Los ciberdelincuentes blanquean fondos robados a través de personas comunes y corrientes, gracias a un pequeño ecosistema de aplicaciones fáciles de usar que pueden convertir a cualquier usuario de dispositivos móviles en una mula de dinero involuntaria.
Un nuevo informe de Cloud SEK describe una de esas aplicaciones: «XHelper», una plataforma Android que conecta a los estafadores con ciudadanos de la India, cuyo trabajo es recibir y reenviar rápidamente fondos robados a terceros desconocidos. Tiene una interfaz limpia y fácil de usar que simplifica todo el proceso y sirve para disfrazar la naturaleza del pago y quién está al otro lado de cada transacción.
La aplicación se está habilitando. matanza de cerdos, estafas de cesiones, préstamos y comercio electrónico, y operaciones ilegales de juego, a gran escala. Actualmente tiene alrededor de 37.000 usuarios activos con alrededor de 16.000 cuentas bancarias verificadas y transfiere la friolera de 160 millones de rupias por día (poco menos de 2 millones de dólares).
Además de XHelper, el investigador de CloudSEK Sparsh Kulshehtra señala: «Nuestra investigación ha identificado esquemas similares en otros países, destacando la necesidad de un frente unido contra el lavado de dinero por parte de personas desprevenidas».
Cómo funciona XHelper
El verano pasado, los ciberdelincuentes chinos fueron capturados 40.000 personas en los cinco continentes en fraude crediticio. Para ocultar tantas ganancias mal habidas, llamaron a una red de cientos de miles de cuentas de pago en línea.
Así fue como los investigadores se dieron cuenta por primera vez de que, además del fraude en sí, también había algo profundamente incorrecto en el fondo. Esto los llevó a XHelper, una aplicación diseñada no solo para ocultar a sus usuarios las fuentes del dinero, sino también su propósito.
XHelper se distribuye online mediante «transferencias de dinero» falsas. Los nuevos miembros son reclutados por «agentes»: personas en Telegram que se hacen pasar por representantes de empresas exitosas que necesitan ayuda para administrar grandes volúmenes de transacciones diarias. Los agentes obtienen bonificaciones por cada nuevo recluta, por lo que la red de lavado de dinero crece y, por lo tanto, se vuelve más sólida.
Como cualquier otra aplicación de economía colaborativa, los reclutadores registran sus datos (pagos) y luego comienzan a aceptar trabajos: en este caso, reciben dinero de una parte y en cuestión de minutos lo envían a otra.
Los usuarios ganan una parte del botín (entre 0,2 y 0,3%), que aumenta a medida que completan más trabajos, obtienen buenas calificaciones y agregan más cuentas bancarias. Los usuarios principiantes pueden mover tan sólo 10.000 o 20.000 rupias al día a través de una o dos cuentas bancarias y ganar unos cientos de rupias (menos de cinco dólares) por sus molestias. Los usuarios de alto nivel mueven decenas de millones en un día normal y ganan miles. Los tres principales usuarios de la aplicación, «shahbaz», «Register26» y «Ranjan1982», ganaron más de 12 millones de rupias (~$145.000) y contando.
¿Se puede detener a las mulas del dinero?
El hecho de que la gente corriente realice grandes cantidades de transferencias de dinero casi instantáneas plantea la pregunta: ¿por qué no los atrapan?
Por un lado, la aplicación ofrece una serie de útiles tutoriales que cubren no sólo cómo usar sus diversas funciones (acompañadas de música alegre) sino también cómo lidiar con situaciones adversas, acompañadas de melodías espeluznantes y más oscuras.
El más importante de ellos es una guía que guía a los usuarios en el registro de cuentas bancarias corporativas, haciéndose pasar por pequeñas empresas. Estas cuentas corporativas les permiten procesar grandes cantidades de transacciones sin generar los tipos de señales de alerta que la misma actividad generaría en una cuenta personal.
Las mulas tienen otros ases bajo la manga, como utilizar diferentes sistemas de pago para las transferencias entrantes y salientes. «Si bien los fondos pueden ingresar a la cuenta de la mula a través de UPI (un popular sistema de pago indio), la aplicación les indica que realicen transferencias a través de IMPS (Sistema de transacciones interbancarias de la India). Esta superposición de métodos de transferencia puede ser un intento de los delincuentes de ofuscar el historial de transacciones y evitar la detección mediante mecanismos de etiquetado», explica Kulshehtra.
Para identificar y frenar este comportamiento, dice Kulshehtra, los bancos, los gobiernos y los reguladores todos tienen un papel que desempeñarasí como las organizaciones que son blanco de estas estafas.
«Educar a los empleados y clientes a través de campañas de formación y sensibilización les permite reconocer y evitar estos esquemas. Este enfoque combinado en comprender la amenaza, fortalecer las defensas internas y aumentar la conciencia de los usuarios crea un fuerte escudo contra el fraude cibernético», concluye.