28 de febrero de 2017

Por qué las nuevas tarjetas 'contactless' no son tan seguras como crees

Será un gesto cada vez más cotidiano: al pagar, ya no meteremos la tarjeta de crédito por la ranura del datáfono, sino que la acercaremos unos centímetros al dispositivo de pago y, sin contacto físico (de ahí lo de 'contactless'), vía comunicación inalámbrica, pagaremos. Si la compra es menor de 20€ no tendremos ni que poner el PIN. Rápido, fácil, indoloro pero... ¿seguro? No tanto como parece.
"Alrededor del 80% de nuestras tarjetas ya son 'contactless' y el objetivo es que a finales de 2016 sea el 100%", asegura a Teknautas un portavoz de ING Direct. La misma situación se comparte en el resto de entidades financieras españolas, decididas a acabar el año con esta nueva forma de pago convertida en estándar. Pero algunos no lo ven tan claro, como el profesor de la Universidad de Zaragoza, Ricardo J. Rodríguez, quien lleva años investigando los posibles fallos del 'contactless'.
El año pasado, Rodríguez y su alumno José Vila demostraron en diversas conferencias de seguridad informática cómo una 'app' maliciosa en el móvil, con capacidad para "leer" de forma inalámbrica los datos de nuestra tarjeta, podría robarlos. Por ejemplo, si móvil y tarjeta estuviesen en el mismo bolsillo. Después, la 'app' mandaría los datos a otro 'smartphone', desde el que se pagarían compras por cantidades que no necesitan PIN.
Expertos en seguridad consiguieron pagar en un TPV en Madrid con una tarjeta de crédito 'contactless' ubicada en Nueva York, a más de 8.000 km
En una prueba de concepto, consiguieron pagar en un terminal punto de venta (TPV) TPV en Madrid con una tarjeta de crédito ubicada físicamente en Nueva York, a más de 8.000 km, donde Rodríguez estaba dando la charla. La demostración provocó expectación mundial y, aunque algunos fabricantes de tarjetas trabajan en solucionarlo, a día de hoy el ataque sigue siendo viable. "Las tarjetas de crédito NFC son parcialmente seguras", explica a Teknautas el investigador. El problema reside en el protocolo de comunicación de la tarjeta, llamado NFC por ser las siglas en inglés de "Comunicación en el Campo Cercano".
Miguel Herrero, del Instituto Nacional de Ciberseguridad (INCIBE), lo explica muy bien: "En el campo cercano se produce un fenómeno de inducción magnética entre las dos antenas de los elementos que se desean comunicar", en este caso el TPV y la tarjeta. Esta tiene la antena embutida dentro, no se ve a simple vista, sólo a través de rayos X. La antena NFC se puede meter también en teléfonos móviles o pulseras, dispositivos que ya están bastante maduros para funcionar como métodos de pago".

Delincuentes a 10 centímetros

El campo de acción de una tarjeta NFC se limita, según Herrero, a unos 20 centímetros, "10 centímetros en la práctica". Esto obliga al delincuente que quiera robar datos de la tarjeta a acercarse mucho a la víctima, en entornos de masificación como el tren en hora punta o una discoteca. Pero, si lo consigue, tiene vía libre porque el problema de estas tarjetas es que "son simpáticas con los desconocidos", bromea Ricardo J. Rodríguez. O sea: sus datos no viajan cifrados y los dan a cualquier 'app' o dispositivo que se los pidan.

(Foto: Corbis)
(Foto: Corbis)
En un informe reciente, el CERT gubernamental español avisa claramente sobre este problema: "La tecnología NFC es insegura tal y como se ha demostrado en multitud de trabajos científicos, en donde se han relatado sus problemas de seguridad inherentes que son, básicamente, la escucha secreta o a escondidas, la alteración de la información transmitida y los ataques de retransmisión".
Según el informe, un dispositivo equipado con antena NFC puede leer y copiar los siguientes datos de una tarjeta de crédito también NFC: "Número de tarjeta, fecha de expiración, titular de la tarjeta e histórico de transacciones realizadas con la tarjeta, no sólo mediante NFC sinó también las verificadas con el chip de la tarjeta", algo que entra ya en el terreno no sólo del robo sino también de la violación de la privacidad.
Con esta información es posible clonar la tarjeta y usarla en compras menores, como sugiere Rodríguez: "Una tarjeta clónica para sacar el café en la máqina, subir al metro o fichar en la oficina". Cabe aclarar, dice el informe, que "los fabricantes de tarjetas están limitando al máximo la información que se filtra por NFC, evitando que las nuevas tarjetas emitan el titular y el histórico".
Otro ataque sería la modificación de la información que se transmite entre la tarjeta y el TPV: se podrían abortar la transacción o bloquear la tarjeta
Por contra, las nuevas 'apps' que están emitiendo las entidades bancarias, que permiten que nuestro móvil funcione como un TPV con tecnología NFC, aumentan el parque de teléfonos con capacidad para espiar los datos de las tarjetas de las personas que tienen más cerca. Ahora bien: estas 'apps' llevan los datos del dueño del móvil asociados, incluído su número de cuenta, por lo que si hubiese un robo por esta vía sería muy fácil localizar al ladrón.
Otro tipo de ataque que detalla el informe del CCN-CERT español sería la modificación de la información que se transmite entre la tarjeta y el TPV: algunas triquiñuelas podrían conseguir abortar la transacción o bloquear la tarjeta.
Por último, las tarjetas NFC son vulnerables a ataques de "relay" como el demostrado por Rodríguez y Vila. En un convención en Nueva York, Ricardo robó en directo los datos de una tarjeta NFC con una 'app' en su móvil y los mandó al móvil de Pepe, en Madrid, quien con este móvil realizó un pago de un euro en el TPV de su oficina. Así, una tarjeta que teóricamente sólo puede pagar a 10 centímetros de distancia, pagó a 8.000 kilémetros.

Ataques solo posibles con móviles Android

Este ataque, aún vigente, sólo es posible usando móviles Android pues, a partir de la versión 4.4 de este sistema operativo se incorporó la "mejora" de que el móvil pueda emular una tarjeta. En este contexto se entiende que, hace un par de semanas, corriese como la pólvora en las redes sociales la foto de una persona en el metro, con un terminal de punto de venta (TPV) en la mano.

El investigador zaragozano Ricardo J. Rodríguez
El investigador zaragozano Ricardo J. Rodríguez
El texto que acompañaba la foto aseguraba que el ladrón se acercaba a las personas que tuviesen tarjetas NFC en su cartera y, al ser la distancia entre ellos menor a 10 centímetrosm, podía cobrarles compras por menos de 20€, sin PIN. Investigadores de seguridad, fuerzas de la ley y bancos se apresuraron a desmentir la información, entre ellos Carlos García, quien aseguraba en su blog: "No podemos decir que sea falso, pero personalmente sí me atrevería a afirmar que es poco probable que algún delincuente realice el fraude de este modo".
Los motivos que aduce García son el hecho de que ir con un TPV en la mano "canta", aunque cantaría menos si fuese un móvil con una 'app' que lo convierte en TPV. Por otra parte, asegura García, gran experto en ondas, hay dispositivos como los Proxmark3, pensados para espiar y clonar señales de radio frecuencia (RFID), cuya antena aumentaría mucho el alcance del TPV o del móvil que funcionase como tal: "Su coste puede parecer elevado (unos 400 euros), pero si se valora el beneficio que un cibercriminal puede obtener, la cosa cambia. Además de este dispositivo existen otros con capacidades técnicas superiores a las de un TPV y un precio no superior a los 50 euros".
Pero el argumento más convincente para nuestra tranquilidad es, como asegura Carlos García, que ni la policía ni Visa aseguran haber detectado robos usando esta técnica. Fuentes bancarias nos lo confirman: "Tras haber migrado una importante cifra de nuestras tarjetas a NFC no ha aumentado el fraude; más bien ha disminuido respecto de aquellos tiempos en que se llevaban nuestras tarjetas y nuestro DNI en un platillo para cobrarnos".
Los bancos tranquilizan: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia de uso y el posible fraude"
No hay banco consultado que no asegure que estamos ante una tecnología "madura y segura". Así lo afirman en ING Direct: "Se trata de buscar un balance entre la ventaja que se ofrece al cliente, su experiencia, la mejora de un servicio, y el posible fraude". O en el blog de BBVA: "La tecnología 'contactless' es segura y además existen mecanismos para aumentar la seguridad de tus tarjetas".
Estos mecanismos serían la posibilidad de que el banco ponga a 0 el monto de compras que se pueden hacer sin PIN o, lo que es lo mismo, que todas las compras con NFC requieran PIN, también las de menos de 20€, posibilidad que algunos bancos permiten, como BBVA, y otros no, como ING Direct, por razones logísticas.
En todo caso, la mayoría de bancos bloquearán nuestra tarjeta NFC si durante un mismo día se han realizado demasiadas compras sin PIN, siendo el número tope entre 5 y 7. Otra medida es que no se permiten realizar dos compras sin PIN muy seguidas. Hay bancos cuyas 'apps' nos avisan cuando hemos hecho una compra y que incluso nos permiten configurar la tarjeta para que se "apague" temporalmente o en determinadas circunstancias, como compras en una tienda o vía datáfono. En todo caso, seamos clientes del banco que seamos, si somos víctimas de un fraude el banco nos devolverá el dinero, previa presentación de denuncia a la policía.
Para no llegar a este extremo existen estrategias de protección que evitan que alguien "chupe" los datos de nuestra tarjeta: llevarla dentro de una funda de papel de aluminio o en un billetero creado especialmente para este menester. Desde INCIBE añaden: "La mejor medida para nuestras tarjetas NFC es la prevención, no descuidarlas y desconfiar de la gente que se arrime demasiado a tus bolsillos".

(Foto: Corbis)
(Foto: Corbis)
El investigador zaragozano Ricardo J. Rodríguez añade, respecto a los ataques de "relay" que demostró que eran posibles: "Las tarjetas nuevas, al menos las de Mastercard, están empezando a incorporar mecanismos de protección, como los protocolos de acotamiento de distancia que permitirían poder detectar cuándo una tarjeta NFC se está leyendo de manera ilegítima. Sin embargo, esto puede ser complicado llevar a la práctica ante la cantidad de dispositivos móviles NFC que abundan en el mercado, o las propias apps de determinados móviles que "realmente" están haciendo ellas mismas un relay con el banco".
¿Usa Ricardo J. Rodríguez tarjetas de crédito 'contactless'? "Sí, me parecen muy útiles y es una tecnología que ha venido a quedarse, e irá a más en los próximos años. Quizá hasta desaparezcan las tarjetas de crédito y llevemos únicamente el móvil con capacidades NFC o... ¿el reloj inteligente con NFC?". Seguro que lo veremos.

Se disparan las estafas a empresas españolas con los 'emails' del 'fraude al CEO'

Banca, infraestructura, seguros... no hay prácticamente gran empresa española que en los últimos meses no haya sufrido un intento de lo que se conoce como 'fraude al CEO'. Consultoras y organizaciones de ciberseguridad avisan de un importante repunte de este delito, que consiste en mandar 'emails' falsos, creados a la medida de los altos directivos de una compañía, donde se les engaña para que realicen transferencias de cientos de miles de euros.


Lo que se describe a continuación es el caso real de lo que sucedió recientemente en una empresa española, según han confirmado varias fuentes consultadas: los criminales investigaron durante semanas a los directivos, así como a la empresa. Todas las vías de información públicas sobre la firma estaban controladas: blogs, Twitter, Facebook... Usaron LinkedIn para saber con qué otras compañías y directivos hacían negocios. Y en el apartado "Quiénes somos" de la web corporativa les fue fácil ver el árbol jerárquico de cargos, nombres y direcciones de correo.
Cuando los criminales se sintieron seguros, mandaron un email al consejero delegado (CEO), con un archivo adjunto que simulaba ser el fichero de nóminas. El email tenía una peculiaridad: no se mandaba desde el dominio auténtico de la empresa (CEO@laempresa.es), sino desde CEO@1aempresa.es. La letra "l" se había convertido en el número "1", pero no era fácil distinguirlo, sobre todo porque lo mandaron a una hora en que sabían que el CEO lo recibiría en el teléfono móvil.

Todo comienza con un correo aparentemente normal.
Todo comienza con un correo aparentemente normal.
"Si lo ves en el ordenador, te chirría, pero muchos altos directivos lo ven a través del móvil, donde sólo te sale el nombre y no te das cuenta de que la dirección no es correcta. Eso está produciendo que este tipo de ataques tengan más éxito", explica a Teknautas Jorge Chimea, experto del Instituto Nacional de Ciberseguridad (INCIBE). El CEO no vio el cambio y no desconfió, pinchó en el fichero de nóminas adjunto y dió entrada a un código malicioso en su teléfono. A partir de aquí, los criminales pudieron espiar todo lo que pasaba por su móvil, especialmente mensajería y correo.
Unas semanas más tarde, los defraudadores ya se habían empapado de con quién solía hablar el directivo, cuál era la jerga de la empresa, con qué compañías operaban, en qué contratos se estaba trabajando en aquel momento y, muy importante, los procedimientos para ordenar transferencias y quién las realizaba. Ya sólo bastó esperar a que el CEO hiciese un viaje que requería un par de horas de avión.
Muchos altos directivos ven el correo a través del móvil, donde sólo te sale el nombre y no ven que la dirección no es correcta
Media hora antes de que saliese el avión, el contable encargado de las transferencias recibió un email del CEO (recordemos que su cuenta había sido 'hackeada' y los criminales podían mandar emails en su nombre). El supuesto CEO le ordenaba pagar 600.000 euros a una cuenta bancaria, advirtiéndole: "Dale total prioridad". Al estar el CEO en un avión, el contable no pudo contactar con él para confirmar la orden. Y la ejecutó.
Cada vez hay más empresas españolas, grandes y también pymes, que han sufrido intentos de "fraude al CEO" y cada vez más con éxito. No existen estadísticas oficiales al respecto, pues este fraude se diluye estadísticamente con el resto de fraudes informáticos, pero las principales consultoras de seguridad y el INCIBE comparten la percepción de un importante aumento. "Desde principios de 2017 está creciendo mucho, al menos que se nos haya informado, pues muchas veces ni se enteran", explica Jorge Chimea.

De 30.000 euros hasta los dos millones

Dentro del "fraude al CEO" hay variantes: a veces, la cuenta de correo asaltada no es la del CEO sino la del contable y las transferencias se ordenan directamente desde la misma. Puede que tampoco se robe el dinero de golpe sino por partes: un día se ordena una transferencia de 30.000, otro día de 600.000 y quizás el contable ya sospeche cuando se le pida que transfiera un millón.
En otras ocasiones, los criminales no necesitan espiar el correo del directivo para saber cuándo no estará en la ciudad: basta con ver que su nombre aparece en la agenda pública de un acto. Muchas veces no se entra en los ordenadores de la empresa, simplemente se mandan 'emails' para ver si pican, aprovechándose de la buena fe e ignorancia respecto a esta estafa. Lo que es común es dar prisas, poner nervioso al contable para que no tenga tiempo de pensar en lo que hace.

En otro reciente ataque a un bufete de abogados español, donde se habían ordenado varias transferencias fraudulentas, el banco se avino a anularlas, pero otras veces no se llega a tiempo, sobre todo si el fraude se descubre meses después, lo que puede suceder cuando no llevamos un registro exhaustivo de los movimientos bancarios.
"La 'estafa al CEO' está teniendo una gran incidencia debido a su gran efectividad, bajo riesgo para los criminales y los grandes beneficios obtenidos", aseguran fuentes consultadas de la Policía Nacional. En mayo del año pasado, este cuerpo desarticuló a una importante banda que había realizado estafas que iban de los 20.000 a casi los dos millones de euros, siendo la mayoría de 600.000 euros.
En total, 43 personas fueron detenidas en Madrid y Toledo y una en Reino Unido. Entre ellos había bastantes empresarios españoles que blanqueaban el dinero, y algunos cabecillas nigerianos. 'Hackeaban' las cuentas de correo de directivos de empresas y, cuando habían entrado en una, se hacían pasar por el directivo para engañar a otros empleados o clientes, simulando compartir un documento en la nube, por ejemplo en Google Drive, donde había que introducir nombre y contraseña para acceder. Así conseguían más credenciales para seguir con las estafas.

Efectivo incautado en una de las operaciones a ciberdelincuentes que utilizaban el método del 'fraude al CEO'. (Foto: Policía Nacional)
Efectivo incautado en una de las operaciones a ciberdelincuentes que utilizaban el método del 'fraude al CEO'. (Foto: Policía Nacional)
Una de sus tácticas consistía en buscar indicios de transacciones que estuviesen en proceso de realizarse en las cuentas de correo comprometidas. Entonces, explican fuentes de la Policía, "intervenían en el último momento, mediante el envío de un correo en el que suplantaban la identidad de la cuenta monitorizada, para modificar la cuenta bancaria destinataria de la contraprestación económica del negocio, alegando problemas con la entidad original".
El negocio de los cibercriminales eran tan boyante como para que los agentes les interviniesen 200.000 euros en efectivo, 12.820 dólares en metálico, 10.000 libras y 500.000 euros bloqueados en tres bancos, procedentes de los últimos golpes, más 12 vehículos y el material de 'trabajo': 35 ordenadores, 80 móviles y 20 tabletas.

¿Cómo evitar el 'fraude al CEO'?

La formación de los empleados y directivos es el arma más importante para combatir este delito, afirma Jorge Chimea. Recientemente, el INCIBE publicaba una alerta de nivel 4 (Alta) relativa al 'fraude al CEO', donde se muestran emails extraídos de casos reales. Según el INCIBE, además de la formación debe haber una correcta seguridad informática en la empresa e implantar procedimientos seguros para realizar pagos, que exijan doble verificación mediante una llamada al director.
Desde la consultora Deloitte, el experto en ciberinteligencia Samuel de Tomás recomienda, además de la tan necesaria concienciación, "informar siempre al departamento de seguridad si se sospecha de algo, como correos o transferencias raras; también incorporar controles a la hora de mover el dinero y revisar de forma constante las transferencias para evitar anomalías, porque puede que te estafen y no te des cuenta".

Dridex, el troyano más temido que roba tu cuenta corriente vuelve a la carga

Clientes de al menos tres entidades bancarias españolas han sido víctimas del virus Dridex. Este programa malicioso es uno de los ladrones virtuales más sofisticados conocidos hasta la fecha, orientado a robar nuestra cuenta corriente sin que nos demos cuenta. Después de más de un año inactivo en España, vuelve en el contexto de una campaña de ataques a bancos de toda Europa.


Gran Bretaña, Suiza, Alemania y otros países europeos están en alerta por una campaña de ataques del troyano bancario Dridex, que amenaza también a bancos españoles, según ha confirmado a Teknautas las firmas de seguridad GoNet Fraud Prevention & Intelligence e Hispasec Sistemas. Ambas han investigado varios ataques recientes a clientes de al menos tres entidades bancarias en nuestro país, aunque han preferido no desvelar el nombre de las compañías.
La campaña se inició en enero y está usando nuevas versiones de Dridex, que ha sido mejorado con complejos métodos para evitar ser detectado cuando infecta los ordenadores: "Se hace pasar por procesos legítimos de Windows", explica Fernando Díaz, de Hispasec. Además, en vez de instalarse en el disco duro, como la mayoría, se esconde en la memoria, donde los antivirus no pueden "verle".

(Foto: Reuters)
(Foto: Reuters)
Este nivel de complejidad y refinadas técnicas de engaño son los que hacen que Dridex sea admirado incluso por quienes lo combaten. Lo más preciado es su motor de exploración avanzada, capaz de detectar el banco en el que opera su víctima y, sea el que sea, navegar automáticamente por la web de esa entidad hasta realizar él solito una transferencia.

Cómo funciona

Dridex es un troyano de élite desde el principio, desde que se manda en campañas de correo electrónico no solicitado que distan mucho de ser el típico spam cutre. Los mensajes llevan nombres y apellidos correctos y se mandan desde proveedores legítimos que son abusados, lo que significa que no serán marcados como spam. El virus viaja en una factura adjunta en formato Word que pide que se activen las Macros para verla. O en un .zip que lleva un Javascript dentro.
Si se abren estos ficheros, el código malicioso entra en el ordenador y se pasea como Pedro por su casa, mirando qué programas tenemos instalados. Abre una comunicación con los malos y les informa de si está en un ordenador particular o de una empresa. Si está en una empresa, le mandarán programas para espionaje y robo industrial. Si está en un ordenador particular, le instalan Dridex.
Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco
El ordenador infectado pasa a formar parte de una botnet, con miles o millones de ordenadores bajo el control de los delincuentes, que pueden incluso instalarles ransomware. Según investigadores suizos, las nuevas muestras de Dridex detectadas "están usando diferentes botnets, cada una con su propia configuración dirigida a atacar un país concreto o un grupo de países".
Si tenemos las contraseñas del banco memorizadas en el navegador, Dridex las roba. Si no, espera hasta que tecleamos la dirección web de nuestro banco. Entonces, nos muestra una simulación de la web en el navegador y, cuando escribimos las credenciales para entrar, creyendo que estamos en el portal del banco, las graba. Este es el punto de no retorno.
"Es muy difícil para un usuario común detectar algo raro en el comportamiento de su banca a distancia, la 'experiencia de usuario' conseguida por el malware es completamente creible", asegura Fernando Carrazón, COO de GoNet FPI, para quien lo que hace más peligroso a Dridex es "la total apariencia de legitimidad, pasando desapercibido a los ojos del usuario, y las técnicas de engaño simulando transferencias erróneas".

(Foto: Reuters)
(Foto: Reuters)
Cuando Dridex tiene nuestras credenciales, ya no nos necesita, es todo automático: mira cuánto dinero hay en la cuenta, calcula un tanto por cierto y realiza una transferencia por este monto a la cuenta de una "mula". Carrazón destaca "la velocidad a la que Dridex realiza las operaciones, completamente integradas en los portales de banca a distancia por las inyecciones de código que realiza su motor".
Además explican desde GoNet, en esta campaña los delincuentes están yendo muy rápido, realizando los robos "en un único día, desmantelando y empezando de nuevo en otro lado". No se conocen de momento cifras de afectados, de dinero robado ni entidades afectadas, sólo los avisos tempranos de investigadores en toda Europa.

Sigue vivo

A Dridex se le creyó muerto a finales de 2015, cuando ya había robado 40 millones de euros a clientes de bancos en Estados Unidos y Europa, también en España. Una operación conjunta de las fuerzas de la ley europeas, el FBI, entidades bancarias e incluso empresas de seguridad como la española S21sec, que jugó un importante papel, consiguieron desmantelar a parte del grupo de delincuentes del Este de Europa que operaban la botnet, una banda llamada Evil Corp.
A principios de 2016, la botnet de Dridex empezó sorpresivamente a instalar en los ordenadores que tenía esclavizados un antivirus gratuito de la empresa Avira, capaz de detectar y eliminar el troyano. "Se sospecha que un hacker de sombrero blanco habría discretamente penetrado la red de distribución de Dridex y cambiado la configuración para distribuir el antivirus", explica la Wikipedia.

Un especialista en seguridad informática analiza el impacto de un ciberataque reciente en Europa. (Foto: Reuters)
Un especialista en seguridad informática analiza el impacto de un ciberataque reciente en Europa. (Foto: Reuters)
el código no muere ni puede ser encarcelado, así que otras bandas, mayoritariamente del Este, lo retomaron durante 2016, en campañas más pequeñas, usando la botnet de Dridex para distribuir ransomware, como Cerber o Locky, o bien para robar a clientes de bancos. Desde agosto de 2016 no se sabía nada de Dridex en Europa. Y, en España, desde finales de 2015. Mientras, aquí nos han infestado otros troyanos bancarios, menos estilosos pero mucho más implantados, siendo el rey ZBot y sus variantes Panda o Sphinx.
Las mejores medidas preventivas para no caer en las garras de estos virus son "desconfiar de correos electrónicos con remitentes desconocidos y obviamente, no ejecutar los adjuntos", resume Fernando Carrazón. No ejecutar Macros aunque nos lo pidan es también recomendable. Asimismo, usar antivirus pero no fiarse ciegamente, porque a veces no detectan estos troyanos.

19 de febrero de 2017

La gran estafa

¿Como empezar a contar que un niño de 22 años ha estafado mas de 200.000€ a cientos de personas durante más de dos años ? ¿Y como puedo seguir contándoles que ese niño está en la calle y continúa haciendo lo que hace ? Y lo mejor de todo… ¿como puedo hacer para que se lo crean?



Alex reside en Barcelona, en un piso de alquiler cerca del barrio de la Mina (uno de los barrios más desfavorecidos y con más delincuencia de Barcelona), donde guarda buenas relaciones y presume de ello, sus padres Antonio Guillermo Rodríguez residente en Tenerife y Carolina Rodríguez residente en también en Barcelona así como su mujer Estefanía Toscano Alcaide son cómplices de sus estafas ya que toda la familia lo encubre, pues viven de él, y el a su vez de sus estafas.

Alex ha ido perfeccionándose a lo largo de los años y es que dedicado el 100% de su tiempo a ello, hasta convertirse en un estafador profesional, dejando tras sus estafas un hilo apenas rastreable, con el que poderlo seguir se hace complicado de cara a los afectados que a nivel particular o colectivo quieren rastrearlo, para advertir a la población y llevar pruebas a las autoridades (haciendo el trabajo de estas).

Y es que Alex se ampara bajo una sucesión de fallos en el proceso policial y judicial, que hacen que aun habiendo estafado a más de 400 personas en los últimos años y estimados más de 200.000€ siga intocable judicialmente hablando, y en la calle estafando a decenas de personas a la semana.

Alex se aprovecha de que en el código Penal vigente establece que para que la estafa sea delito lo defraudado debe superar los 400€, al no sobrepasar dicha quántica en sus estafas, la infracción penal quedara en falta de estafa y no en un delito.

Empezaré diciendo que has sido listo si estas leyendo esto antes de enviar 300€ o 400€ a una cuenta bancaria de la Caixa (banco que suele utilizar) a nombre de cualquiera que sea la persona que va a utilizar para cobrarlo. Ahora te puedo decir que no, no lo envíes.
Todo esto empezó hace unos dos años, cuando me disponía a cambiar de teléfono y acudí a una de las apps de moda en compra-venta de artículos de segunda mano, Wallapop. Al poco de buscar topé con un Iphone 5 y lo que parecía una buena compra. La historia que viene ahora me limitaré a resumirla en dos detalles que diferencian una típica estafa de esta en concreto.

¿Como pude pensar que dándome su DNI (es verdadero) tendría algún poder sobre él ?, y segunda y más apabullante, ¿ Como es tan hdp para una vez estafado reírse de mí ?

Así es amigos, negaros a enviar dinero en transferencia bancaria porque con una simple foto del DNI, estar en paradero desconocido y ser la estafa menor a 400€, vuestro dinero cambiará de manos para siempre.


Y tal y como les contaba se rió, se ríe y seguirá riéndose mientras la justicia se lo permita. Les he dejado por aquí alguna de las fotos que me envió ya hace algún tiempo, así como una foto suya.


Una vez pasado aquello me puse a investigar un poco. Grupos de whatsapp, comentarios, personas, denuncias, más personas, más denuncias…A continuación les dejo el resumen de lo que averigué:
23 años, de Barcelona, residiendo en algún piso de alquiler cerca del barrio de la Mina, (uno de los barrios más desfavorecidos de Barcelona) donde guarda buenas relaciones y de las que presume. Sus padres reniegan de él, su mujer en camino del segundo primogénito. 

Su trabajo es estafar, a lo que dedica los días de diario. Sus números de teléfonos son infinitos, al igual que sus cuentas bancarias. Sus principal colaborador es su mujer, que le ayuda. Le pesan mas de 300 denuncias en toda España, muchas de ellas en Barcelona (unas 60). En total, según datos de la policía son más de 200.000€ estafados a lo largo de estos dos años (y sumando). Así sigue sin pisar la cárcel. Ha contratado una abogada para cubrir sus espaldas y mantenerse al borde la ley. A el anterior le pagó las minutas con transferencias bancarias de otros afectados, quién acto seguido dejó de trabajar para él, logicamente ya que denunciaron su cuenta. Hay que ser muy tonto.
Para aquellos que están leyendo y se están tirando de los pelos ahora mismo, les aconsejo que denuncien, que lo hagan y aporten toda la info posible. Y que si quieren les invito a nuestro multitudinario grupo de Whatsapp. Mandando un correo a los5mosquitos@hotmail.com

Les dejo algunas fotos, para que si lo ven por Wallapop o Vibbo, lo denuncien. O también pueden entretenerlo para hacerle perder tiempo, tiempo que espero pase en la cárcel dentro de muy poco. Creo fehacientemente que el tiempo pone a cada uno en su lugar, y tu lugar Alex también es la cárcel.


1-METODO: La estafa a dos bandas:
estafa-alex
1-Alex crea un usuario (Marc, David, Carles F, S.P, Sergi P., Sergi C., etc…) (las fotos del perfil no son de él) en la aplicación (Wallapop, Milanuncios Vibbo y Tixuz), y añade un anuncio a la venta de un artículo precintado y nuevo a estrenar con mucho mercado (tablets o teléfonos, ultimas estafas Ipad Pro de 9,7” y iPhone 6S 64GB), a un precio bastante más bajo que el de mercado, por ejemplo: iPhone 6S 64GB precintado por 370€, cuando el precio de segunda mano esta en 50€0 a 600€
Seguidamente busca en las mismas aplicaciones (wallapop, milanuncios Vibbo y Tixuz) un artículo con mucho mercado y fácil de vender, hablamos de tablets o teléfonos en buen estado, a un precio de 350€ 360€.
2-Una vez a escogido el artículo de compra, se interesa por él, pide al comprador si lo puede enviar por correo, a “la Junquera” o “a Puigcerda”, le dice al vendedor que le pagara 20€ más por los portes, le pide el número de cuenta y le dice que le hará una transferencia de 360€+20€ por las molestias del envió.
3-Un comprador se ha puesto en contacto con Alex, ya que quiere comprar ese artículo (tan bien de precio), Alex dice que le puede ir a buscar el articulo a “la Junquera”, a “Puigcerda” o a “Torrevieja”, o que él se lo puede enviar por mensajería (MRW, Seur, Correo Express) y que en 24h tendrás tu artículo, si le dices que vas a buscarlo a su supuesta localidad te da una dirección cualquiera / falsa de esas localidades.
4-Si dices que te lo mande por mensajería, te pide que realices una transferencia al número de cuenta que te da (el número de cuenta del vendedor), te pide que pongas concepto y beneficiario, y que le mandes el comprobante de la transferencia o extracto bancario
5-El vendedor recibe una transferencia, cree que es Alex pero ha sido el comprador engañado, Alex le dice que lo necesita el paquete urgentemente, y que casualmente tiene un amigo o familiar cerca y que lo mandara a recoger el paquete y el dinero pago de más del por el envio y las molestias en efectivo, es el mismo quien va a recogerlo.
6-A los pocos días el comprador al no saber nada mas de Alex, este denuncia ante las autoridades que un tal “Sergi P.”,… lo ha estafado, los datos que le aporta a la policía para tramitar la denuncia son, un nombre falso, un teléfono que la policía no puede rastrear (no está ligado a ningún tipo de documentación), y una cuenta bancaria que no es de él sino del vendedor, por lo que la ignorancia de la situación hace que la denuncia vaya hacia el vendedor.
Mientras que Alex se ha quedado con el artículo del vendedor más los 20€ o 30€ de las molestias/envio, este venderá el teléfono en mano desde otro usuario de la aplicación.
2-METODO: Paypal:
paypal-svg
La mayoría de la población le consta que este método de pago es seguro, y es cierto, siempre y cuando se use como se debe, pero Alex te pide que uses el método de transferencia a “amigos o familiares”, exento de cualquier tipo de seguro o reclamación por dicha transferencia.
CORREOS QUE USA PARA ESTE METODO:

PPF115G@GMAIL.CXM

PMARC8516@GMAIL.CXM

FEGOL1224@GMAIL.CXM

MCG198300@GMAIL.CXM

MCG8500@GMAIL.CXM

 MCG0955@GMAIL.CXM

AAECOSD1@GMAIL.CXM 

SARAGG7232@GMAIL.CXM

3-METODO: MOVILCASH de “LaCaixa”
Este método de “LaCaixa”, sirve para retirar dinero desde un cajero sin que te haga falta la tarjeta, se creó para poder mandar dinero a un familiar o conocido, su operativa es muy sencilla, el usuario y cliente de la entidad introduce la cantidad y el teléfono del destinario, este recibe un SMS, con un código, y al introducir el código en cualquiera de los cajeros de la entidad puede retirar el dinero.

Si habeis sido estafados, podeis contactar con 651442398 correo  lataformaAfectadosARR@gmail.com

http://mejorllamaaquim.blogspot.com.es/
https://alexrodriguezestafador.wordpress.com/
http://denuncias-quejas-estafas.blogspot.com.es/2015/05/alex-rodriguez-rodriguez-traves-de.html

Los hoteles de Benidorm buscan sangre en las toallas para atajar la estafa británica

Han llegado las medidas drásticas. Los hoteleros de Benidorm, en especial aquellos que trabajan con turoperadores británicos en régimen de todo incluido, no están dispuestos a que este año se repitan los acontecimientos del verano pasado. Y es que durante 2016 las reclamaciones de los turistas británicos se dispararon un 700% en la provincia, generándole un roto a los hoteles que se estima entre 13 y 15 millones de euros. Hasta ahora no han podido hacer nada para detenerlo. Aunque el fenómeno se ha extendido a Canarias, Baleares y la costa norte de Cataluña, se trata de un problema especialmente acuciante para Benidorm, que no solo vive por completo del turismo sino que lo hace en gran medida de los británicos; con seis millones de pernoctaciones anuales, suponen el 50% de la facturación hotelera cada año.
La clave está en una enmienda a la ley de protección del consumidor de Reino Unido de 2013. En el texto se postula, entre otras ventajas para el demandante, la capacidad de denunciar un servicio hasta tres años después de haberlo utilizado o hacerlo sin pruebas fehacientesque demuestren su versión (en el caso de que sea imposible obtenerlas). Así las cosas, las populares claim farms británicas -firmas de abogados buitre que han puesto en jaque antes a sectores como el del automóvil o la sanidad pública- han aprovechado el vacío legal para hacer foco en el turismo. Se anuncian incluso en grandes carteles en el metro: "¿Unas malas vacaciones? Llámenos, conseguiremos su dinero de vuelta".

Una de las furgonetas de los abogados en Benidorm (Hosbec)
Una de las furgonetas de los abogados en Benidorm (Hosbec)
Su estrategia, denuncian fuentes del sector hotelero, se ha asalvajado en los últimos meses: "Peinan las redes sociales en busca de ingleses que hayan subido una foto de sus vacaciones en España o el Caribe y les envían mensajes privados. Les prometen que sus vacaciones van a salirles gratis, y tienen razón. Los turistas no pagan nada, tan solo firman lo que el abogado les da y esperan a ver qué sucede. En el mejor escenario les devuelven su dinero, en el peor se quedan como están". Otros hoteleros han detectado abogados infiltrados en grandes grupos organizados con el objeto de sembrar la cizaña entre ellos y obtener un puñado de demandas. "Les da una tarjeta y les dice: 'Tú no te preocupes, pásalo bien y cuando regreses a Inglaterra me llamas, sin prisa" afirman desde los hoteles.También se ha hecho habitual ver por las calles del Ricón del Loix, la Little Britain de Benidorm, circular llamativas furgonetas que incitan a la demanda -"Claim today, ask for details".
Su modus operandi es conocido en la zona: les presentan a los británicos un formulario estandar que arguye una supuesta enfermedad -normalmente gastroenteritis o afecciones del aparato digestivo- y su consecuente indemnización. A pesar de que el ticket medio de los británicos en Benidorm es de 800-1000 libras, siempre se demanda por valor de 6.000 que se destinan a las minutas legales.

Un 80% de victorias para el consumidor

Los hoteleros asistieron atónitos al incremento de reclamaciones el año pasado. De menos de 1.000 en 2015 han pasado a 10.000 en pocos meses, la mayoría por desórdenes digestivos, sin que se hubiera detectado ninguna alerta alimentaria en la zona. "Reclaman por gastorenteritis o diarreas porque es lo más difícil de demostrar, sobre todo si han pasado años. Lo normal es que los abogados les den un ticket de la farmacia con la compra de algún medicamento antidiarrea y con esa prueba basta, solo tienen que ser sólidos en su testimonio, que también se lo preparan", dicen los hoteleros. En la mayoría de las ocasiones el turoperador cede durante el arbitraje y les indemniza, a sabiendas de que será el hotel español el que corra con el grueso del gasto. Hasta ahora era la mejor solución, ya que el 80% de las reclamaciones que llegan al juzgado terminan con la condena del turoperador y la consecuente imposición de las costas legales.
El perfil que buscan en el demandante es claro: joven y con escasos recursos académicos y económicos. En los 'todo incluido' han hallado un filón, no solo porque es un producto concebido para este perfil, sino por un detalle procesal: los jueces británicos entienden que estos turistas pasan todo el tiempo dentro del hotel y, desde luego, que solo se alimentan en su restaurante. De este modo, si se consigue probar la enfermedad, automáticamente la responsabilidad recae sobre complejos como el Flamingo Oasis, el Levante Club o el Sol Pelícanos, instituciones british en el Rincón de Loix que son ahora los principales perjudicados.

Los principales hoteles 'todo incluido' del Rincón de Loix (EC)
Los principales hoteles 'todo incluido' del Rincón de Loix (EC)
Este periódico ha consultado con varios turistas británicos alojados en estos complejos la situación. El hilo común de casi todas las versiones es el mismo: se trata de una argucia que todos conocen pero que normalmente solo practican los jóvenes. El turismo británico en Benidorm tiene dos turnos: uno de octubre a mayo, para pensionistas, y otro estival para sus hijos y nietos. "Nosotros demandaremos si realmente nos intoxicamos, pero no por ganarnos unas libras. Llevamos viviendo a esta zona 16 años y estamos muy contentos", dice Martin, un jubilado de Manchester, en el vestíbulo del Sol Pelicanos. Las cifras oficiales dicen que este tipo de turista tiene una tasa de retorno del 70% en Benidorm.

El contraataque

En los últimos meses los hoteleros han reaccionado con fuerza. Han diseñado una estrategia con varios frentes para que este año la temporada se suceda sin sobresaltos. Por la vía diplomática han conseguido ganarse a las turoperadoras británicas, al principio reticentes a colaborar, para que presionen al gobierno británico y modifique la ley de consumo. Entre ellas figuran gigantes del turismo como Tui, Jet2, Thomas Cook o Monarch. Independientemente de que esto suceda, los hoteleros han estrechado su relación con los intermediarios para frenar las reclamaciones en su origen, sobre todo a la hora de compartir información.
Los hoteleros están luchando para que se modifique la ley de consumo en Reino Unido
Así, en los hoteles calientes se está recolectando datos de los turistas con el objeto de disponer de pruebas ante una posible demanda. "Sabemos cuándo salen de la habitación, cuando entran, cuando salen del hotel, cuándo bajan al comedor... y las camareras que limpian las habitaciones tienen la obligación de informar si encuentran restos de vómito o sangre en las toallas o si el consumo de papel higiénico ha sido excesivo", relatan fuentes del sector. Con estas medidas, aseguran, ya han conseguido frenar alguna reclamación por estar tres días con diarrea encerrado en el hotel: "Pudimos probar que había salido todos los días, que había bebido vino, whisky, cerveza... y no se llevó el dinero", explican.
Cuando terminan sus vacaciones, estos hoteles les hacen firmar a los británicos una declaración asegurando que no han sufrido ningún tipo de enfermedad. También les recuerdan que las reclamaciones falsas son un delito perseguible en España; son medidas de índole cosmética, ya que el documento solo tiene validez en España, mientras que todo el mecanismo judicial funciona desde Reino Unido. Por último, los hoteleros han consegido renegociar los contratos con los turoperadores para limitar su responsabilidad en caso de una nueva oleada de reclamaciones. Por el momento están mejor que el año pasado, dicen, aunque no respirarán tranquilos hasta que haya pasado el verano.

Twitter Facebook Favorites

 
Design by NewWpThemes | Blogger Theme by Lasantha - Premium Blogger Themes | New Blogger Themes