Desde hace unos meses se nos ocurrió la idea de, ¿qué pasaría si los malos usaran Discord? Y hoy os vamos a traer algunos de los resultados obtenidos tras investigar un poco sobre este fenómeno.
Antes de nada y para ponernos en contexto, vamos a explicar que es Discord.
¿Qué es Discord?
Pues bien, Discord es una aplicación multiplataforma VoIP gratuita pensada para comunidades de videojuegos. Esto no significa que los videojuegos sean el mal o que Discord sea el mal. No. Pero eso no quita que se utilicen para ello.
Esta aplicación permite la creación de servidores privados o públicos en los que hablar y compartir con un montón de amigos información sobre nuestras partidas. Además, permite el uso de bots de una forma muy sencilla y que ellos mismos nos facilitan (el equipo de Discord), como el bot de la música.
Dentro de cada canal / servidor podemos introducir nuestras propias salas. En cada sala puede haber una norma o restricción de acceso diferente. Por ejemplo, podemos hacer que solo accedan “x” personas a la parte que queramos del servidor, convertir salas en ocultas a ojos de los usuarios menos privilegiados, etc. Y permite para facilitar esto, asignar diferentes rangos a los llegados al servidor.
¿Cómo usan Discord los malos?
Por ello, imaginemos que somos unos criminales, necesitamos una estructura para nuestra organización o queremos compartir hazañas, datos o incluso vender “servicios”. Buscando y buscando encontramos Discord, permite un montón de cosas, vamos a montar nuestro servidor para hablar con otros como nosotros.
Creamos el servidor y metemos a nuestros conocidos del mundillo criminal en las categorías altas pues son de nuestra confianza y a los nuevos en las que menos. Si nos traen contenido exclusivo y novedoso de verdad, entonces les daremos acceso a nuevas partes del servidor, con contenido más exclusivo. Veis ya por dónde vamos… El “All in one” de los malos.
Bueno pues tras pensar en esto, se nos ocurrió ir buscando en diferentes servidores de Discord, será verdad lo que piensa mi lado criminal… Pues sí, efectivamente mi lado malvado no se equivocaba mucho y hemos encontrado verdaderas comunidades de maldad compartiendo información a través de Discord.
Obviamente volvemos a repetir, Discord como norma general, es un sitio en el que compartir y estar con amigos y colegas mientras juegas unas partidas. Pero los malos piensan siempre en cómo usar algo bueno para su beneficio y por ello hay miles de ciberdelincuentes usando Discord en su provecho.
Nota: Discord siempre que detecta estos canales los cierra.
Antes de comenzar a ver unos casos reales de utilización de Discord para el mal, queremos recalcar que Discord no almacena prácticamente datos de un usuario y tiene una política muy transparente respecto a los datos recolectados. Otra de las opciones que permite es la previsualización de algunos archivos, sin descargarlos, con lo que evitaríamos una posible infección de malware. Por todo ello es muy sencillo ser anónimo y tener un cierto “nivel de seguridad” usando este servicio.
Ahora, sin más dilación, vamos a poner varios ejemplos de lo comentado:
Canales de Discord
Anonymous
Anonymous por definición no puede ser considerado una organización criminal, es un grupo de personas que se juntan para hacer algo, pueden ser de una ideología o de otra, pueden ser de un país u otro, pero la finalidad es juntarse por una causa. Discord les proporciona esta unión con mucha facilidad y hemos llegado a ver canales de Discord en los que preparan sus operaciones e indican cómo van a proceder.
Cuando entras en estas comunidades lo primero que te dicen es ¿cuál es tu especialidad? Ciberseguridad, Social Media, Blogs, etc. Y según tu perfil, te asignan un canal u otro. Después si quieres acceder a zonas más altas deberás ganarte su confianza participando activamente.
Podemos encontrar muchos foros de ciberdelincuentes, que no hackers, que comparten información entre ellos para poder ayudarse los unos a los otros en sus fechorías. Hay que tener en cuenta que, entre estos archivos, tutoriales y demás que comparten, abunda el malware y cabe la posibilidad de infección.
Markets
Markets para la venta de tarjetas (carding) muy parecidos a los de la Deep Web, para vender cuentas (Spotify, Netflix…), leaks, artículos robados o falsificaciones… Muchas de las ventas son fraudulentas, pero otras no.
Los propios administradores de estas comunidades se encargan de expulsar a las personas que realizan las estafas a compradores y se encargan de mantener un orden más o menos establecido.
Uno de los casos de los que hablamos podría ser el siguiente, en el que un usuario no solo pone a la venta un “servicio” sino que además pone unos videos de cómo se debe realizar la compra, cómo pagar de forma segura… y de cómo funciona su “servicio” una vez vendido para que se vea que no es una estafa.
Otro ejemplo de un usuario que vende sus “servicios” sería el siguiente en el que se venden artículos de electrónica e informática considerados de gama alta, a un precio ridículo (posiblemente, sea una estafa por ello):
Os dejamos una de las imágenes de uno de los markets de carding alojados en Discrod. En este canal lo que se hace, cómo hemos comentado antes, es practicar la compraventa de tarjetas robadas, pueden haberse obtenido de diferentes formas, pero la más común es el phishing en la mayoría de los casos.
Por todo ello, Discord, a pesar de estar diseñado para el desarrollo de una actividad lícita, se está utilizando para realizar actividades ilícitas. Os animo a todos los que trabajéis en ciberinteligencia, antifraude, FFCCSE, etc a visitar algunos de estos canales. Es verdad que la información que aquí exponemos no es mucha y no es muy diferente a lo que podrías encontrar en la Deep Web o en Telegram, pero cada vez es más común el uso de Discord para esta actividad.
Para finalizar, todos los servidores aquí analizados han sido encontrados mediante la herramienta https://disboard.org/es, que busca nuevos servidores. Lo cual significa que hay servidores más antiguos, a los que no podemos acceder tan fácilmente y para los que necesitamos una invitación especial. Para acceder a ellos hay que realizar un trabajo y un esfuerzo mayor, pero ahí, ahí es dónde está la auténtica “chicha”, ¿no?
Nos quedamos buscando nuevos canales de otros contenidos, quién sabe lo que podremos encontrar.
¡¡Nos vemos en el próximo artículo!!
CTI Product Owner Telefónica Tech | De la comunidad para la comunidad, hagamos de la ciberseguridad española un referente | Ciberseguridad, inteligencia, defensa…
[…] Se ha puesto a la venta lo que parece ser un volcado SQL de la base de datos de la plataforma. El volcado parece contener varios cientos de direcciones de correo electrónico y contraseñas hash registradas en el proyecto. El ciberdelincuente no ha publicado el precio por el que pretende vender la base de datos, si no que únicamente ha dejado un contacto de Discord disponible. […]