Estafaron a su esposa y decidió hackear a los ciberdelincuentes para llevarlos ante el FBI

Grant Smith, un investigador de ciberseguridad, nunca imaginó que su vida profesional y personal se entrelazarían de manera tan directa hasta que su esposa cayó un ciberataque, por lo que tuvo que sacar todos sus conocimientos técnicos para encontrar a los culpables y llevarlos ante las autoridades.

El tipo de ataque que sufrió su pareja se le conoce como smishing, una estafa que utiliza mensajes de texto fraudulentos para engañar a las personas y obtener su información personal y financiera, que se ha multiplicado en los últimos años, afectando a miles de personas en todo el mundo.

La historia del hacker que descubrió a otros hackers

Todo comenzó con un SMS aparentemente inocente que llegó al teléfono de la esposa de Smith. El mensaje, que afirmaba ser del Servicio Postal de los Estados Unidos (USPS), solicitaba más detalles para la entrega de un paquete.

Sin sospechar nada, la esposa ingresó su número de tarjeta de crédito en el sitio web enlazado, el cual resultó ser una plataforma fraudulenta diseñada para recolectar información confidencial. Fue entonces cuando Smith decidió que debía hacer algo al respecto.

Determinado a encontrar a los responsables, el experto comenzó a investigar el origen del mensaje. Rápidamente, descubrió que no se trataba de un simple caso aislado, sino de una operación global dirigida por un grupo de ciberdelincuentes de habla china conocido como la “Tríada del Smishing”.

Este grupo había perfeccionado una técnica para enviar mensajes de texto fraudulentos a nivel masivo, suplantando a empresas legítimas como el USPS y dirigiendo a las víctimas a sitios web falsos donde se les pedía ingresar información personal y financiera.

Smith utilizó sus conocimientos avanzados en ciberseguridad para infiltrarse en los sistemas de los estafadores. Mediante técnicas de hacking como la inyección SQL y el salto de directorio (path traversal), logró acceder a las bases de datos y archivos de los sitios web fraudulentos. La inyección SQL le permitió manipular las consultas a las bases de datos, mientras que el salto de directorio le permitió acceder a archivos fuera del directorio raíz del servidor.

Una vez dentro, el experto se dio cuenta de la magnitud de la operación. Los estafadores no solo estaban recolectando datos personales de miles de personas, sino que habían diseñado un sistema extremadamente organizado y difícil de rastrear.

A medida que profundizaba en el código de los sitios web, descubrió múltiples capas de cifrado y técnicas de ofuscación diseñadas para proteger el código de miradas indiscretas. Sin embargo, con la ayuda de herramientas de desofuscación y su vasta experiencia, Smith logró descifrar el código y obtener información crucial sobre cómo funcionaba el sistema.

La impactante cifra de datos robados

Uno de los hallazgos más impactantes fue que el kit de smishing utilizado por la Tríada del Smishing incluía una puerta trasera que permitía al creador acceder a los paneles de administración de los estafadores que compraban su producto. Esto significaba que, además de ganar dinero vendiendo el kit, el desarrollador también tenía acceso a los datos robados por sus clientes, lo que sugiere una doble explotación de los datos filtrados.

Durante su investigación, Smith recopiló una impresionante cantidad de datos. En total, encontró 438.669 números de tarjetas de crédito únicos distribuidos en 1.133 dominios utilizados por los estafadores.

Además, recolectó más de 50.000 direcciones de correo electrónico, entre las cuales se incluían cientos de correos de universidades y dominios gubernamentales o militares. Las víctimas estaban repartidas por todo Estados Unidos, siendo California el estado con más casos registrados. En total se recopilaron más de 1.2 millones de datos personales.

Con toda esta información, el experto en ciberseguridad decidió que era momento de actuar. Aunque sabía que su investigación caía en una “zona gris” legal, ya que muchas de las técnicas utilizadas podrían interpretarse como una violación de la Ley de Fraude y Abuso Informático (CFAA) de Estados Unidos, Smith estaba decidido a detener a los estafadores.

Contactó a un banco estadounidense que se interesó en sus hallazgos tras ver sus publicaciones en un blog. Aunque Smith no reveló el nombre del banco, compartió con ellos todos los datos que había reunido, permitiendo que se protegieran las tarjetas de crédito de las víctimas. Además, entregó toda la información a las autoridades estadounidenses, incluyendo al Servicio de Inspección Postal de los Estados Unidos (USPIS) y al FBI.