Por Ricardo Elías Puelles, presidente del Observatorio Peruano de Cibercriminalidad
Socio Fundador del Estudio Elías Puelles
- Introducción
Desde hace algunos años, circula un video en vivo en el que Elon Musk y otros directivos piden transferir criptomonedas (bitcoins y ethereum) a una página que ofrece duplicar el aporte. Se trata de una estafa bastante evidente que recorre diversos canales hackeados de YouTube.
En esta entrada, resumiré algunos eventos recientes, explicaré el camino que recorre el ciberdelincuente y analizaré los delitos que se configuran.
2. El ataque a Comienza PUCP, Daddy Yankee y ATV
Por la tarde del miércoles 05 de abril, nuestra universidad reportó en sus cuentas de Instagram[1] y Facebook[2] que el canal de YouTube Comienza PUCP fue víctima de un ciberataque[3] y que estaba siendo utilizado “para circular un video que difunde enlaces maliciosos”. Se sugería no visitarlo “para garantizar la seguridad de [los] dispositivos”.
Un evento similar ocurrió con la cuenta de Daddy Yankee, a fines de marzo del 2023 y las cuentas de ATV[4], un mes antes. Cuando los ciberataques ocurrieron, la plataforma del cantante puertorriqueño contaba con 48 millones de seguidores, mientras que ATV Noticias y Magaly ATV con 884 mil y 1.05 millones de suscriptores, respectivamente.
3. El video de Elon Musk
Con estos hackeos, los cibercriminales difunden enlaces maliciosos que infectan sistemas informáticos o difunden negocios fraudulentos. A continuación, explicaré el camino que recorre el cibercriminal para llegar a su potencial víctima.
Paso 01: El objetivo del ciberdelincuente es engañar a la víctima para que crea que el enlace compartido no representa ningún riesgo. Si crea una cuenta en YouTube o tiene muy pocos seguidores, no tendrá potenciales víctimas o éstas sospecharán. Entonces, el atacante sabe que debe identificar y acceder a cuentas antiguas o con un número significativo de seguidores.
Paso 02: Una vez que el atacante logra acceder y tener el control de la cuenta, elimina todo rastro del titular y bloquea su acceso. De este modo, cambia la contraseña, correo y nombre del usuario por el de una empresa reconocida en el sector (Tesla), borra el contenido previo e inicia sus transmisiones “en vivo”.
Como se puede apreciar: La cuenta hackeada tenía 19,100 suscriptores, se cambió el nombre a @tslalive32 y se eliminaron todos los videos que almacenaba desde su creación, el 05 de mayo del 2010.
Paso 03: La meta del atacante no es apropiarse de la cuenta sino utilizarla para difundir el enlace o código QR malicioso -los cuales, por razones obvias, he ocultado-. En la imagen se puede observar que el canal desactivó los comentarios para evitar que los delaten y, de esta forma, mantener en error a sus potenciales víctimas.
De esta forma, cuando el usuario ingresa a YouTube, ve un video en vivo de una cuenta a la que está suscrito, sin saber que es una plataforma comprometida. Si por curiosidad ingresa al enlace o escanea el código, posiblemente descargue un malware que afecte su sistema o visite una página de inversión de criptomonedas que, en realidad, es falsa. En este último caso, si el usuario ingresa sus datos personales, credenciales bancarias o transfiere el dinero requerido, el ciberatacante habrá conseguido lo que anhelaba.
4. Posibles delitos cometidos
Si analizamos el caso empleando la legislación peruana, se advierten los siguientes delitos:
- Acceso ilícito (art. 2 de la Ley de Delitos Informáticos o LDI). Cuando el atacante, sin ningún tipo de autorización, vulnera las medidas de seguridad establecidas para proteger la confidencialidad de la cuenta objetivo y, de esta forma, accede al canal de YouTube comete el delito de intrusismo informático, reprimido hasta con 4 años de pena privativa de libertad y 90 días-multa.
- Atentados a la integridad de datos informáticos (art. 3 LDI). Al eliminar los videos y modificar los datos de identificación de su titular, comete daños informáticos. Este delito protege la integridad de los datos y es castigado hasta con 6 años de pena privativa de libertad 120 días-multa.
- Suplantación de identidad (art. 9 LDI). Al cambiar el nombre de la cuenta por el de Tesla, para engañar a los usuarios y que piensen que es una persona jurídica reconocida en el mercado comete este delito, reprimido hasta con 5 años de pena privativa de libertad.
- Atentado a la integridad de sistemas informáticos (art. 4 LDI). La víctima pierde el control de su canal ya que el atacante impide su acceso al cambiar la contraseña y el correo de confirmación. Vulnerar la disponibilidad del sistema se castiga hasta con 6 años de pena privativa de libertad y 120 días-multa.
- Fraude informático (art. 8 LDI) o estafa (art. 196 del Código Penal). Si el atacante instala un malware para acceder a las credenciales personales y bancarias de la víctima o redirigirlo a una plataforma financiera distinta y sustraer su dinero, nos encontraremos frente a una modalidad de fraude informático. Sin embargo, si la víctima es conducida a una página web que le pide transferir dinero -en este caso, criptomonedas- bajo el ofrecimiento de incrementar su inversión, pero luego no obtiene ni la devolución ni la ganancia esperada, estaríamos frente a un caso de estafa.
El art. 11 LDI contempla dos agravantes, aplicables al caso, que permitirían que el juez incremente la pena, hasta en un tercio por encima del máximo legal:
- El agente comete el delito con la finalidad de obtener un beneficio económico. Esta agravante puede aplicarse a todos los delitos enumerados, menos al fraude informático, pues ya prevé esta circunstancia en su configuración y a la estafa, al ubicarse fuera de la LDI.
- El agente comete el delito en calidad de integrante de una organización criminal. Si en la investigación se obtiene información que demuestre la existencia de una estructura criminal, permanente en el tiempo y con distribución de funciones, podría aplicar esta agravante.
Coincido plenamente con la vicepresidente corporativa de Microsoft, Ann Jhonson, cuando señala que “todas las empresas y organizaciones son vulnerables a los ciberataques. No existe la seguridad absoluta (…) La capacidad para recuperarse con rapidez y continuar las operaciones comerciales podría marcar la diferencia entre el éxito y el fracaso de una organización”.[5]
En esta entrada hemos visto que desde un famoso cantante de reggaeton hasta empresas peruanas con miles o millones de seguidores pueden ser víctimas de ciberataques. En este escenario es importante educarnos en ciberseguridad y conocer cómo responder frente a un incidente criminal.
5. Conclusiones
En el caso analizado, el ciberatacante lesionó diversos bienes jurídicos protegidos: disponibilidad, confidencialidad e integridad de los datos y sistemas -atributos de la seguridad informática-, fe pública y patrimonio.
El acceso ilícito, ataque contra la integridad de datos y sistemas informáticos son ejemplos de ciberataques puros, pues las nuevas tecnologías son empleadas como instrumento y fin.
La suplantación de identidad, el fraude informático y la estafa en entornos digitales constituyen ciberataques réplica, ya que se emplean las nuevas tecnologías como instrumentos que facilitan la comisión de delitos tradicionales.
REFERENCIAS BIBLIOGRÁFICAS
[1] Ver: https://www.instagram.com/p/Cqq0ayxvN3Z/?igshid=YmMyMTA2M2Y=
[2] Ver: https://www.facebook.com/100064630297524/posts/pfbid02VEdHZpZopaKgaNKG9tk5h8NvySLzZnb8QKtX6FLHcmMKsELAhKChyEcR866FWj23l/?mibextid=DcJ9fc
[3] Ver: https://instagram.com/comienzapucp
[4] Ver: ELIAS PUELLES, Ricardo. “Vulneran cuentas de ATV en YouTube”. En: https://eliaspuelles.com/uncategorized/vulneran-cuentas-de-atv-en-youtube/
[5] JOHNSON, Ann. “Los profesionales de InfoSec deben aplicar la resiliencia operativa”. En: MORILLO, Christina (Ed). “97 cosas que todo profesional de la seguridad informática debería saber”. Madrid: Ediciones Anaya Multimedia, 2022. p. 24.