Un experto en ciberseguridad se hizo pasar por un directivo corporativo desde un número uruguayo para frenar un complejo ataque de ingeniería social
Deepfakes, la presidenta de México, una toma de rehenes falsa, una empresa cripto, un hacker uruguayo y un intento de estafa de casi 100 millones de dólares.
Esa es la escena que describe Mauro Eldritch, un especialista en cazar amenazas cibernéticas, al reconstruir un intento de extorsión dirigido a Bitso, una de las plataformas de intercambio de criptomonedas más importantes de América Latina.
El episodio, según la narración, se activó con una llamada de un atacante al CEO desde un número presentado como oficial de la Secretaría de Relaciones Exteriores (SRE).
En esa comunicación le preguntaron si podía atender una llamada del secretario de Defensa Nacional mexicano (general Ricardo Trevilla Trejo), y el contacto fue derivado a otros canales.
La secuencia continuó primero por WhatsApp y luego por Signal, una app de mensajería instantánea similar orientada a la privacidad. En esa app, el CEO recibió un mensaje atribuido al General Trevilla Trejo y una invitación a una reunión informativa por Zoom.
Una de las capturas citadas en el texto recoge la frase con la que se intentó justificar el cambio de canal: “Por razones de seguridad, conversemos aquí – General Ricardo Trevilla”. Eldritch afirma que, ante la duda, acordaron que él entraría primero al Zoom.
Al conectarse, la cámara del supuesto convocante se activó y se reprodujo un video deepfake. Allí aparecía un video falso de la presidenta mexicana Claudia Sheinbaum, el General Trevilla Trejo y otros miembros del gabinete en una aparente reunión de emergencia.
La historia que sostenía el video era una “situación de rehenes” con tres ciudadanos mexicanos. Trevilla Trejo cuenta en esa charla de Zoom que, aunque suelen negarse a pagar rescates, en este caso habría una excepción, con un pedido de cooperación económica.
En el mismo tramo se insistió en el manejo “con discreción” y se prometió reembolso. En la conversación se buscó dejar a la empresa “dentro” de una negociación sin un requerimiento formal directo, apoyado en la urgencia y la jerarquía de los supuestos interlocutores.
Eldritch aseguró en un posteo en el blog de Bitso que el deepfake era “inestable”, pero que la estafa general era sólida.
El experto aseguró que los atacantes montaron un esquema con números de teléfono suplantados (eran reales de la SRE y por lo tanto era creíble). También usaron suplantación de personas adecuadas y un ataque dirigido mediante phishing selectivo.
Eldritch les pidio seguir la comunicación con un número de teléfono con el prefijo uruguayo. Y él fue quién asumió el contacto como “Director de Asuntos Gubernamentales”, un título inventado para sostener la conversación.
En el diálogo por mensajes, Eldritch pregunta por el monto solicitado “por la Presidencia” y la respuesta fija la cifra: “1300 BTC”, “89,5 millones de dólares”.
Con el número arriba de la mesa, Eldritch les propone acceso remoto a AnyDesk bajo la promesa de entrar a un sistema “seguro” que tiene una billetera que “contiene los 1300 BTC”.
¿Qué es AnyDesk? Es una empresa de software alemana conocida principalmente por su aplicación de escritorio remoto del mismo nombre, AnyDesk. Su software permite la conexión remota a computadoras personales y otros dispositivos.
Era un engaño a los atacantes para infiltrarse en su modus operandi y así registrar cada “click”. Con esa herramienta, y otra llamada ANYRUN (computadoras seguras donde vos podés registrar cada cosa que pasa, cada click, conexión) para detonar malware.
Pero los atacantes querían otra modalidad de cobro. En una captura se lee: “Ya hemos creado cinco billeteras dedicadas al pago. Cada billetera recibirá 260 BTC”, junto con el pedido de transferencias en cinco tramos.
Eldritch afirma que rechazaron ese esquema e insistieron en el entorno controlado, citando “limitaciones de cumplimiento”. La negociación, en el relato, se volvió una pulseada por quién definía el procedimiento operativo del supuesto pago.
En otra captura, el supuesto general exige tiempos concretos para “informar al Consejo de Seguridad”. Eldritch responde con una ventana: “Una hora máximo, señor general”, y el gobernante mexicano falso responde: “Tomo nota, he informado al Consejo de Seguridad”.
El documento afirma que ese plazo se usó para preparar algunas “trampas” para poder recabar información de los atacantes. Cuando llega el momento de ejecutar el supuesto pago, aparecen dudas del atacante sobre instalar AnyDesk en una computadora “del gobierno”. En la captura se ve la pregunta: “¿Hay alguna otra solución?”.
Eldritch sostiene la importancia de que los atacantes lo descarguen para poder transferirles la plata. Luego de descargarlo, le pidieron que ingresen un código que se conectaría con esa computadora virtual. Y finalmente compartió un link que los llevaría un sitio donde verían las credenciales para acceder a la billetera cripto.
Ese enlace, según el documento, era un token canario. ¿Qué es? Se trata de un archivo que parece normal, pero que avisa cuando alguien lo abre a otra parte. Y puede ser cualquier cosa: un PDF o un enlace a una web. Al activarse, envía información clave como la dirección IP, la fecha, la hora y otros datos técnicos del acceso, lo que permite detectar movimientos indebidos.
Y eso fue lo que sucedió.
“El enlace que enviaste no redirige a ningún código de acceso. Me lleva a la sección del blog de tu sitio”, dijo el atacante. Y era cierto-.
Finalmente, la víctima se había dado cuenta que había sido atacada porque un “supuesto” responsable de ciberseguridad del gobierno le dijo que era un Canary Token lo que le había enviado.
“Por supuesto que no hay credenciales de contraseña”, explicó Eldritch.
El caso está siendo investigado.
