Mientras lees estas líneas, alguien ha hecho clic en el pop-up equivocado, y dentro de pocos minutos un estafador se hará pasar por técnico de Microsoft u otra compañía para robar su dinero. La actividad en esos «centros de fraude» es mucho más compleja e intensa de lo que imaginamos, y su nivel de organización es notable. El youtuber Jim Browning, conocido por su capacidad de detección y rastreo de estafadores en línea, ha publicado un vídeo con acceso privilegiado a uno de los tantos call centers maliciosos que funcionan en Calcuta.
El concepto de fraude telefónico surgió con la explosión que tuvo el desarrollo de esta tecnología a fines de los años ’50. Sin embargo, hoy la línea de teléfono tradicional es casi una pieza de museo en muchos países, y todo el núcleo de actividad pasa por dispositivos móviles y VoIP. Algunas campañas son masivas, a un punto tal que ni siquiera el cine pudo ignorarlas, y varios canales en YouTube se dedican específicamente a identificar y rastrear a estos estafadores.
Uno de los últimos casos nos lleva a la India, capital mundial de los call centers falsos. El youtuber Jim Browning logró hackear el ordenador portátil en uno de los centros fraudulentos más relevantes de Calcuta, y esto es lo que vio:
Fraude informático en Calcuta
Browning tiene un especial interés en el grupo porque sus acciones van más allá del típico «su PC tiene virus, deme dinero». Una mujer llamada Christy fue víctima de estos miserables, quienes encendieron la webcam de su sistema, tomaron fotos de sus hijos, la amenazaron, y borraron archivos personales.
La campaña se basa en un falso reembolso. El estafador convence a la víctima para ingresar a su cuenta de banco, y le promete un reembolso por un servicio que supuestamente dejará de funcionar, pero al editar el HTML de la página, el estafador falsifica una transacción mayor a la indicada en el paso anterior, y «solicita» a su víctima que devuelva la diferencia sin brindar demasiados detalles al banco de la operación, o como alternativa recomendará una gift card u otra vía de rastreo limitado.
Browning también explica algunos de los recursos técnicos utilizados por los estafadores. Las listas de víctimas se comparten por WhatsApp o correo electrónico. Vox Account es la plataforma (legal y premium) que usan para realizar múltiples llamadas. Su software VoIP de cabecera es X-Lite (llamadas entrantes) y 3CX (llamadas salientes). Y la pieza central de toda la campaña, que es la distribución del mensaje falso sobre el reembolso recibido por cada víctima la primera vez, queda a cargo de una compañía llamada Dialer360.
¿Qué fue lo que hizo Browning? Reemplazar ese mensaje falso con un audio propio, advirtiendo a la gente que la llamada provenía de un call center repleto de estafadores en Calcuta, y aumentar la frecuencia de las llamadas para agotar su crédito en Dialer360 más rápido. Los últimos dos minutos son oro puro, y Browning no tuvo demasiados problemas en identificar a los estafadores, porque uno de ellos publicó las fotos de su boda en línea. El último paso de Browning fue compartir el material con la policía informática de Calcuta, pero lo más probable es que no hagan nada. Es más, incluso me atrevería a pensar que son parte de la campaña…