<p>Las operaciones de fraude se han expandido más allá de las técnicas de hacking tradicionales para incluir métodos que explotan servicios legítimos e infraestructura del mundo real. Al combinar datos disponibles públicamente, procesos débiles de verificación de identidad y brechas operativas, los actores de amenazas están construyendo flujos de trabajo de fraude escalables que son de bajo costo y difíciles de detectar.</p> <p>Un tutorial compartido en un grupo de chat enfocado en fraude y analizado por analistas de **Flare** proporciona una guía paso a paso sobre cómo identificar y explotar propiedades residenciales desocupadas para interceptar correo sensible, revelando un método de baja tecnología pero altamente efectivo para permitir el robo de identidad y el fraude financiero.</p> <p>A diferencia de las técnicas tradicionales de cibercrimen que dependen de malware, kits de phishing o intrusiones de red, el método descrito en este artículo se enfoca casi por completo en abusar de servicios legítimos y logística del mundo físico.</p> <p>El enfoque combina inteligencia de fuentes abiertas, características del servicio postal y fraude de identidad falsa en un flujo de trabajo coordinado diseñado para obtener acceso persistente al correo de las víctimas.</p>  ## Convirtiendo propiedades vacías en infraestructura de fraude El tutorial comienza con la identificación de las llamadas "direcciones de entrega" (drop addresses), propiedades residenciales reales que están temporalmente desocupadas y pueden usarse para recibir correo sin alertar inmediatamente a los ocupantes legítimos. Se instruye a los actores de amenazas a buscar plataformas inmobiliarias como **Zillow**, **Rightmove** o **Zoopla**, filtrando por propiedades de alquiler listadas recientemente. Al centrarse en listados recién disponibles, los atacantes aumentan la probabilidad de que la propiedad esté vacía o entre inquilinos. La guía sugiere además revisar listados antiguos para identificar hogares que han permanecido desocupados durante períodos prolongados, aumentando su fiabilidad como ubicaciones de entrega. En algunos casos, los actores de amenazas incluso recomiendan mantener físicamente propiedades abandonadas para que parezcan ocupadas, reduciendo el riesgo de llamar la atención mientras se utiliza la dirección para fines fraudulentos. ## Monitoreo del correo entrante para identificar objetivos valiosos Una vez identificada una dirección adecuada, la siguiente fase implica la utilización de servicios postales digitalizados legítimos para el descubrimiento y monitoreo del correo entrante. **Informed Delivery**, por ejemplo, es un servicio gratuito que proporciona a los consumidores residenciales vistas previas digitales de su correo entrante de tamaño carta y rastrea las entregas de paquetes. Al registrar estos servicios para la dirección seleccionada, los atacantes pueden monitorear la correspondencia entrante de forma remota, lo que les permite identificar elementos valiosos como documentos financieros, tarjetas de crédito o cartas de verificación antes de acceder físicamente al buzón. Esto transforma la entrega de correo en una forma de recopilación de inteligencia, permitiendo un fraude más específico y eficiente. Si la dirección ya está registrada, el tutorial hace referencia a las solicitudes de cambio de dirección como una forma de recuperar el control sobre la entrega de correo. Estos servicios están diseñados para usuarios legítimos que se mudan de residencia y están ampliamente disponibles a través de sistemas postales como **USPS**. Por ejemplo, los usuarios pueden presentar una solicitud de cambio de dirección (COA) permanente o temporal en línea o en persona, lo que permite que el correo se reenvíe a una nueva ubicación durante períodos que van desde varias semanas hasta 12 meses. Servicios adicionales, como **Premium Forwarding**, pueden consolidar y redirigir todo el correo entrante de forma recurrente. Si bien estos mecanismos incluyen salvaguardias de verificación de identidad, como requerir un pequeño pago en línea vinculado a una dirección de facturación o presentar una identificación con foto válida en persona, el tutorial sugiere que los actores perciben estos controles como potencialmente insuficientes o aplicados de manera inconsistente. En particular, la capacidad de presentar solicitudes de reenvío de forma remota, combinada con la dependencia de la verificación vinculada a la dirección en lugar de una vinculación de identidad sólida, puede crear oportunidades de abuso si la información de identidad de respaldo se ve comprometida o es fabricada. Como resultado, el control sobre la entrega de correo puede, en algunos casos, ser reasignado sin interacción directa con el residente legítimo, convirtiendo un servicio destinado a la conveniencia en un vector potencial para la redirección no autorizada. En esta etapa, la operación va más allá del objetivo pasivo y entra en el monitoreo activo, brindando a los atacantes una visibilidad que aumenta significativamente la tasa de éxito del fraude posterior. ## Establecimiento de persistencia a través del reenvío de correo Después de confirmar que se está entregando correo valioso, el flujo de trabajo cambia hacia el establecimiento de acceso a largo plazo a través de servicios de reenvío de correo. Se instruye a los actores a crear cuentas de buzón personal que les permitan redirigir todo el correo entrante de la dirección de entrega a una ubicación separada bajo su control. Dado que estos servicios generalmente requieren verificación de identidad, los atacantes confían en identidades falsas, documentos falsificados o datos personales comprados para completar el proceso. Esto marca una transición crítica de la interceptación oportunista al acceso persistente. Una vez que el reenvío de correo está en marcha, los atacantes ya no necesitan volver a visitar la ubicación física, lo que reduce la exposición y mantiene un acceso continuo a información sensible. El uso de identidades falsas, que a menudo implican detalles personales fabricados o números de privacidad de crédito (CPN), demuestra cómo esta técnica se integra con ecosistemas de fraude más amplios. En lugar de operar de forma aislada, el abuso de direcciones de entrega se convierte en un componente de un pipeline más grande que puede respaldar la toma de control de cuentas, el fraude de crédito y las estafas de reembolso. En la práctica, estas identidades falsas se pueden utilizar para registrar servicios de buzón, presentar solicitudes de reenvío o recibir correspondencia financiera sensible vinculada a cuentas de víctimas. Esto permite a los actores cerrar la brecha entre el compromiso digital y el acceso al mundo real, permitiéndoles completar pasos de verificación, interceptar materiales de autenticación o establecer nuevas cuentas bajo identidades supuestas. Como resultado, el control sobre una dirección física puede convertirse en un paso importante en operaciones de fraude que dependen tanto de la credibilidad de la identidad como del acceso a canales de comunicación legítimos. ## Un modelo de fraude híbrido que combina capas digitales y físicas El método descrito en el tutorial refleja una evolución más amplia en las operaciones de fraude, donde la recopilación de inteligencia digital se combina con la manipulación del mundo físico. Además de aprovechar plataformas en línea y servicios postales, los actores también describen el uso de personas (a veces reclutadas de poblaciones vulnerables) para acceder físicamente a buzones o recolectar artículos entregados. Esto introduce una capa humana en la operación, lo que permite a los atacantes externalizar el riesgo y distanciarse aún más de la participación directa. La actividad descrita en el tutorial refleja un aumento más amplio en el fraude habilitado por correo documentado en informes recientes. Según datos relacionados con el Servicio de Inspección Postal de EE. UU. (**U.S. Postal**), los informes de robo de correo han aumentado significativamente en los últimos años, con un aumento del 139% en el robo de receptáculos de correo entre 2019 y 2023. Financieramente, el impacto es sustancial, con esquemas de robo de correo vinculados a cientos de millones de dólares en actividad sospechosa relacionada con el fraude de cheques. Al mismo tiempo, el abuso de los servicios de redirección postal, similar a la técnica referenciada en el tutorial, también ha crecido, con un aumento drástico año tras año en el fraude de cambio de dirección. Juntas, estas tendencias resaltan cómo el control sobre el correo físico se ha vuelto valioso. Al mismo tiempo, el tutorial reconoce los desafíos operativos. Las direcciones virtuales y las ubicaciones reutilizadas comúnmente son marcadas cada vez más por las instituciones financieras, lo que sugiere que los defensores están comenzando a incorporar señales de riesgo basadas en la dirección en sus modelos de detección. Como resultado, los actores enfatizan la importancia de encontrar direcciones residenciales "limpias" que aún no se hayan asociado con actividad fraudulenta. En conjunto, estos elementos ilustran un modelo de fraude que no está impulsado por la sofisticación técnica, sino por la coordinación, la adaptabilidad y el uso estratégico de sistemas legítimos. ## No es un tutorial/fraude aislado Si bien esto puede parecer un tutorial aislado, es parte de un fenómeno más amplio o de tutoriales sobre cómo encontrar direcciones de entrega físicas, algunos son gratuitos y otros son de pago. ## Ampliación de la superficie de ataque más allá de los controles de ciberseguridad tradicionales La aparición de estas técnicas subraya un desafío creciente para las organizaciones: muchos de los sistemas que se abusan (plataformas inmobiliarias, servicios postales y procesos de verificación de identidad) existen fuera del alcance de las defensas de ciberseguridad tradicionales. A medida que las operaciones de fraude continúan evolucionando, la detección depende cada vez más de la correlación de señales entre dominios, incluidos los patrones de uso de direcciones, la actividad de reenvío de correo y la identit