Crece el spam a nivel global con el timo bursátil: “pump-and-dump”

Entre diciembre y febrero se registró una caída dramática en el spam a nivel global que, ocasionada por un conocido botnet silencioso: Necurs.

Ciudad de México. Entre diciembre y febrero se registró una caída dramática en el spam a nivel global que, al parecer, fue ocasionada por un conocido botnet silencioso: Necurs. En ese momento no se sabía cuánto tiempo duraría la “interrupción" del spam, ni cuándo o si regresará a su volumen anterior.

Se tenía información de que el botnet Necurs no se había eliminado, sólo estaba más tranquilo que antes. Esto significa que si un equipo forma parte de la botnet de Necurs, aún está infectado, está esperando instrucciones y en cualquier momento puede recibir un comando para despertar y empezar a enviar spam otra vez.

La caída del spam parecía ocasionada por los mismo ciberdelincuentes, quienes podían estar tomando un descanso por alguna razón, tomando vacaciones o huyendo de la ley o de alguna banda rival. 

Regreso al futuro

Ese futuro podría haber llegado ya con grandes volúmenes de spam mundial registrados en estos días, rebotando hasta aproximadamente la mitad del nivel de los picos en el gráfico anterior.

La velocidad por hora de spam ha sido cinco veces mayor que el índice más alto de spam, mostrando el regreso de los zombies Necurs.

Esta vez no se trata de malware, sino de un tipo de estafa de la vieja escuela que no se había visto durante un tiempo, principalmente porque no funcionó muy bien en el pasado: “pump and dump”, que en español significa “bombear y tirar a la basura”. 

En lugar de recibir phishing con enlaces maliciosos, encuestas dudosas o archivos adjuntos infectados, “pump and dump” es un timo bursátil que consiste en seleccionar y comprar un tipo de acciones baratas, difundir un rumor creíble vía email con el objetivo de inflar artificialmente su precio, sumándole cada vez más y más víctimas al fraude. Después los estafadores venden sus acciones a un precio más alto y sacan su beneficio, mientras que el precio de las acciones de los inversionistas que quedan, cae y pierden su dinero.

¿Funciona?

El timing de este tipo de estafas es muy interesante.

InCapta, Inc, compañía que se utilizó para llevar a cabo esta estafa, es lo que a menudo se llama una “penny stock” (empresas que cotizan por menos de 1 dólar americano, generalmente con baja capitalización y poca reputación), incluidas en una bolsa de valores alternativos en Estados Unidos llamada OTC, anteriormente Pink Sheets.

El mercado más informal de OTC se llama OTC Pink y cuenta con algunos riesgos claramente marca

“El Pink Open Market ofrece operaciones en un amplio espectro de valores a través de cualquier broker. Sin mínimos estándares financieros, este mercado incluye compañías extranjeras que limitan su información, penny stocks y sociedades pantalla, así como otras en dificultades, morosas y algo oscuras que no están dispuestas o no son capaces de proporcionar información adecuada a los inversores. Como Pink requiere un mínimo en términos de información sobre la compañía, se recomienda encarecidamente a los inversores que procedan con cautela e investiguen minuciosamente las compañías antes de tomar cualquier decisión de inversión”.

Pero simplemente llevando a cabo una mínima búsqueda sobre INCT se revelaría que su objetivo es ser una compañía de medios que hace programas de televisión, entre otras cosas, y que en el momento en que se puso en marcha esta campaña de spam, parece ser que emitió un comunicado de prensa anunciando la realización de un nuevo programa semanal.

Ni una sola palabra sobre ninguno de los temas que aparecían en los mails fraudulentos que propiciaron el timo, donde se hablaba de que la compañía revolucionaría el mundo de los drones o el cloud computing, absolutamente ni rastro de algo que corroborara las afirmaciones de los spammers.

De primeras, parece ser que la estafa funcionó: el precio de la acción subió repentinamente al inicio del 20 de marzo de 2017, habiendo cerrado a 13 centavos el viernes anterior, subió hasta los 24 centavos el lunes a las 9:30 de la mañana.

El precio entonces volvió a bajar unos 15 centavos a lo largo de ese día.

Con más de cinco millones de operaciones el lunes, las acciones del INCT estaban más ocupadas que durante todo el último año; irónicamente sólo un pequeño número de esas operaciones ocurrió en el precio máximo de 24 centavos, lo que habría limitado la cantidad de “dinero de volcado” que alguien podría haber extraído en ese pico.

Es posible sospechar que quienes recibieron el spam también estaban influenciados por el drástico aumento de 17 veces en el precio de INCT de hacía tan sólo tres meses, donde se produjeron cerca de dos millones de operaciones a un precio de tan sólo 7.5 centavos, seguido de un aumento durante la Navidad, hasta que el precio alcanzó los 1.31 dólares, muy cerca de las supuestas promesas que hacían los ciberdelincuentes.

Alguien podría haber cobrado perfectamente en enero de 2017 y esa parte del gráfico del precio de las acciones podría haber convencido a la gente de que eran legítimas las afirmaciones de terceros sobre ofrecer un 100% de ganancia.

¿Qué hacer?
- Si suena demasiado bueno para ser verdad, seguramente no es cierto.

  • Si parece ilegal, posiblemente lo sea.
  • Si se trata de un correo electrónico masivo no solicitado que confía un secreto “exclusivo” para el remitente… y otros 30 millones de beneficiarios.
  • Detente y piensa, antes de conectar (o como en este caso, mejor no conectes).

La mejor manera de acabar con una botnet es encontrar y eliminar todos los bots, es decir, los ordenadores infectados en todo el mundo. Es un poco como deshacerse de la basura de nuestras calles, algo trivial si cada uno cumple con su parte, pero se convierte en todo un desafío si dejamos a unos pocos que se encarguen de toda nuestra suciedad. ¿Por qué hoy en día no escaneamos y acabamos con todos estos “zombies” de nuestros ordenadores? ¡Sé parte de la solución y no formes más tiempo parte del problema!”.

 

Visto 426 veces Modificado por última vez en Lunes, 10 Abril 2017 18:29
Inicia sesión para enviar comentarios