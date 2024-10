En medio de la convulsión generada por una presunta estafa piramidal de la plataforma de inversiones Rainbowex, LANOTICIA1.COM accedió a un informe completo elaborado por BCA LTD, la empresa que el especialista en informática Mauro Eldritch elaboró durante las últimas semanas para desentrañar quiénes son y de qué manera se generó Knight Consortium, un gran consorcio de inversores que tiene epicentro en ciudades como San Pedro, Gualeguaychú y Bahía Blanca, dentro del territorio argentino.

El resumen en nueve ítems desnuda paso a paso cómo se gestó este mecanismo dentro de una plataforma que no respeta normas de seguridad y vulnera la provisión de datos personales. También es de un diseño económico, es decir, que no ha requerido mucho esfuerzo para su autor/es.

La "china" de Rainbowex, una figura de dudosa existencia

“Esta aplicación no está subida a una tienda oficial con lo que cual acarrea varios problemas, esto implica que no pasó una auditoría de seguridad, y cuando desensamblás encontrás varios problemas”, señaló Eldritch.

Desde el “acceso a la linterna” del celular a “capturas de pantalla” aleatorias forman parte de los riesgos que corren las personas que fueron invitadas a entregar copia de sus documentos y fotos del rostro para poder incorporarse a la red de telegram en la que al menos dos veces al día se recibían instrucciones para “invertir”.

En el texto y en las imágenes todos los accesos directos para que cualquier persona pueda comprobar los datos que se proporcionan.

INFORME TEXTUAL DE BTA LTD SOBRE RAINBOWEX

- 1) El dominio rainbowex(.)life fue registrado hace apenas unas semanas el 02/07. Teníamos el dato de que esta gente cambia habitualmente de dominio por denuncias de abuso o fraude. Los datos de quién lo registró están redactados, es un servicio extra de pago que permite a quien registra el dominio esconder sus datos del registro público.

- 2) La aplicación está "escondida" detrás de un proveedor de seguridad muy conocido llamado CloudFlare, y sus servidores están en Amazon AWS en la región "ap-southeast-1" es decir, Asian-Pacific 1 (Singapur). Sin embargo, la aplicación no es singapurense por varios motivos:

- 3) El lenguaje de la aplicación es "zh-CN" (Chino de China). El equivalente en Singapur es "zh-SG" (Chino de Singapur).



- 4) El proveedor de email de la aplicación es Aliyun(.)com, parte del conglomerado Alibaba Cloud, ambos de China. Esto también puede verse públicamente al consultar los registros DNS MX de la aplicación.

- 5) Al desempaquetar la aplicación, vemos que hace llamadas recurrentes a un servidor en dcloud(.)net(.)cn, otro proveedor de servicios de nube basados en China (de hecho, .cn es el dominio de China). Este dominio fue marcado como malicioso dos veces. También se comunica con m3w(.)cn, un dominio que no tiene registrante declarado y fue marcado como malicioso apenas unas 72 veces.

- 6) La plantilla de aplicación que utilizan hace múltiples referencias a "liuyingyong(.)cn", otro dominio chino. Al visitarlo, encontramos que es un sitio donde justamente, la gente sube plantillas gratis para armar aplicaciones. Probablemente el template del sitio haya sido descargado de ahí.

- 7) La aplicación no está listada en App Store / Play Store, por lo que no es distribuida por medios oficiales. Esto implica que no pasó una auditoría de seguridad ni una revisión de calidad. De hecho, al desensamblarla nuestra auditoría encontró tres vulnerabilidades graves, una reportada en el año 2020 y las otras dos en 2018. La aplicación también busca saber si el teléfono del usuario está "rooteado", esto es si tiene permisos de administrador total, lo cual podría permitirle hacer literalmente cualquier cosa que se le ordene. Por otro lado la app solicita muchos permisos, desde manipular la linterna hasta leer todas las fotos y videos e incluso instalar otros paquetes. Una función particular que nos llamó la atención toma capturas de pantalla sobre la actividad del usuario y las guarda con fecha y hora. Es momento de preguntarnos ¿para qué la aplicación necesita hacer esto?



- 8) Todas las funciones envían la información de forma insegura (texto plano) y en el idioma del usuario, pero con aclaraciones en Chino Tradicional (de nuevo, usado en China y no en Singapur).

- 9) No hay registros de actividad ante AFIP o CNV, entes que regulan a las personas físicas y jurídicas y a prestadores de este tipo de servicios financieros respectivamente. Hace falta autorización de CNV para captar fondos y para dar recomendaciones financieras. Rainbow, Arco Iris o las personas involucradas no tienen un registro oficial, lo que equivale hablando de forma vulgar a jugar a la quiniela clandestina.