En medio de la polémica por RainbowEx, la plataforma de compraventa de una supuesta criptomoneda que es furor en la ciudad bonarense de San Pedro, un atacante subió a un foro clandestino información personal de los inversores a la venta. Además, publicaron capturas de pantalla del sistema interno de la app, coordinada por un grupo de operadores conocido como Knight Consortium.
Las primeras imágenes aparecieron durante el fin de semana, donde el actor de amenazas colocó una muestra con 5.300 fotos de lo que se conoce como KYC: Know Your Customer, esto es, el proceso de verificación de identidad de un cliente. Por este motivo, se ve a usuarios sosteniendo su DNI, con las imágenes de frente y dorso de los documentos. Clarín pudo saber que el atacante tiene datos de la totalidad de los inscriptos.
Este lunes, el mismo usuario mostró en el mismo el panel interno que usa RainbowEx para gestionar los activos de quienes ponen plata en este esquema que está sospechado por la Justicia de ser una estafa del tipo ponzi.
Esta información se comercializa por brokers, individuos (o compañías) que recolectan datos personales para venderlos a un tercero. Estos datos pueden ser extraídos mediante fuentes públicas (técnica llamada OSINT), o bien privadas, esto es, hackeando sistemas. Por lo general, quienes compran esta información están interesados en realizar diversos tipos de delitos, desde el acceso a cuentas para robar activos hasta extraer información para realizar ataques de ingeniería social.
Qué información está filtrada
Usuarios de RainbowEx mostrando su identidad. Foto: Captura de pantalla BCAClarín se contactó con Mauro Eldritch, analista de amenazas de Birmingham Cyber Arms, empresa que reporta filtraciones de datos y que este año advirtió de leaks de licencias de conducir en Argentina y datos del Renaper. El investigador reportó durante el fin de semana la primera filtración de RainbowEx.
«El lunes, un actor de amenazas publicó capturas de pantalla internas de este panel de administración, demostrando tener acceso total al mismo. Esto le permite ejercer el control absoluto sobre la operación de RainbowEx». Esto significaría que un usuario ajeno al sistema pudo entrar, lo cual podría denotar bajas medidas de seguridad del sitio.
Un «panel de administración «es un sitio web donde los usuarios privilegiados de la aplicación pueden dirigir la operación de RainbowEx en todos sus aspectos, desde crear, autorizar y administrar los usuarios, las transacciones (ingresos y egresos), anuncios y órdenes (las famosas «señales«)», complementa.
Las «señales» son momentos para invertir que, en esta plataforma, las envía un usuario que se identifica como Alí y es la líder del esquema. Entre las 20 y las 22 llega a los miembros de ese grupo de Telegram un mensaje de Ali, quien por sus rasgos asiáticos es conocida como «La china» entre los seguidores.
«La China Ali», la referente del Knight Consortium que le daba órdenes a miles de sanpedrinos para comprar y vender criptomonedas. Foto: captura de pantallaEn el panel que apareció filtrado este lunes se puede «dar de alta, eliminar o congelar usuarios; aprobar o rechazar transacciones (particularmente los cobros); ver los detalles de transacciones (wallets, montos) y usuarios (documentación de KYC que incluye selfies y documentos personales, información personal de registro como teléfono, email), enviar anuncios y ‘señales’, y también manipular el precio de los ‘activos’ que circulan en la aplicación, para arbitrariamente declararlos al alza o a la baja para acompañar la ilusión de ‘trading’«, siguió Eldritch.
El problema que advierte es que, a las sospechas sobre que todo esto es en el fondo una estafa ponzi que se siguen de los altos rendimientos que prometen y que la CNV advirtió esta semana que Knight Consortium no está inscripta para operar, se le suma este panel del cual puede desprenderse que la criptomoneda existe sólo en un sistema interno.
«Los assets [activos] tradeados en la aplicación suelen ser internos (que no pueden ser encontrados por fuera en otras plataformas), o imitaciones de otros conocidos. No se realiza un trading real«, sentenció.
Así se ve el panel interno de RainbowEx. Foto: Captura de pantalla BCA
Cómo funciona la aplicación
La aplicación de RainbowEx se descargaba por fuera de las tiendas oficiales de Google Play o de AppStore. Se instalaba en el teléfono, pero hacía falta que un usuario habilite la nueva alta para poder comenzar a operar. Cualquier nuevo ingresante tiene que ser patrocinado por una persona que ya esté en el grupo.
En el proceso de ingreso se realiza un chequeo de identidad, en el cual le piden al usuario que envíe fotos de su DNI e incluso una foto suya. Es, en parte, el material que se filtró durante el fin de semana y que está a la venta.
Una vez que el nuevo inversor tiene el OK, puede empezar a meter dinero en la app. La persona que lo llevó comienza a cobrar una mini comisión por el dinero que ingresa cada nuevo miembro que sume al grupo.
A pesar del esquema de referidos, no se considera una estafa piramidal clásica ya que los principales ingresos no se hacen a partir de introducir gente en el grupo. Muchos de los ahorristas que aceptaron hablar con Clarín remarcaron que no hacía falta sumar a nadie. Incluso que ni lo ofrecían, para evitar posibles conflictos en caso de que el sistema entero colapse.
San Pedro: de 70 mil habitantes, 20 mil invirtieron en RainbowEx, dice el intendente. Foto Juano TesoneLos ingresos de dinero se hacen a través de billeteras virtuales, tales como LemonCash o similares, a una cuenta que indican desde el grupo. Ese dinero quedaba almacenado en la cuenta de RainbowEx, donde se pasaban a USDT, la stablecoin más conocida del mundo (criptomoneda atada al valor del dólar).
Los retiros se hacían mayormente de manera digital por el mismo camino y se transferían también como USDT, a una billetera en la que luego se podían pasar a pesos. Apenas un puñado menor sacaba su dinero a través de dos financieras ubicadas sobre la avenida Mitre, donde les cambiaban la stablecoin a billete, sea dólar o peso. Era para quienes estaban menos acostumbrados a manejarse con entornos virtuales.
La operatoria para multiplicar el capital se daba todos los días entre las 21 y las 22. En esa franja llegaba la señal de compra de “La china” Ali.
Instantes después, se debía colocar una orden para vender la cripto adquirida al precio que indicaba Ali en su mensaje. Por ejemplo, en un tutorial que circuló en las últimas horas se mostraba la compra de una moneda SOX, a la cual se compraba a 12.0946 para luego revender a 12.4351. La diferencia entre ambos valores era la ganancia del día.
Video
La señal llega por Telegram y se ejecuta en menos de un minuto
Las señales de Ali llegaban de domingo a viernes, pero hace un tiempo comenzó a enviarse los siete días. Incluían el precio de mercado y la ventana de tiempo en la cual se debía hacer la operatoria, de poco menos de una hora. Marcos, un vecino que no invertía, contó a Clarín con cierto fastidio cómo se interrumpió momentáneamente un partido de fútbol con amigos cuando 6 de los 10 jugadores fueron a buscar su celular para responder el llamado de “La china”.
Según indicaron usuarios que siguen en los grupos de Telegram donde se envían las órdenes de compra dictadas por Ali, la operatoria seguía de manera normal. Esto a pesar del comunicado lanzado por Knight Consortium avisando que los retiros estarán suspendidos hasta finales de octubre por la intervención de organismos reguladores argentinos. Este miércoles además se ofrecían promociones y sorteos para quienes invitaran a nuevos inversores.
El informe de la CNV: «no está autorizada para operar»
La CNV confirmó que no están autorizados para operar de manera oficial. Foto: Juano TesonePor su parte, la Comisión Nacional de Valores (CNV) reveló este miércoles que RainbowEx no está autorizada para operar en la Argentina.
“A la fecha del presente, ‘RainbowEX’; ‘Rainbow Exchange’ y/o ‘Knight Consortium’ no se encuentran registradas en el Registro de Proveedores de Servicios de Activos Virtuales -Personas Jurídicas- y tampoco han presentado una solicitud de inscripción en el mismo, en los términos de lo dispuesto por la Resolución General CNV N° 994/24”, señala el reporte de la CNV enviado a la Sede Fiscal Descentralizada de San Nicolás, a cargo del fiscal federal Matías Di Lello, por pedido de la Justicia.
La justicia sampedrina, que inició la causa de oficio, avanza sobre dos líneas de investigación posibles. Por un lado si existió intermediación financiera no autorizada (Art. 310 del Código Penal) por parte de los promotores de Knight Consortium, un delito que tiene de 1 a 4 años de prisión. Por el otro, si se encuadra todo como una estafa.
Este último escenario necesita que alguien se presente como damnificado a denunciar ante la Justicia, algo que todavía no pasó a pesar de charlas informales de un puñado de inversores con abogados locales.