El Lado Oscuro de América Latina:

Criptomonedas, Cárteles, Carding, y el Ascenso del Cibercrimen

www.intsights.com 1
El Lado Oscuro de América Latina

Resumen Ejecutivo
América Latina exhibe algunos de los grupos de hackers y de crimen organizado más sofisticados del mundo, pero a menudo
pasan desapercibidos frente a los grupos de seguridad empresarial que no tienen presencia en la región. En 2019, el equipo
de investigación de IntSights inició una indagación en campañas persistentes de phishing que se dan contra clientes en
los sectores de comercio y servicios financieros en Colombia y Brasil. Los hallazgos fueron desconcertantes. Criminales
cibernéticos muy persistentes estaban operando programas muy extensos en contra de bancos, servicios de hotelería,
y negocios de comercio minorista para obtener sus credenciales y sus activos financieros. No fue difícil determinar de
dónde venía el peligro debido a que los perpetradores pasaban más tiempo cambiando sus tácticas e infraestructura que
escondiendo sus identidades.

Para uno de los casos, el equipo de investigación de IntSights fue capaz de identificar la ubicación de un perpetrador en
Colombia, sus páginas en redes sociales, sus nombres de avatar, y sus métodos de phishing. Tras indagar de forma más
profunda acerca de la vida de este perpetrador, se descubrió un panorama de amenazas más complejo; un escape de la
pobreza y del régimen de censura en Venezuela, seguido de una mudanza más allá de la frontera hacia Colombia, donde
iniciaría su carrera como criminal cibernético. El descubrimiento llevó a los investigadores a indagar más en un reporte acerca
de la ​destrucción política y económica en Venezuela ​y las fuerzas que llevan a personas comunes a la clandestinidad para
obtener un salario de parte del crimen cibernético.

El Lado Oscuro de América Latina es una exploración del panorama de amenazas en toda la región, definido por dinámica
geopolítica, corrupción estatal, crimen organizado, y ataques persistentes sobre industrias como los servicios de comercio
minorista, finanzas, y hotelería a nivel global.

Metodología
La Inteligencia Táctica de este reporte se deriva de varias fuentes propias
parte de nuestra plataforma ThreatCommand™,​entre ellas:

• Bases de datos de acceso restringido

• Cientos de fuentes clandestinas (deep web y dark web)
• Miles de sitios de acceso libre a través de varias herramientas de
búsqueda
• Búsquedas manuales y automáticas en cientos de conversaciones de
plataformas de mensajería y foros grupales que se usan exclusivamente
por hackers y criminales cibernéticos.

Además, el equipo de investigadores expertos y analistas de inteligencia de

IntSights contribuyen inteligencia operacional y estratégica para permitir
a nuestros usuarios la toma de decisiones importantes y la formación de
estrategias para defenderse contra amenazas provenientes de América
Latina.

IntSights se enorgullece de haberse aliado con los expertos en ciberseguridad

regional CipherTrace y S
​ citum​. Nuestras experiencias combinadas asesorando
a empresas latinoamericanas en materia de respuesta a incidentes de
seguridad, seguridad de información, e inteligencia, hace que este reporte sea
el único en su área en abordar varios aspectos del comportamiento criminal,
su efecto en las empresas a nivel mundial, y los métodos prácticos para
proteger a organizaciones ante estas amenazas.

Algunas identidades han sido modificadas para mantener el anonimato en

investigaciones en encubierto.

2
El Lado Oscuro de América Latina

Panorama de Amenazas
El área que se conoce como América Latina incluye México, Centroamérica, y Sudamérica. La diversidad en la región se halaga
mundialmente como un punto de encuentro de culturas, idiomas, panoramas geográficos, economías, y gobiernos. Sin
embargo, si bien la región tiene muchos componentes culturales universales, las naciones específicas enfrentan éxitos y retos
únicos definidos por sus escenarios políticos propios, dictaduras y democracias, la diversidad económica, y el crecimiento
agudo de la adopción de tecnologías digitales. 2019 fue un año financiero difícil para toda América Latina ya que el crecimiento
económico estuvo casi detenido.

El 30 de octubre de 2019, el Fondo Monetario Internacional (IMF, por sus siglas en

inglés) publicó su Informe de Perspectivas de la Economía mundial​, que resaltó una
desmejora significativa en el estatus económico de toda la región latinoamericana,
haciendo énfasis en las dificultades importantes de Venezuela como resultado de una
hiperinflación y una crisis humanitaria. El IMF atribuye esta desmejora principalmente
a factores sociales, incluyendo la devaluación de la confianza del consumidor a nivel
mundial, la incertidumbre política y económica, y el rol de Venezuela como catalizador
de una inestabilidad en la región.

Dificultades económicas, corrupción política, censura en internet, y el ascenso del crimen organizado en América Latina son
los factores que contribuyen al crecimiento del crimen cibernético. Las compañías dentro y fuera de la región están luchando
para mantenerse al día contra perpetradores que tienen motivaciones financieras y son coordinados y persistentes en sus
esfuerzos para estafar, forjar, y robar activos de consumidores y de empresas.

La rápida digitalización y la adopción generalizada de tecnologías digitales hacen que

América Latina sea un blanco fácil para el crimen cibernético. En 2019, se registraron ​
millones de usuarios en internet​en América Latina5 – alrededor del 69% de la
población total, con usuarios de Brasil y Colombia representando la gran mayoría.
Una encuesta global del tiempo que pasan los usuarios en internet coloca a Brasil
y Colombia en los puestos s​ egundo y cuarto, respectivamente​. En 2018, las ventas
al por menor online sobrepasaron los $50 mil millones, y el gigante de la región,
MercadoLibre, fue la tienda más popular en América Latina. Otras tiendas grandes en
la región son Amazon, B2W Digital, y Alibaba.

Al igual que con la mayoría de los países y regiones que experimentan la combinación de la digitalización rápida, altas
tasas de uso de internet, y numerosas dificultades políticas, la legislación de la privacidad de datos es aun muy prematura.
Brasil lidera en este ámbito, ya con formulación de más de 40 regulaciones diferentes de privacidad de datos. Ese país se
encuentra consolidando estas regulaciones en una política global llamada L​ ei Geral de Proteção de Dados​(LGPD), que se
espera sea implementada en agosto del 2020.7 Esta ley será similar al GRPR de Europa, y se enfocará en responsabilizar a
las compañías por los datos de sus clientes. El no cumplimiento podría resultar una multa del 2% de las ventas anuales, lo cual
sería completamente agobiante para tiendas y bancos que ya estén teniendo problemas al luchar contra el fraude y el crimen
cibernético. Las leyes de privacidad de datos ayudarán a optimizar las expectativas de protección de la información de clientes
y empleados en toda la región, pero podrían representar dificultades económicas para empresas en problemas al inicio de la
implementación.

Los perpetradores en América Latina son diferentes a los de otras regiones del mundo. A diferencia de algunos de los
gobiernos y ejércitos más grandes del mundo, América Latina no exhibe grupos de Amenaza Persistente Avanzada (APT,
por sus siglas en inglés) patrocinados por estados. Mientras que Rusia, Estados Unidos, China, Corea del Norte, e Irán han
desarrollado poderes militares y han establecido equipos de hackers de sombrero negro, las áreas en vía de desarrollo de
América Latina han enfocado sus esfuerzos en la estabilidad, el crecimiento económico, la defensa nacional, y la lucha contra
el crimen organizado. La combinación de estos factores ha creado un ambiente fácil para hackers motivados por dinero,
estafadores persistentes, e incluso carteles de drogas que trabajan con criminales cibernéticos.

3
El Lado Oscuro de América Latina

Finanza de Amenazas (Threat Finance): El Catalizador del

Crimen Cibernético
La finanza de amenazas está evolucionando en América Latina a medida que los grupos de crimen organizado se enfocan en
las criptomonedas para lavar grandes cantidades de dinero y para entrar a la dark web donde pueden encontrar hackers por
encargo. Los países latinoamericanos están de primeros en la lista de ​los peores países en lavado de dinero​. ​El flujo constante
de dinero en la comunidad de crimen organizado se cuela hacia los mercados de la dark web y hacia el ámbito de crimen
cibernético. Los grupos de crimen organizados y los carteles de drogas en América Latina están aprovechando los avances
tecnológicos en banca digital y en transferencias de dinero. En abril de 2019, agentes del Departamento de Investigaciones
sobre Narcóticos de Brasil (Departamento de Investigações sobre Narcóticos – DENARC) arrestaron a un criminal que
estaba operando una mina de criptomonedas en Porto Alegre. Los agentes incautaron unas 25 máquinas de minado de
criptomonedas, que operaban 24 horas al día y estaban valoradas cada una en aproximadamente US$ 65.000.

Hay varias formas en las que los perpetradores están realizando estas operaciones. CipherTrace, el primer equipo de
criminalística de blockchain, nos comparte su perspectiva:

Mixing Service “Mixer”, “Tumbler”, “Fogger”​: Un tambor o mezclador

de criptomonedas es un servicio que ofrece mezclar fondos en
criptomoneda que sean potencialmente identificables o estén
“adulterados” con otros. La intención es complicar el rastro hacia
la fuente original de los fondos y hacia su ubicación para efectos
de intercambios posibles o de otras entidades asociadas a las
criptomonedas. Esta operación incluye la transferencia de fondos entre
carteras legales web de criptomonedas (wallets) y carteras de la dark
web. Cada transferencia, conocida como salto (“hop”, en inglés), crea
una capa adicional de confusión. Desde la cuenta alojada en la dark web,
los fondos son separados en intervalos aleatorios hacia direcciones
cripto alojadas en TOR para que las transacciones no puedan ser
fácilmente relacionadas entre sí. Una vez que se completa la mezcla, los
perpetradores depositan las monedas recién lavadas en un intercambio
de criptomonedas para ser cambiadas por otras. Las personas que
realizan esta mezcla normalmente cobran una tarifa por transacción Fuente: ​gauchazh magazine
equivalente al porcentaje del total de monedas mezcladas para poder
sostener el negocio, usualmente entre 1 y 3 por ciento.

Lavado a través de Intercambios No Regulados:

La mayoría de los intercambios “legales” con criptomonedas deben seguir políticas de “conozca a su cliente” (KYC, por sus
siglas en inglés) y anti-lavado de dinero (AML, por sus siglas en inglés). Estos intercambios son más confiables, en general.
Sin embargo, al igual que con cualquier nueva labor financiera, los criminales están aprovechando los intercambios no
regulados que no requieren información de registro ni prueba de identificación para propósitos de rastreo. El método en
este caso es similar al de los mezcladores, donde el perpetrador deposita Bitcoin a la cuenta del intercambio y lo ​cambia por
varias monedas distintas a Bitcoin, conocidas como Altcoins Cada vez que se realiza un intercambio, se aleja más y más ​ese
pago original de su cuenta origen. La privacidad y el anonimato de este proceso depende principalmente de las capacidades
de monitoreo del intercambio. Los investigadores estiman que, luego de que se han lavado criptomonedas mediante estos
intercambios, el 97% terminan en países donde hay regulaciones KYC/AML muy débiles, siendo los países latinoamericanos los
principales en estas listas.

Intercambio Peer-to-Peer por Bienes y Servicios

Cantidades masivas de dinero están fluyendo por los distintos grupos grandes de crimen organizado. A pesar de los
numerosos otros métodos utilizados para lavar y mezclar el dinero, algunas personas aún acuden a redes confiadas o a
intercambios ilegales peer-to-peer (P2P) para lavar sus criptomonedas. Aunque este método no es nuevo, está evolucionando
con la introducción de las criptomonedas en el mundo clandestino de los criminales, y está siendo respaldada por la corrupción
política generalizada de muchos países.
4
El Lado Oscuro de América Latina

En 2014, nueve personas fueron arrestadas en redadas

dirigidas a 75 ubicaciones distintas, incluyendo Los Ángeles.
El Buró Federal de Investigaciones (FBI) incautó $90 millones,
principalmente en efectivo, como parte de un escándalo de
lavado de dinero del Cártel de Sinaloa de México. Durante
ese tiempo, Los Ángeles se había convertido en el epicentro
de intercambios de dinero para este cártel, ya que estaban
intentando evitar transferencias de grandes sumas de
dinero. El modus operandi era el siguiente: el Cártel de
Sinaloa secuestraba a una persona y la tenia de rehén. Los
familiares de esa persona estaban en Los Ángeles y tenían
que pagar $140.000 pesos al cártel. El cártel les informaba
que tenían que llevar el dinero a una tienda de ropa en
Los Ángeles, que a su vez utilizaba el dinero para pagar el
cargamento de ropa que recibirían de México. Al momento
de recibirlos, el importador ​pagaba los $140.000 pesos al
Cártel de Sinaloa​. Esta clase de actividades se vuelven ahora Imagen: LA Times

más generalizadas desde que se introdujeron las monedas digitales, y a raíz de esto, las pandillas criminales están creciendo y
expandiendo sus operaciones.

En octubre de 2019, un oficial del operador de pagos panameño Crypto Capital fue arrestado como parte de una indagación
de Polonia por haber, presuntamente, l​avado las ganancias de ventas de narcotráfico​a nombre de un grupo criminar
internacional.13 Ivan Manuel Molina Lee fue arrestado en Grecia y extraditado a Polonia. El Ministerio de Justicia de Polonia
incautó $350 millones de un banco polaco, afirmando que dichos fondos se relacionaban directamente con el lavado de dinero
que Molina Lee realizó para cárteles de droga colombianos utilizando criptomonedas.

Si bien existen múltiples intercambios de criptomonedas disponibles para clientes latinoamericanos, las plataformas P2P
son usualmente el método preferido de monedas fiat (o dinero por decreto) desde o hacia intercambios de criptomoneda en
la región. Durante el 2019 y también hacia el 2020, la conocida plataforma P2P LocalBitcoins registró crecimiento récord en
el volumen de transacciones a lo largo de varios países latinoamericanos. También observaron un crecimiento pronunciado
en el volumen de transacciones otras plataformas P2P como Paxful y CCoins. Los intercambios P2P usualmente no tienen
programas AML y colocan poca o nada de atención a KYC, lo cual permite a los perpetradores criminales usar P2P en lugar de
los intercambios típicos de criptomonedas. El siguiente gráfico muestra el crecimiento rápido en el uso de LocalBitcoins en
varios países latinoamericanos.

Argentina Chile

5
El Lado Oscuro de América Latina

Colombia Venezuela

Muy pocos países de América Latina han establecido leyes para enfrentar al lavado de dinero, y los países que sí las tienen
no las están haciendo cumplir efectivamente. Según estudios hechos por el Basel Institute on Governance, expertos en AML,
Colombia encabeza la lista de ​los cinco peores puntajes de AML​. Los expertos creen que esto no se debe a una degradación
reciente de las políticas sino a histórica dificultad para hacer cumplir leyes. Expertos del Basel Institute también nombran a
la corrupción y los sobornos como un delito predicado al lavado de dinero, y Venezuela tuvo los peores números de 2019 en
corrupción y soborno. El informe ​Venezuela Threat Brief15 de IntSights cubre más de los problemas geopolíticos de ese país
que contribuyen a esta situación de corrupción.

Amenazas Emergentes
Los Hackers Se Unen con los Cárteles
El matrimonio entre bandas violentas de drogas y la comunidad clandestina de hackers es una amenaza emergente
significativa al inicio de 2020. Los dos mundos están combinando su influencia, habilidades, y experiencia para lograr
propósitos comunes, principalmente del tipo financiero.

En 2019, una pandilla criminal llamada “Bandidos Revolution Team” y su líder, Héctor Ortiz Solares – también conocido como
“El H-1” o “Bandido Boss” – fueron arrestados por fuerzas policiales en León, México. Solares era conocido por reclutar
a hackers muy habilidosos que podían escribir código malware para infectar bancos y cajeros automáticos. Sus hackers
escribieron un malware que extrae dinero de los bancos utilizando el Sistema de Pagos Electrónicos Interbancarios (SPEI)
y luego lo deposita en cuentas de terceros. Una vez que se deposita el dinero, la pandilla retira el efectivo y hace compras
grandes, como propiedades o carros de lujo.

Las autoridades informaron que Solares estaba ganando entre 5 ​ 0y

100 millones de pesos cada mes (entre $2,6 y $5,2 millones). En 2018,
el gobernador del banco central de México reportó que la pandilla
había realizado un ataque cibernético que costó a cinco instituciones
financieras 300 millones de pesos (USD$15,2 millones) representados en
transferencias fraudulentas.

El 16 de mayo de 2019, la Fiscalía General de la República anunció en

Twitter que habían inspeccionado 11 casas e incautado 27 carros de
lujo, drogas, armas de fuego, equipos de cómputo, y teléfonos de estas
casas de seguridad de este infame cártel cibernético. Uno de los carros
confiscados era un Aston Martin de USD$30 millones, el cual llamaba la
atención y admiración de hackers de todo el mundo que querían recibir La cuenta en Twitter de la Fiscalía General de la República de México
mostrando los carros de lujo confiscados en una redada.
una porción de estas ganancias.
6
El Lado Oscuro de América Latina

Este es un ejemplo de un problema mucho más grande que atormenta a las fuerzas de la ley en México y en países aledaños
a medida que la digitalización y el acceso a la dark web permiten a los grupos de crimen organizado contratar hackers para
realizar trabajos de gran escala.

Campañas de Phishing de la Próxima Generación

A mediados de 2019, los analistas de IntSight descubrieron una campaña masiva de phishing que estaba siendo iniciada
contra varios bancos grandes en América Latina y en Norteamérica, incluyendo un consumidor. El perpetrador de la amenaza
había creado varios sitios web que asemejaban los sitios oficiales del banco. IntSights emitió avisos de revoque a los
registradores de dominios. El perpetrador fue persistente y se mudó a nuevos registradores y nuevas infraestructuras. Los
investigadores de IntSights indagaron más sobre los registros y chatters del dominio de estos URL. Ellos descubrieron que
los clientes estaban siendo dirigidos hacia los sitios de phishing a través de AdWords falsas en Google y Bing. Estos anuncios
falsos aparecen como vínculos en la parte superior de la página cuando la víctima realiza una búsqueda. Una vez que la
persona da clic al vínculo, abre un sitio de phishing que es
aparentemente idéntico al sitio real del banco.

La víctima coloca sus credenciales que usa para entrar a la

banca digital. La página le redirige a una segunda página, la
cual le pide a la víctima que dé información personal. Esta
información personal sirve para responder procesos de
autenticación de dos factores (two-factor authentication)
y para recolectar información sensible, tal como dirección
actual e información de contacto. En un foro de la dark
web, el perpetrador indicó a otros que leyeran acerca de la
técnica e​ n un artículo de noticias. Este tipo de popularidad
ayuda al individuo a crear una reputación en la comunidad
clandestina.

El sentimiento general ante este perpetrador en los

foros es positivo. Varias personas le han contactado para
preguntarle su información de mensajería y manifestarle
su deseo de hablar con él acerca de este método y de
cómo realizarlo. El perpetrador también ha revelado, a Figura : Tutorial en YouTube acerca de cómo perpetrar un ataque phishing
lo largo de varias interacciones en chats privados, que
tiene hackers que trabajan para él creando estos kits de
phishing.

Esto nos lleva a creer que este tipo de campaña phishing

no está limitada a un individuo, sino que más bien involucra
a muchos hackers que usan el mismo método. En este
caso, permitiría a la comunidad de hackers crear múltiples
dominios y sitios de phishing. Esto explicaría la afluencia Figura : Sitio Wix del perpetrador, haciendo publicidad de sus métodos
de registros de dominio y de sitios phishing sospechosos
que han estado afectando a estos bancos y sus clientes.

“Compras” Carding y Amenazas Internas

El carding es el uso de tarjetas de crédito robadas para
realizar compras fraudulentas. Esta práctica es común
en la comunidad de crimen cibernético latinoamericana, y
los perpetradores han ganado millones de dólares. Esta
práctica se conoce en otros idiomas como “compras”, o
“shopping” en Brasil.

Figura : Publicación del perpetrador en darknetcave.net con promoción de sus tutoriales

7
 El Lado Oscuro de América Latina

Hay cientos de mercados hoy en día que están en la web

superficial, la deep web, y la dark weeb, que ofrecen servicios al
público en general. Los criminales utilizan tarjetas de crédito
robadas para pagar facturas, comprar boletos de avión, reservar
hoteles, y comprar bienes y servicios. El proceso funciona así:
1. Los criminales hacen promoción de un servicio que paga una
factura de un cliente con un precio descontado (por ejemplo,
pagar $50 por una factura de servicios públicos que vale $100).
2. El cliente deposita el dinero en la cuenta bancaria del criminal.
Esto usualmente se realiza en tiendas de conveniencia,
recaudadores de pagos, o tiendas de mercado.
3. Los criminales inmediatamente utilizan tarjetas de crédito
robadas para pagar la factura de parte del cliente. Se quedan el
dinero recaudado. Un grupo privado de “compras” donde los criminales colaboran y se apoyan
mutuamente sus negocios

Los criminales a menudo anuncian estos servicios en redes

sociales, grupos de Facebook, aplicaciones de mensajería,
y Twitter. Utilizan logos que son familiares para el cliente,
como páginas populares de reservas, nombres de bancos, y
compañías de servicios públicos.

Los criminales han utilizado estos métodos para reservar

boletos de avión caros para sus “clientes”. Las aerolíneas han
comenzado a solicitar que la tarjeta que se usó para realizar
la reserva sea presentada en el mostrador al momento del
check-in. Si no se presenta, el cliente debe pagar su boleto en
Ejemplos de anuncios de “compras” publicadas por criminales en páginas de
acceso libre
efectivo para poder montarse al avión.

Los criminales tienen una fuente principal de números de tarjeta de crédito robados: las amenazas internas. El método más
común de adquisición de tarjetas de crédito es a través de empleados que trabajan en los lugares donde se presentan dichas
tarjetas. Los criminales contactan a los empleados por WhatsApp o por redes sociales, ofreciendo una comisión a cambio de
información de la tarjeta de crédito de los clientes. Por ejemplo, en México, los empleados de estaciones de servicio llenan
el tanque de gasolina y procesan la tarjeta de crédito. El empleado de la estación copia la información de la tarjeta y la envía
a estos criminales cibernéticos para que hagan sus operaciones de carding. Comúnmente, se les paga por cumplir metas
mensuales. Otros métodos para obtener información de tarjetas de crédito son a través de trabajos menores de hackeo sobre
aplicaciones web y a través de la ingeniería social.

BINero Fraud
El Fraude “BINero” es una táctica de fraude común en América Latina que tiene un impacto
importante sobre los bancos de la región. El BIN (número de identificación del banco) es los
primeros cuatro o seis números que aparecen en una tarjeta del banco. El BIN identifica
el banco específico que emitió la tarjeta y es crucial para poder relacionar bancos con
transacciones que se dan a nivel mundial. El fraude BIN - o BINero - es la práctica particular
de encontrar números BIN que no sean validados adecuadamente por procesadores de
pago en internet, lo cual permite que ocurran transacciones fraudulentas online. Cuando el
perpetrador descubre una mala configuración entre BIN y procesador de pagos, fabrica el
resto de la información de la tarjeta y realiza compras fraudulentas en páginas populares,
como MercadoLibre y Amazon. El Fraude BINero se discute ampliamente en fuentes
hispano hablantes en la web superficial, y también en las web deep y dark. Los analistas
de IntSights hacen seguimiento continuo de estas fuentes para estar al tanto de nuevas
modas, perpetradores, y modus operandi asociados al fraude BINero. Algunos de los
tutoriales de fraude BINero más populares incluyen foros en grupos de Telegram, grupos
Grupos de Facebook asociados al
de WhatsApp, grupos de Facebook, y fuentes clandestinas de la dark web. Este método es fraude BINero
exitoso y rentable, y no parece estar deteniéndose. 8
El Lado Oscuro de América Latina

Perpetradores en América Latina:

Comunicación y Contacto
Los criminales en América Latina se comunican en plataformas de acceso libre, y es común que no se esfuercen mucho en
esconder sus identidades, a menos de que tengan conexiones con pandillas o cárteles. A pesar de tener acceso a los foros
clandestinos, la impunidad en estos países permite que los criminales usen herramientas de acceso libre para comunicarse
abiertamente con otros. WhatsApp, Facebook Messenger, y Telegram son los métodos más populares por los cuales los
criminales se ponen en contacto y colaboran. En el pasado, ICQ era la herramienta de comunicación más popular para estos
propósitos. Durante los últimos años, WhatsApp ha ganado popularidad como plataforma gratuita de mensajería que permite
chats grupales, conferencias de video, y más.

Los analistas encubiertos de inteligencia de IntSights tienen contacto con los perpetradores en sus plataformas preferidas de
comunicación – usualmente WhatsApp y Facebook Messenger. Han descubierto que los perpetradores están muy cómodos
en estas plataformas porque se lo permiten sus gobiernos locales y son gratuitos. Facebook Messenger, en particular, ofrece
una forma fácil de transferirse desde un grupo de Facebook hacia un chat en Messenger utilizando una sola pestaña del
navegador. Facebook Messenger ofrece ahora un chat cifrado, conocido como modo “secreto”. Es fácil para los criminales
utilizar esta plataforma para cambiarse de conversaciones casuales no cifradas a mensajes cifrados end-to-end para poder
discutir acuerdos de negocios más clandestinos.

Malware Trends
Los troyanos bancarios y el ransomware (secuestro de datos) son las principales amenazas que afectan y surgen de la región
latinoamericana. ​Scitum​, el líder en seguridad informática en América Latina, contribuyó esta información acerca de las
principales modas de malware que afectaron a sus clientes en 2019:

1. Catasia -​Originado en 2014, el malware Catasia distribuía correos electrónicos haciéndose pasar por diferentes
organizaciones gubernamentales de México. Los correos inicialmente contenían un documento en Word con macros
que descargaban el malware en segundo plano cuando se habilitaba. El malware era capaz de acceder a la cámara y el
micrófono de la víctima, permitiendo grabación de video y voz. En versiones más recientes, ha enviado también correos
con archivos .zip en lugar de documentos en Word. La característica más resaltante de este malware es que el atacante
actualiza su funcionalidad, comúnmente para incluir ataques de intermediario (man-in-the-middle) a navegadores.
El malware Catasia ha tenido éxito al ser alojado en infraestructuras que no son maliciosas, donde también se alojan
operaciones de negocios legítimas. La investigación arrojó que solo se está usando sobre objetivos mexicanos, a pesar de
haber sido originado en Colombia.
2. Cosmic Banker - El troyano Cosmic Banker es un malware
que ha tenido un impacto importante en los bancos
latinoamericanos desde el 2018. Scitum lo detectó en
201920 ​cuando tuvo su distribución masiva​. Una de
las características más resaltantes de esta campaña
es que el archivo ejecutable contenía comentarios muy
específicos en el idioma portugués que también habían
sido detectados en otros eventos. La campaña se
enfoca en los credenciales de instituciones bancarias
mexicanas. Sin embargo, el grupo detrás de Cosmic Banker también es autor de otra campaña que se enfoca en usuarios
de instituciones bancarias de Brasil. Algunos de los elementos del ataque coinciden con un artefacto malicioso, bautizado
por Trend Micro como Banload, el cual afectó a varios bancos en Brasil.

Esto fortalece la teoría de que el grupo inició sus ataques en Sudamérica y luego reutilizó el malware desarrollado para
atacar objetivos en México. Utilizar la misma variedad de malware dejó rastros comunes que apoyan la atribución de
esta campaña a los atacantes brasileros. Aunque los indicadores de compromiso, tales como valores hash, direcciones
IP, y dominios cambian durante cada ataque, las tácticas, técnicas, y procedimientos mostrados por el grupo cibernético
cambian con menor frecuencia, en particular el uso de una transferencia de texto limpio desde un archivo comprimido, lo
cual incluye las últimas herramientas del atacante.
9
El Lado Oscuro de América Latina

3. Trickbot - Trickbot es un troyano bancario que se usa en ataques cibernéticos contra pequeñas y medianas empresas
(PYMES). Fue creado para acceder a cuentas online –principalmente cuentas bancarias – para obtener información de
identificación personal (PII, por sus siglas en inglés) y luego usarla en fraude y robo de identidad. Al pasar el tiempo, los
creadores del Trickbot han agregado módulos y expandido sus habilidades. El Trickbot se envía a través de spam malicioso
que contiene documentos de Word, lo cual permite al malware el robo de credenciales y la extracción de datos sensibles
y valiosos.

Trend Micro

Trickbot ha afectado a muchas organizaciones en América Latina, pero México fue atacada más fuertemente por variantes
que enviaban Emotet. Entre finales de 2018 y finales de 2019, el número de robots infectados con Emotet se disparó en
Sudamérica. ​Los huéspedes infectados incluyen organizaciones​en los sectores automotriz, de finanzas, de energía, de
construcción, de comercio minorista, de entretenimiento, de logística, y de tecnología.

4. Ransomware Phobos​ - utilizando servicios vulnerables subcontratados para ganar acceso a la organización. Una vez
El Ransomware Phobos es, por mucho, la variedad más común en el momento, ya que está presente en el 70% de los
incidentes por ransomware. Los atacantes están dentro, los perpetradores extraen credenciales válidas y se mueven
lateralmente hasta que llegan al servidor del Active Directory o Directorio Activo. Posteriormente, deshabilitan el firewall
de Windows y a veces desinstalan soluciones EDR y antivirus, antes de distribuir el malware utilizando Directiva de Grupo
(GPO, por sus siglas en inglés). No cifran la red completa, concentrándose únicamente en los servidores más críticos de la
empresa al mismo tiempo que causan estragos significativos en las operaciones cotidianas.

5. Ransomware Ryuk - El Ransomware Ryuk fue

especialmente efectivo en 2019 y ha atacado
particularmente fuerte en América Latina. La
empresa nacional de petróleo mexicana, PEMEX,
cerró completamente en noviembre de 2019 debido
a un incidente con el ransomware Ryuk. Ryuk es
espcialmente peligroso porque fue creado para
infectar un sistema y para esconderse efectivamente
por un plazo de tiempo mientras el malware busca
los sistemas más críticos de la red para maximizar
su impacto. Numerosas otras organizaciones
latinoamericanas han sufrido por infecciones de Ryuk
a finales de 2019. Se cree que Ryuk es operado por
el mismo grupo que gestiona el malware Trickbot, Carta ejemplo del ransomware Ryuk
grupo bautizado como Wizard Spider, proveniente
de Rusia. Ryuk tiene relación cercana con otros
grupos de malware y se considera una parte de una cadena compleja de infección. Por ejemplo, un reporte22 explica
que R​ yuk es usualmente el último paso ​en un ataque que inicia con malware Emotet que envía el troyano Trickbot. El
Trickbot implementa herramientas para después de la extracción, como Mimikats y Powershell, lo cual permite recolectar
credenciales, manejar un sistema de forma remota, y realizar movimientos laterales dentro de la red. Este proceso permite
al atacante determinar el valor de una máquina y juzgar si vale la pena implementarle Ryuk.
10
El Lado Oscuro de América Latina

Recomendaciones
1. Recolectar, monitorear, y analizar la inteligencia de crimen cibernético para entender y proactivamente defenderse
en contra de amenazas como las que vienen de y afectan América Latina. Las empresas multinacionales y globales y
las instituciones financieras necesitan tener un entendimiento a fondo del adversario y de sus tácticas, herramientas, y
métodos. Un entendimiento más profundo acerca de sus motivaciones y sus situaciones de vida puede ayudar a visibilizar
problemas regionales o nacionales que impulsan la proliferación de crimen cibernético en la clandestinidad.

2. Seguir las mejores prácticas en seguridad. Las campañas de phishing se están volviendo más sofisticadas, y los
empleados y clientes necesitan estar educados al respecto de estas tácticas. Informe a los clientes acerca de amenazas
de phishing e indíqueles cómo pueden esperar que la organización los contacte. Recomiende que escriban el nombre de su
sitio web en lugar de utilizar anuncios de Google o Bing que aparentan ser dicho sitio, e indíqueles que nunca deben digitar
sus credenciales o información de tarjeta de crédito en páginas sospechosas.

3. Dar prioridad al cumplimiento de regulaciones. La Industria de Tarjeta de Pago (PCI, por sus siglas en inglés) está
recibiendo más ataques cada año. Si su compañía recibe pagos vía electrónica, es importante que dé prioridad a los
estándares PCI-DSS para mostrar a sus clientes que pueden confiar en su organización para manejar su dinero y su
información personal. Las organizaciones que operan en América Latina deben prepararse para la inminente legislación en
materia de privacidad de datos.

About IntSights
IntSights is revolutionizing cybersecurity operations with the industry’s only all-in-one external threat protection platform
designed to neutralize cyberattacks outside the wire. Our unique cyber reconnaissance capabilities enable continuous
monitoring of an enterprise’s external digital profile across the clear, deep, and dark web to identify emerging threats and
orchestrate proactive response. Tailored threat intelligence that seamlessly integrates with security infrastructure for
dynamic defense has made IntSights one of the fastest-growing cybersecurity companies in the world. IntSights has offices
in Amsterdam, Boston, Dallas, New York, Singapore, Tel Aviv, and Tokyo. To learn more,
visit: intsights.com or connect with us on LinkedIn, Twitter, and Facebook.

To see the IntSights External Threat Protection Suite of solutions in action, schedule a demo today.

11
Visit: Intsights.com Call: +1 (800) 532-4671 Email: info@intsights.com