado hablar hasta que me han pedido que instale el programa anydesk, ahí he terminado la conversación. Mas que nada les he seguido un poco la corriente hasta ver a dónde llegaban.

  14. Laura

    Yo les pongo música heavy metal hasta que me cuelguen. Aun y así, me llaman a diario durante unos 10 días hasta que paran. Siempre son números distintos y gente distinta. No se puede parar si les enfadas, te insultan y se ríen de ti .

  15. Jesus

    Siguen en ello. Acaba de colgar diciendome que nos veremos en el infierno, en inglés con acento indio. Misma dinámica. No conseguí q me enviara un correo, con la excusa de q los hackers tenian el ordenador controlado. Le pregunte que si tambien controlaban mi teléfono movil o el locutorio de abajo o las web de gmail e incluso las de live y outlook q son de microsoft. Ahi le dije adios y colgue. Ojo llamaron inmediatamente otra vez. Tampoco me dieron un telefono al que devolver la llamada por q me dijo q iba a ser muy caro para mi porque estaba en estava en USA. Cuando le dije q cual de los cuatro ordenadore q tengo en casa queria que encendiera se despidio de mi. Una lástima que no se pueda parar esto. Solo divulgando estos casos podemos protegernos. Gracias por vuestra labor.

    1. Matias Lladó

      A mi me han llamado a las 13,28 de hoy , 4/0718. El número de teléfono 5136803684, identificándose como Microsoft England. Me inican que vaya hacia mi ordenador, ya que al parecer han detectado que tiene un malware. Les he dicho que no tenįa tiempo para atenderles. Ya llamarán de nuevo si quieren. Y ya sé lo que les voy a decir. Je, je.

  16. Darth71

    Me han llamado esta mañana y yo no sabia nada de esto, me pareció extraño que la señora con la que hablaba insistiera hablando en ingles, yo le dije a quién llamaba e insistí que yo era de Spain y cuando iba a colgar me empezó a hablar en mi idioma, acto seguido se presentó como del departamento técnico de microsoft y me preguntó dos veces si tenía computadora, mi respuesta fue ¡sí! ¿¡y qué!?acto seguido la mande a paseo y le colgué sin mas. Lo siguiente que hice fue buscar este tipo de estafa por internet y aquí estoy escribiendo.

    Me gusta que gente como quién ha escrito este blog intente luchar contra esta gentuza, yo no me creí nada y siento que haya gente que caiga en este tipo de estafas, ojalá no las hubiese y este tipo de mafias se diera una y otra vez contra una pared.

  17. R

    Hola. A mí me llamó a mi teléfono fijo el 1 de mayo a las 08.30 alguien con un marcado acento africano y un español bastante deficiente que decía llamarse Kevin y llamaba de parte de Microsoft. Me dio mi nombre y luego me dio mi dirección (como si la hubiera obtenido de la guía telefónica). Me decía que mi ordenador estaba enviando muchos mensajes de emergencia a los servidores de Microsoft. Evidentemente, desde el primer momento no me lo creí, porque, entre otras cosas, estaba apagado y no usa un sistema operativo de esa compañía, pero tenía curiosidad por saber adónde quería llegar. Me pidió un número identificativo del ordenador, le dije que no sabía cómo obtenerlo. Me preguntó si podría hablarme en inglés, pero yo le dije que no hablaba bastante inglés. Me preguntó si el ordenador estaba encendido, le dije que no. Me pidió que lo encendiera. Dejé pasar un rato para que pareciera que lo encendía. Me pidió que ejecutara EVENTVWR y me preguntó qué se veía. Le dije que nada (insisto: no encendí ningún ordenador). Entonces me pidió que me conectara a Google Chrome y me conectara a anydesk.com. Me preguntó qué salía y le dije que «sense connexió a internet». Seguidamente me pidió que lo conectara a internet, esperé cerca de un minuto hasta que le dije que estaba conectado y me volvió a pedir que me conectara a anydesk.com. Supe que se trataba de un programa de control remoto del ordenador. Me preguntó qué veía, y le dije «la lista de resultados». Cuando me pidió que entrara, le dije que la pantalla se había quedado negra y el ordenador bloqueado. La respuesta fue «tú, hijo p**a» (censuro las letras «ut» en el texto anterior), le dije que no lo entendía y me contestó «es español, tú, hijo p**a» y colgó. Fueron 14 minutos de llamada. Envié a la Policía Nacional esta información sobre la llamada. Al leer otros foros, entendí que se creía ya muy cerca de pedirme dinero.

  18. David

    Me acaba de pasar lo mismo, varias llamadas en ingles con acento indio. Desde las 9:00, en sabado. Identidficandose como personal de Microsoft. Las llamadas han sido todas desde el numero 589652154. Me dan un ID comenzando por 888DCA… Para que compruebe el numero de licencia de microsoft. Ni he encendido el ordenador.
    Para dar mas veracidad, hasta me han dicho mi dirección postal y llamaban al teleéfono fijo. No sé de dónde sacan esa información porque nunca la he puesto en formularios por internet.

  19. jorge

    Acabo de hablar con estos estafadores, que se hacen pasar por técnicos de Microsoft, en cuanto les he pedido su número de teléfono, para facilitarlo a Policía Nacional, han cortado la comunicación.
    La conversación la ha iniciado un varón con acento ingles, que a pesar de decir que no entendía el castellano, creo que no era así. Me ha dado un número que decía ser el número de licencia de mi computadora. Con ese número he entrado en internet y me ha salido este articulo que comporto. Le he empezado a hacer preguntas sin escribir lo que quería que escribiese, y me ha pasado con una mujer. En este intervalo, sin colgarles he llamado a P.N., me han dicho que sin el número de teléfono del llamante no podían hacer nada, y que les colgase, no ha sido necesario ya que lo han hecho ellos en cuanto les he pedido su número de teléfono.

  20. Albert

    Hoy mismo sobre las 09.30, me han llamado de Microsoft un señor con acento Ingles y con ruido de fondo parecido a un call center. me ha dicho que mi ordenador le estaba mandando mensajes erróneos a sus servidores. La llamada a sido del teléfono 933912317, Me ha dicho que ponga en marcha el ordenador para de esta forma poder solucionar los problemas, yo le he dicho que ni hablar y cuando le he preguntado como tienen mi teléfono fijo me ha colgado sin mas.

    Mucha atención con este fraude.

  21. AJ

    Me llamaron unos indios que decían ser de Microsoft. Desgraciadamente me manejo bien con el inglés y les podía entender, con lo que de inicio les dije que se equivocaban, que estaban llamando a un particular. Ellos me contestan diciendo que sabían perfectamente a quién llamaban y me dieron mi nombre. Eso fue clave para engañarme porque me cogió por sorpresa. Insistían en que en sus servidores estaban recibiendo notificaciones como que mi ordenador había sido infectado por un hacker que quería robar mis datos bancarios y si no actuaban rápido me bloquearían Windows. Como tenía el ordenador encendido y me pedían comprobar unos archivos y no me costaba nada hacerlo, lo hice tal como me decían y entonces me convencieron que esos archivos eran los introducidos por el hacker y debían eliminarse. Caí como un tonto dándoles acceso remoto a mi ordenador, primero probaron con Teamviewer y como no funcionaba, luego lo hicieron con Ultraviewer. Aquí quiero decir que cualquiera puede caer, incluso aunque tengas conocimientos de redes o de comunicaciones porque todo depende del momento en el que te coja -en una ocasión distinta igual lo habría visto con más claridad y me habría parecido una locura darles control-. Además, era muy profesional todo, había ruido de oficina, se escuchaba mucha gente y se “transfirieron” la llamada entre ellos como haciendo ver que entre ellos había especialistas en distintos ramos. Cuando me convencieron que estaba infectado, me dijeron que no podían arreglarlo tampoco porque mi licencia había caducado y para activarla eran 10€. Podía pagar online u offline. Yo sabía que estaban viendo la pantalla y cuando me pidieron pagar con mi tarjeta de crédito ahí ya sospeché del todo. Yo me negué, pero ellos amablemente me insistían que no querían para nada ver mi cuenta corriente, que podían enviar un técnico y pagarle al técnico, su servicio eran 30€ y llegaría en poco rato. Ya se volvió todo de marrón oscuro cuando me dijeron que comprar unas Google Play Cards para pagar al técnico, que al ser un caso de seguridad eran 400€ pero después del servicio me reembolsarían 370€. Ahí corté. Conclusión, piqué bastante, no obtuvieron mi tarjeta de crédito pero si obtuvieron nombre, teléfono y lo peor, acceso remoto. Borré el TeamViewer y el Ultraviwer pero tendré que formatear y cambiar todas mis contraseñas porque es posible que mientras estuvieron conectados me robaran datos. El servicio fue bastante profesional, parecía un call center auténtico y tragas sobre todo si desconoces que Microsoft jamás llamaría a particulares. Darles conexión remota fue un error imperdonable que siempre lamentaré, me cogieron con la guardia baja, a primera hora de la mañana y caí. Al final el tipo tenía unos modos agresivos y se enfadó cuando le paré y le dije que no era nada urgente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *