Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon La Policía española investiga si Alcasec y su socio desviaron más nóminas de funcionarios


Al señor Alcasec (José Luis Huertas Rubio) y a su socio Aurelio (Aurex) de Melilla, se les imputa ya el desvío de cinco nóminas de trabajadores de esas administraciones públicas en noviembre de 2021 por valor de 53.000 euros, pero se presume que los ataques tuvieron mayor dimensión. «Se evidencia que se especializaron en la vulnerabilidad de los servicios informáticos de gestión de nóminas de empleados de Ayuntamientos y servicios autonómicos de salud», expone la Policía en un informe.

 


  •  A.M., más conocido como @Aurex en redes sociales, nació el 12 de enero del 2000 en Melilla, pero se fue a vivir a Madrid



 La Policía investiga si Alcasec también atacó hospitales y empresas

Con el análisis de los dispositivos electrónicos intervenidos al joven español José Luis Huertas, alias 'Alcasec', y sus presuntos colaboradores, los investigadores han identificado ya a algunas de las víctimas del robo de nóminas que investiga un juzgado de Granada. Entre ellas, un policía local, un funcionario del Servicio de Urgencia Médica de Madrid (Summa) y un trabajador de una empresa privada de seguridad. También hay otros dos individuos, a los que usurparon su identidad para pedir créditos fraudulentos. Uno de ellos se levantó una mañana y debía a dos entidades financieras 52.000 euros.  


 

En el ordenador de A.M., considerado junto a Alcasec el líder de una organización criminal dedicada a ejecutar ataques informáticos, la Policía encontró «evidencias» de su participación en los hechos como fotografías y pantallazos. De especial relevancia resultan tres vídeos de agosto de 2021 en los que se observa «claramente», según un reciente informe, cómo penetraron al portal del empleado del Ayuntamiento de Fuenlabrada (Madrid) y, en concreto, al de un funcionario de la Policía Local, que nunca llegó a cobrar su nómina de octubre, 2.395 euros.

 

RedLine Stealer

Según explica la Policía, consiguieron sus credenciales utilizando un software malicioso llamado 'Redline' que se puede comprar por apenas 900 dólares en el mercado negro de internet y permite controlar en remoto los equipos que han sido infectados. 

Buscaban a sus víctimas en los boletines oficiales

Según consta en el sumario de la causa que se sigue por este asunto en un juzgado de Granada, buscaban a sus víctimas en el equivalente local al BOE y, una vez tenían el nombre y los apellidos, encontraban su dirección de email en cualquiera de las decenas de plataformas y redes sociales en las que los ciudadanos acostumbran a inscribirse. 

De esta manera, se hicieron con las claves que utilizaba el policía para acceder por internet al portal del empleado del Ayuntamiento de Fuenlabrada, donde se desempeñaba. Esa web interna del consistorio, como tantas otras de empresas y administraciones, muestra el historial del trabajador y le permite llevar a cabo trámites administrativos. Ellos lo que hicieron fue cambiar la numeración de la cuenta bancaria de ingreso de la nómina. Dos semanas después, Recursos Humanos del ayuntamiento validó el cambio cursado por internet.

Y la cuenta que consignaron estaba en Evo Banco, a nombre de un tercero a quien, previamente, el supuesto socio de Alcasec habría usurpado la identidad. En su ordenador personal encontraron varios mensajes que el banco le envío al completar la operación y fotografías del DNI de este tercero.

Cabe recordar que en la banca online no es imprescindible la presencia física para la apertura de una cuenta, basta con el envío de los documentos de identidad y complementar determinada información personal. A.M. tenía pantallazos de todo el proceso de apertura de la cuenta y conservaba los mensajes que le iba enviando el banco cada vez que entraba un ingreso. 

Según el informe policial, con aquella identidad no sólo abrieron la cuenta que recibió la nómina del policía de Fuenlabrada. También pidieron y consiguieron dos créditos de Cetelem y otro de Money Go por importe de 26.000 euros cada uno. Esa persona existía y no sabía nada del tema. Había presentado dos denuncias por usurpación de identidad: estaba endeudado sin haber dado su consentimiento.

En la cuenta de Evo la Policía detectó otros ingresos de nóminas ajenas. Allí entró el sueldo mensual de un funcionario del Summa que ascendía a 1.875 euros, y los 1.445 del empleado de una empresa de seguridad. Ahora los esfuerzos se centran en averiguar hasta qué punto fueron las infiltraciones porque, tal y como reveló este diario, intercambiaron unos pantallazos con un listado de portales de empleado de una veintena de administraciones públicas y empresas. Se sospecha que todos fueron objeto de «manipulaciones informáticas» y se analiza con qué resultado.

De Granada a Madrid

La investigación arrancó en un juzgado de Granada por el desvío de las nóminas de cuatro funcionarios del ayuntamiento de esa ciudad, así como el sueldo de un trabajador de la Consejería de Sanidad de Madrid. A Alcasec y otra decena de jóvenes se les atribuye el desvío de al menos 53.000 euros en salarios ajenos, aunque la Policía ya se ha topado con más víctimas y así, con un importe defraudado que va en aumento.

Cuando se tuvo conocimiento de los ataques, se comunicó la participación de Alcasec en los hechos a la Fiscalía de menores, ya que en las fechas en las que se perpetraron todavía tenía 17 años de edad. Tiene historial, en este sentido. Ha pasado por dos centros de menores, aunque el último ingreso lo fue porque le salpicó otro asunto y el juez, considerando que era una reincidencia, ordenó el reingreso. 

Un tribunal le acabó dando la razón y, al poco de salir en libertad, se coló en el sistema informático del Consejo General del Poder Judicial, sustrajo un millón y medio de datos de más de 500.000 contribuyentes y los puso a la venta, como él mismo reconoció el mes pasado, tras ser detenido, en la Audiencia Nacional. Por el camino, fue citado para responder por el caso nóminas, en el que está imputado.

En cuanto a su supuesto socio, A.M., es un melillense al que constan nueve detenciones. En su historial hay referencias por estafa y usurpación de identidad. Era ya adulto cuando se produjo el desvío de nóminas que ahora se investiga, de acuerdo al informe, y la Policía le sitúa en una posición de liderazgo del supuesto grupo criminal.

 En cuanto a las víctimas, como ya desveló ABC hay policías locales de Madrid y Granada, pero también un letrado de este consistorio, un bombero y otros empleados, tanto de lo público (se investiga si robaron la nómina de médicos de urgencias de Madrid y/o Costa del Sol) como de lo privado (constaban empresas en su lista de objetivos).

La pista, en las fotos

En la cuenta de iCloud (un sistema de almacenamiento en la 'nube' de Apple), vinculada al ordenador de su socio, la Policía encontró 28.200 imágenes y vídeos, incluida una decena de fichas de personal del consistorio granadino que le habría enviado Alcasec junto a fotos de cuentas bancarias con apuntes y dos pantallazos de un chat de Telegram en el que el delincuente bajo el alias @sabormangoloco, y A.M. coordinaban sus golpes.

En este canal de mensajería habrían compartido entre el 1 y el 26 de agosto de 2021 una lista de los portales del empleado web de más de una decena de organismos y empresas a los que habían tenido acceso y desde los que pretendían desviar las nóminas de los trabajadores a una cuenta controlada por ellos.

En esa lista figura una veintena de sitios. «Se observan las direcciones de internet del 'Portal del Empleado' de otras Administraciones y Empresas sobre las cuales se debieron practicar manipulaciones informáticas dirigidas a vulnerar las credenciales de acceso con el fin de sustraer las nóminas de sus empleados o/y las bases de datos personales».

Detalla el informe que los investigadores están realizando gestiones tanto con el Ayuntamiento de Fuenlabrada, como con la empresa de vigilancia y seguridad Grupo Control, la Comunidad de Madrid y la Agencia Sanitaria de Costa del Sol para que les faciliten «cuantos datos tengan en su poder sobre los cambios de nóminas fraudulentos que hubo entre agosto y septiembre de 2021».

En estos casos, las direcciones de sus respectivos portales de empleados que aparecen en la lista de objetivos figuran transcritas junto a la expresión entre paréntesis «cambio de IBAN». Para la Policía, esto indicaría el cambio de domiciliación de una o varias nóminas de empleados que hasta ahora no estaban bajo el radar.

Porque ese era el modus operandi. Colarse en la red con las credenciales del trabajador, previamente obtenidas de manera ilícita (y a golpe de ingeniería informática) y cambiar la cuenta de domiciliación a la que la institución o empresa de que se tratara debía enviar la nómina.

El fraude no se detectaba hasta que el trabajador se interesaba en el departamento de Recursos Humanos por el retraso en el cobro de su salario. Para entonces, el dinero había volado. De hecho, entre las miles de imágenes analizadas, la Policía encontró fotos de A.M. tomadas en las mismas fechas de los ataques posando con 18.000 euros en fajos de billetes de 50.

Los sueldos y los datos

La Policía también está recabando datos sobre intrusiones en el resto de organismos que figuraban en la lista, presumiendo que en todos los casos «eran accesos dirigidos, en principio, a ser vulnerados para el desvío de la nomina de sus empleados».

No obstante, se trabaja para comprobar si se perpetró alguna «exfiltración de bases de datos para fines delictivos», un robo de información personal almacenada en esas administraciones y empresas que luego se puede poner a la venta

«Una prueba de Concepto»

Pero lo peor es que lo detectado hasta que fueron intervenidos podría ser sólo una «prueba» resultado del «progreso» alcanzado por A.M. en materia de hackeos. «Constituye -dice el informe- una PoC (Proof of Concept / Prueba de Concepto) con el objeto de explorar este nuevo vector de ataque a futuro para su elección masiva».

Fuentes:
https://www.abc.es/espana/hackers-robaron-nomina-policia-cargaron-creditos-terceros-20230509013452-nt.html

https://www.abc.es/espana/policia-investiga-alcasec-ataco-hospitales-empresas-20230508175613-nt.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.