Cómo operaba hacker que estafó en $ 120 millones a VTR
VALPARAÍSO. Clientes involucrados recibían una disminución cercana a los $ 40 mil en sus boletas de cada mes. Cibercrimen indaga si el joven formaba parte de una banda nacional.
Solo dos computadores, una tablet y un conocimiento acabado en informática le bastaron a Maicol Narea González (21 años) para ingresar, desde enero de este año, a la plataforma virtual de la empresa nacional de telecomunicaciones VTR y causarle perjuicios por cerca de $ 120 millones.
A través de redes sociales y avisos publicitarios difundidos en medios de comunicación de la Región de Valparaíso, el estudiante de Ingeniería Mecánica ofreció por once meses una oportunidad que fue considerada como única por los casi 200 clientes que la aceptaron: una rebaja en sus cuentas de internet, cable y telefonía.
¿Cómo operaba? Desde su domicilio en el cerro Los Placeres, el joven comenzó a principios de año a intercambiarse correos electrónicos con diferentes ejecutivos de la empresa, asegurando ser un cliente más. La diferencia es que diseñó un sistema para que una vez que los funcionaros le respondieran, quedasen alojados automáticamente los usuarios y claves de acceso a la plataforma virtual de la compañía.
Así lo ofrecía a través de una publicación en Facebook: "¿CÓMO ahorrar en tu cuenta VTR de servicios hogar durante 6 MESES? ¡Fácil! Tengo la posibilidad de realizar descuentos directos a tu cuenta, sin la necesidad de ir a un centro de atención o llamar a un 'latoso' Call-Center. ¿Cómo lo hago? Poseo acceso al sistema de VTR, en el cual puedo ingresar diversos descuentos directos al Rut que tenga los servicios contratados".
Una vez que el estudiante lograba captar a los clientes ingresaba al sistema de la empresa de telecomunicaciones y, según distintos factores, como la antigüedad que tenía el titular, los servicios contratados o los comportamientos de pago, determinaba el descuento que podría aplicar en cada cuenta.
A cambio de su operación, los clientes le debían cancelar -por una sola vez- el monto que él le rebajaría cada mes a su factura. Según describía en sus publicaciones, los descuentos que podía realizar alcanzaban incluso los $ 55 mil mensuales, y que tras las operaciones sus "clientes" comenzaban a cancelar entre $3.000 y $15.000 cada mes.
Incluso se jactaba de que los cupos eran limitados y que al igual que en una contratación normal, los clientes debían cumplir algunos requisitos: que la cuenta estuviese al día y tener al menos un mes de antigüedad en la empresa. El descuento era renovable y cada seis meses los clientes que lo aceptaron debían volver a cancelarle dicha cantidad, que fluctuaba entre los $ 35 y $ 40 mil pesos.
Pero no solo ofrecía la rebaja en las cuentas, sino que además -para quienes no tenían contratado el servicio- ofrecía la instalación de un D-Box (decodificador) por el único pago de $35 mil. Simulando ser un ejecutivo de la empresa, lograba generar órdenes de compra que eran enviadas directamente a los funcionarios encargados de las instalaciones.
Así, en casi once meses y con cerca de 200 clientes que aceptaron el servicio, el joven logró recaudar cerca de $ 8 millones, hasta ser detenido la tarde de este miércoles por la Brigada de Cibercrimen de la Policía de Investigaciones (PDI) de Valparaíso.
En abril de este año, la empresa comenzó a notar que algunos clientes estaban pagando una cifra "irrisoria" en relación a los servicios que tenían contratados. "El universitario invitaba a personas para rebajar los costos de sus servicios. Por ejemplo, en una cuenta cercana a los $ 70 mil pesos se terminaban cancelando entre 15 o 20 mil. El joven hackeó la plataforma de este servicio, tuvo acceso a algunas claves y pudo realizar las modificaciones", explicó el jefe de la brigada, subprefecto Charlie Vignes.
Tras la detención, el Cibercrimen baraja varias aristas que podría tomar el caso, entre ellas la posibilidad de que el joven sea parte de una banda a nivel nacional. Incluso no se descarta que alguno de los clientes pertenezcan a la Región Metropolitana, puesto que varias de las publicaciones que hacía en Facebook eran en grupos de la capital.
Al respecto, el subcomisario Yonny Farfán, de la Brigada de Cibercrimen, dijo que han detectado que "no solamente está (involucrada) la persona que fue detenida, sino que tenemos conocimiento de que hay tres o cuatro más. Efectivamente, se podría hablar de una banda organizada y la investigación apunta a que él sería uno de los cabecillas del grupo".
Otra de las aristas que se manejen es que exista un funcionario de la compañía involucrado en el delito. "Durante la investigación detectamos que la empresa implementó un sistema de seguridad que impidió que en ese momento estos delincuentes ingresaran. Pero habiendo pasado cerca de tres semanas, lo vulneraron de nuevo. No es descartable que un funcionario al interior de la empresa esté proporcionando las claves para ingresar", agregó el subcomisario Farfán.
Sin embargo, la investigación podría tomar otro rumbo que involucraría directamente a los clientes como cómplices o encubridores. "Hoy los clientes están considerados como víctimas, porque aparentemente este sujeto hacía ofrecimientos simulando ser personal de VTR. Ahora, si durante la investigación vemos que no se puede acreditar eso, podrían cambiar perfectamente su condición, pero es algo que no podría aventurar", indicó el fiscal adjunto de Valparaíso, Osvaldo Ossandón Sermeño.
El universitario, en tanto, quedó con medidas cautelares de firma mensual y con arraigo nacional mientras dure la investigación, la que fue fijada en un lapso de 180 días.
"El universitario invitaba a personas para rebajar los costos de sus servicios. Hackeó la plataforma de este servicio, tuvo acceso a algunas claves y pudo realizar las modificaciones"
Charlie Vignes, Jefe Brigada Cibercrimen PDI
VTR confirma robo de claves a ejecutivos
A pesar que desde la compañía de telecomunicaciones señalaron que por el momento no entregarán una versión pública distinta a lo que informó la Fiscalía la mañana de ayer, confirmaron que lo realizado por el universitario de 21 años efectivamente fue "robar claves reales de vendedores VTR para entrar al sistema". Además, indicaron que la "acción criminal" que se desarrolló por cerca de un año no tuvo un impacto en los clientes. "Aquellos que fueron engañados por este falso vendedor han seguido recibiendo su servicio normal", agregan, aclarando que la acción no se trató de una vulneración informática: "No fue propiamente un hackeo al sistema".
200 clientes fueron los que aceptaron el servicio que ofrecía el joven. La mayoría pagó una sola vez cerca de $ 40 mil pesos, mismo monto que se les descontaba mensualmente de sus boletas.
$ 8 millones, aproximadamente, fue la ganancia que obtuvo el joven de 21 años durante los once meses que operó. Se investiga una posible participación de terceros y con clientes de Santiago.
$ 120 millones es el prejuicio ocasionado a la empresa VTR por los descuentos que el universitario realizó a cerca de 200 clientes desde enero de este año hasta su detención.