El último timo bursátil combina spam e ingeniería social
El timo bursátil del 'pump and dump' reaparece a través de envíos masivos a correos electrónicos de todo el mundo. El gancho: una firma cotizada y mucho humo
El último timo bursátil no se encuentra en complejos productos financieros o intrincados fondos de inversión. Esta amenaza para el bolsillo llega directamente a la bandeja de correo electrónico. Aunque no se trata de una técnica nueva, los timadores han adaptado las estrategias de toda la vida -principio de autoridad, urgencia en la compra, etc.- a los nuevos hábitos sociales y tecnológicos.
En el pump and dump (en castellano algo así como bombear y tirar la basura), nombre con el que se conoce este sistema, todo comienza con la elección de un buen gancho. Hablamos de una empresa cotizada pero de escaso nombre y volumen de negocio. Lo que en Estados Unidos (EEUU) se conoce como penny stock. Es decir, una compañía con un valor por acción de menos de un dólar y que cotice en un mercado alternativo, lejos de los focos de los analistas.
Una vez escogida la empresa los autores del timo compran un gran número de acciones de la compañía. El siguiente paso es el propio de cualquier campaña de spam o correo basura: un envío masivo a direcciones de correo electrónico de todo el mundo. En los mensajes se difunden las supuestas maravillas (todas ellas falsas) de la compañía en cuestión: desde los planes de una gran corporación para invertir en ella hasta su capacidad para liderar el sector al que se dedica. Cualquier rumor bien publicitado puede valer. Junto a esta información se apremia a los receptores del mensaje a comprar cuanto antes títulos de la empresa. El tiempo corre y todos quieren formar parte del próximo bombazo del mercado.
‘Pump and dump’: cualquier rumor bien publicitado puede valer en esta estafa
Con que sólo un porcentaje muy pequeño de personas abran y confíen en la información suministrada, la campaña tendrá éxito. En este caso el objetivo no es obtener clicks en enlaces maliciosos o la descarga de documentos infectados, sino conseguir que los receptores compren acciones de la empresa en cuestión, inflando artificialmente su valor en bolsa mientras más y más víctimas se suben al barco. Una vez alcanzado este pico, los estafadores se deshacen de sus títulos por un precio varias veces superior al que habían destinado a la compra. Mientras la burbuja se desinfla los pequeños inversores afectados observan cómo el precio de las acciones se desploma, al mismo tiempo que se esfuma el dinero invertido.
Una campaña relámpago
Aunque los expertos conocen bien esta técnica, su desuso en los últimos años la había dejado en cierto modo en el olvido. Sin embargo en los primeras semanas de este año los analistas de la empresa especializada Sophos detectaron un comportamiento extraño en uno de los botnets (red de robots informáticos que se ejecutan de manera autónoma en miles de equipos) que mantenían bajo vigilancia. Esta red, conocida como Necurs, había rebajado abruptamente su actividad de spamming tras meses de envíos masivos. Era la calma antes de la tempestad, relata Alberto Ruiz Rodas, ingeniero de Sophos para España y Portugal.
El 20 de marzo pasado miles de correos electrónicos vendiendo las bondades de la empresa estadounidense Incapta, Inc (INCT) llegaron a ordenadores de todo el mundo. Tras cerrar el viernes anterior (17 de marzo) su cotización a 13 centavos de dólar, a las 9.30 del lunes los títulos de la compañía habían subido hasta los 24 centavos, para pocas horas después volver a descender a un precio similar al del inicio de la campaña de envíos. Todo ello en el mercado alternativo OTC Market, un mercado popular entre pequeños inversores estadounidenses pero que carece de los estándares adecuados de control financiero, señalan desde Sophos.
Cotización de Incapta en los días del ataque
Aunque Rodas duda de que ataques como este lleguen próximamente a Europa o a España (“suelen actuar en lugares con una mayor cultura financiera, como los EEUU”), sí que señala las similitudes con algunas campañas maliciosas que tuvieron un gran éxito en nuestro país. Como por ejemplo la estafa del mail de Correos, que en marzo pasado infectó a múltiples empresas mediante un mensaje en el que invitaba a pinchar en un enlace fraudulento bajo la apariencia de una notificación real. U otro más reciente que llega en forma de factura de un proveedor y que se dirige específicamente a los empleados más críticos de algunas compañías, como son los responsables de control financiero.
