Al parecer el gobierno venezolano está intentando hackear a activistas

Investigadores de seguridad y activistas denunciaron un intento descarado por robar nombres de usuario y contraseñas venezolanas para sitios web populares de correo y redes sociales como Gmail, Facebook, Microsoft Live, y Twitter. ​

|
19 Febrero 2019, 2:00am

Imagen: Shutterstock.

Artículo publicado originalmente por Motherboard Estados Unidos.

Según investigadores de seguridad, hackers presuntamente trabajando para el gobierno venezolano en asedio intentaron engañar a activistas para que dieran sus contraseñas de servicios populares como Gmail, Facebook, Twitter, y otros.

La semana pasada el líder de la oposición venezolana, Juan Guaidó, invitó a los ciudadanos a que fueran voluntarios con el objetivo de asistir a organizaciones humanitarias internacionales a entregar ayudas en el país. El presidente Nicolás Maduro se niega a aceptar las ayudas y ha instalado bloqueos con la ayuda de las fuerzas militares a lo largo del puente de la frontera con Colombia.

Las iniciativas de los voluntarios fueron organizadas en el sitio web voluntariosxvenezuela.com. Una semana después, el 11 de febrero, alguien registró un dominio casi idéntico, voluntariosvenezuela[.]com. Y el miércoles, usuarios en Venezuela que intentaban visitar el sitio web oficial y original VoluntariosxVenezuela eran redirigidos al más nuevo, según la firma de seguridad Kaspersky Lab, y usuarios venezolanos en Twitter.

Al estudiar el sitio web falso, los investigadores encontraron sitios de phishing albergados en la misma dirección IP. Y de acuerdo a la firma de seguridad CrowdStrike e investigadores independientes, hay evidencia de que las personas detrás del segundo sitio web, aparentemente falso y malicioso, estaban trabajando para el gobierno de Maduro.

"Es claramente obra del gobierno venezolano intentando identificar a las personas que trabajan en su contra, para que así poder detenerlos", le dijo a Motherboard por teléfono Adam Meyers, el vicepresidente de inteligencia en CrowdStrike, una firma que analizó los ataques.

La dirección IP del sitio web falso estaba albergando varios dominios diseñados para hacer phishing de nombres de usuario y contraseñas de Gmail, Facebook, Instagram, Microsoft Live, Linkedin, y iCloud de Apple, entre otros sitios, de acuerdo a datos públicos recolectados por PassiveTotal y otros servicios de monitoreo de Internet revisados por Motherboard.

Según registros de WHOIS revisados por Motherboard, los sitios de phishing están todos registrados bajo el dominio .ve, el dominio de nivel superior geográfico para Venezuela, que es controlado por CONATEL, la autoridad de telecomunicaciones del gobierno de Venezuela.

A Gmail phishing site.
Así es como el Gmai[.]web[.]ve aparecía para el 15 de agosto de 2018, de acuerdo a DomainTools. Imagen: Motherboard)

Jose-Luis Rivas, un hacktivista local que ha rastreado los ataques, dijo que el sitio web falso tenía un formato para registrar datos personales como nombre, correo electrónico, teléfono celular y ubicación geográfica.

"Eso es lo que están buscando. Identificar quién es de la oposición y hacer arrestos arbitrarios", me dijo Rivas por un chat en línea.

Facebook, Apple, Microsoft, y Twitter no respondieron a una solicitud por declaraciones. DigitalOcean, la firma que estaba albergando el servidor y la dirección IP usada en los ataques dijo que este cancelaba al usuario y sus fondos, después de determinar que "esto fue una violación de nuestros términos de servicio".

Google dijo que va a advertir a los usuarios de los dominios de phishing.

No se obtuvo respuesta de un mensaje enviado a la dirección de correo asociada con los dominios de phishing.

Meyers dijo que no tienen los datos suficientes para saber exactamente qué tan efectiva fue la campaña de phishing. Pero los hackers pudieron haber atacado potencialmente a cientos de personas, dado que Guaidó dijo recientemente que casi 100.000 personas se habían registrado para ayudar a llevar la asistencia.

Rivas dijo que los visitantes venezolanos de VoluntariosxVenezuela eran redirigidos al sitio falso por el ISP CANTV controlado por el Estado, que estaba manipulando el Sistema de Nombres de Dominio, o DNS por sus siglas en inglés. Otros tecnólogos y usuarios de Internet en Venezuela reportaron los mismos hallazgos.

"Claramente es un esfuerzo concertado para hacer phishing a credenciales de víctimas en Venezuela", dijo Meyers.