Está en la página 1de 6

RSA DESCUBRE UNA RED MASIVA DE

CIBERCRIMINALES DE BOLETOS EN
BRASIL
julio 2014
Por Uri Fleyder, Gerente de Cybercrime Research Lab y Eli Marcus, Especialista en Comunicaciones, RSA Research


RSA Research Group

2

RSA DESCUBRE UNA RED DE ESTAFADORES DE BOLETOS EN BRASIL

Desde mediados de junio, con la Copa del Mundo 2014 en pleno desarrollo, todas las miradas se
han puesto en Brasil. Mientras el mundo observa cmo sus selecciones nacionales favoritas
compiten en la cancha, los profesionales de seguridad de TI de casi todos los bancos de Brasil
estn librando otra batalla contra los cibercriminales.
A travs de una investigacin coordinada que abarca tres continentes, RSA Research ha dado a
conocer detalles de una numerosa red de estafadores que basan sus hechos en malware, la cual
est operando con gran eficacia para infiltrarse en uno de los mtodos de pago ms conocidos de
Brasil: el Boleto.
De acuerdo con las pruebas recopiladas en esta investigacin de fraude, RSA Research desbarat
una red de estafadores que utiliza el malware del Boleto o Bolware que pudo haber
comprometido 495.753 transacciones con Boletos en un periodo de dos aos. Aunque la
investigacin no arroj pruebas acerca de si los estafadores tuvieron xito en el cobro de todas
estas transacciones comprometidas, los investigadores de RSA hallaron pruebas de su valor,
calculado en ms de $ 3,75 mil millones de dlares (R$ 8,57 mil millones).
El Boleto Bancrio o, sencillamente, Boleto es un instrumento financiero que permite a un
cliente (sacado) pagar un monto exacto a un comerciante (cedente). Todo comerciante con
una cuenta bancaria puede emitir un Boleto asociado a su banco; ese Boleto, luego, se enva al
cliente para que pague lo que sea de su hipoteca, sus facturas de energa, impuestos o facturas
mdicas mediante transferencia electrnica. Los Boletos pueden generarse tanto fuera de lnea
(copias impresas) y envirselos a los clientes o en lnea (por ejemplo, a travs de tiendas en
lnea) para pagos electrnicos. La popularidad ha aumentado por lo conveniente que es para los
consumidores, ya que no necesitan una cuenta bancaria personal para realizar pagos con los
Boletos.
El sistema de Boleto est regulado por la FEBRABAN (Federacin Brasilea de Bancos) y el SPB
(Sistema de Pagos Brasileo) y se ha convertido en el segundo mtodo de pago ms conocido
(detrs de las tarjetas de crdito) del Brasil. E-bit, una empresa de investigacin del mercado
electrnico de Amrica Latina,calcula que 18 % de todas las compras en lnea, efectuadas en
1012 en Brasil, se realizaron con Boletos.















3

Figura 1: ejemplo de un Boleto tpico que se gener en lnea
FRAUDE CON BOLETOS
Hasta hace poco, el ataque ms comn usado era la falsificacin de Boletos que eran generados
fuera de lnea por estafadores y se enviaban a las vctimas mediante ingeniera social (por correos
electrnicos no deseados o, incluso, por correo postal comn). Los Boletos alterados son muy
parecidos a los Boletos legtimos, pero el cdigo de barra y los campos del nmero de id. estn
modificados por lo que el pago se redirecciona a la cuenta bancaria del estafador (traficante). Por
otro lado, los campos, tales como la fecha de vencimiento, la identificacin del comerciante y el
valor del dinero, a menudo, permanecen sin modificaciones, lo que hace que el fraude sea muy
difcil de ver.
El ingreso del malware del Boleto, un tipo de fraude ms nuevo y sofisticado usado en Brasil que
aprovecha la tecnologa MITB (por medio del navegador) para atacar operaciones en lnea, y se
basa en la modificacin de transacciones del lado del cliente.
El malware del Boleto, visto, por primera vez, en libre circulacin a finales de 2012 (tambin,
conocido por los motores antivirus como Eupuds), infecta los navegadores web en los equipos
basados en Windows (Google Chrome, Mozilla FireFox y Microsoft Internet Explorer) y, luego,
intercepta y modifica la informacin del Boleto de manera que los pagos se redireccionen a una
Figura 2: malware del Boleto, cmo funciona
cuenta del estafador. Como el malware es MITB, todas las actividades del malware son invisibles
tanto para la vctima como para la aplicacin web. Desde su descubrimiento, los bancos de Brasil
han invertido significativamente para combatir este malware mediante una variedad de medidas
de seguridad y antimalware. Como toda operacin cibercriminal considerable, la banda delictiva
del Bolware ha seguido innovndose, al revisar su malware creado con un fin especfico, el cual
tiene 19 versiones diferentes.
Los mtodos de la banda delictiva del Bolware parecen ser muy efectivos. Hasta la fecha, RSA
Research ha descubierto que el valor total de todos los Boletos, que fueron modificados por este
malware y almacenados en el servidor Bolware C&C, se calcula en U$S 3,75 mil millones.Es
importante observar que este es un nmero estimado basado en el descubrimiento de 8095
4
nmeros de id. fraudulentas del Boleto vinculados a 495 753 transacciones comprometidas. Si
bien es posible que los estafadores que estn detrs de esta operacin hayan tenido la posibilidad
de cobrar en efectivo estos Boletos modificados, no se sabe exactamente cuntos de estos Boletos
fueron pagados efectivamente por las vctimas ni si todos los fondos se redireccionaron, de
manera satisfactoria, a las cuentas bancarias controladas por los estafadores.
RSA Research, adems, descubri:
192.227: cantidad de bots de Bolware (equipos infectados y comprometidos) detectados
por RSA Research, de acuerdo con las direcciones IP exclusivas
83.506: cantidad de credenciales de usuarios de correo electrnico robadas y
recolectadas por el malware del Boleto
8095: cantidad de id. fraudulentas del Boleto
34: cantidad de sucursales de bancos especficas afectadas por la operacin Bolware
El malware del Boleto es una operacin de fraude importante y una grave amenaza de
cibercrimen a los bancos, comerciantes y clientes bancarios de Brasil. Aunque es posible que la
red de estafadores del Bolware no tenga tanto alcance como algunas operaciones de cibercrimen
internacionales de ms envergadura, pareciera ser una empresa extremadamente lucrativa para
sus creadores. Tal como se describe en el anlisis detallado de RSA Research, los desarrolladores
han realizado un gran esfuerzo para hacer que Bolware sea efectivo y, adems, difcil de detectar
(al refinar caractersticas diseadas para evadir la deteccin y la limpieza por parte de productos
antimalware de terminales).












Figura 3: distribucin geogrfica del malware del Boleto. El malware est dirigido a residentes
brasileos y ciudadanos brasileos que viven en el exterior, quienes tienen la posibilidad de
generar un Boleto en lnea y pagarlo a travs del sistema bancario en lnea brasileo.
MITIGACIN Y LO QUE VIENE
RSA entreg su investigacin, junto con una cantidad significativa de nmeros de id. de Boletos e
IOC (indicadores de compromiso) a las organizaciones encargadas del cumplimiento de la ley en
EE. UU. (FBI) y en Brasil (Polica Federal) y ha estado en contacto directo con el consejo
antifraude de FEBRABAN y sus bancos miembro. RSA est trabajando junto con estos entes en la
investigacin mientras ayuda o asesora sobre la implementacin de varias contramedidas de
mitigacin dentro de muchos bancos de Brasil que procesan Boletos. Estas contramedidas
incluyen aprovechar FraudAction Service de RSA para ayudar en la suspensin de puntos de
infeccin en circulacin y la ubicacin en listas negras de id. de Boletos fraudulentas.
RSA FraudAction puede identificar todos los nmeros de id. de Boletos generados por malware y
pasar estos nmeros de Boletos alterados a sus clientes como fuentes de datos de listas negras.
Los nmeros de Boletos alterados fraudulentos contienen informacin que los bancos pueden usar
5
para bloquear transferencias fraudulentas y rastrear las cuentas que reciben el pago, y evitar
futuros pagos a cuentas potencialmente fraudulentas.
Aunque el malware del Boleto y la manera en que ste modifica las transacciones de Boleto son
difciles de detectar, parece que slo afecta Boletos generados o pagados en lnea a travs de
equipos basados en Windows que usan tres navegadores web conocidos. RSA Research no ha
observado pruebas de transacciones comprometidas a travs de aplicaciones mviles de Boleto o
carteras digitales de DDA (dbito directo autorizado). Y, aunque la adopcin de transacciones de
Boletos por parte de usuarios a travs de estos mtodos todava es escasa, los funcionarios
FEBRABAN comentan a RSA que, por el momento, estas opciones representan alternativas de
pago de Boletos seguras. Otro aspecto positivo es el hecho de que los Boletos emitidos por el
gobierno (para el pago de impuestos y otras tasas municipales) tampoco parecen verse afectadas
por la operacin Bolware.
FEBRABAN insta a los clientes a estar atentos cuando realizan pagos con el Boleto y a verificar,
antes de confirmar el pago, que todos los detalles, en especial, la id. del Boleto sean genuinos.
Como la banda delictiva del Bolware ha difundido su malware principalmente por phishing y spam,
tambin, se insta a los consumidores de Brasil que tengan cuidado al hacer clic en vnculos o abrir
archivos adjuntos en correos electrnicos o mensajes de medios sociales de remitentes
desconocidos y que usen software antivirus actualizado para ayudar a proteger su equipo de
infecciones.
RSA contina controlando de manera activa esta situacin mientras trabaja estrechamente con las
instituciones financieras y encargadas del cumplimiento de la ley brasileas para asistir en la
mitigacin de amenazas de Bolware.
Para obtener informacin ms detallada sobre la operacin Bolware, revise el informe completo
realizado por RSA Research: RSA Discovers Massive Boleto Fraud Ring in Brazil (RSA
desbarata una red masiva de estafadores del Boleto en Brasil).

mexico.emc.com/rsa (visite el sitio web de su pas correspondiente)