“¿Para qué van a querer mis datos? Yo no tengo nada que esconder…“. Seguro que has escuchado a alguien de tu alrededor decir algo similar (o lo has pensado tú mismo). Pero la realidad es bien distinta: nuestros datos personales – como usuarios – valen mucho más de lo que creemos en la red.
Ahora bien, el valor de esos datos es muy variable. Como cualquier otro mercado, fluctúa en función de la oferta y la demanda. Los propios vendedores y compradores de los datos provienen del mundo del cibercrimen, que ha desarrollado una economía del dato sumergida digna de estudio. De hecho, son muchas las investigaciones llevadas a cabo por especialistas en ciberseguridad, así como fuerzas policiales en este aspecto. Precisamente, una reciente investigación llevada a cabo por Kaspersky Lab revela cuáles son los precios y tarifas actuales y cómo actúan en algunos de los foros del cibercrimen.
Porque, al igual que cualquier otro mercado, son muchos los diferentes foros, portales y sitios web sumergidos en la dark web que se encuentra dentro de la – para muchos aún misteriosa – deep web.
A la primera pregunta, si los usuarios deben preocuparse o no por tener algo que esconder, para Daniel Creus, analista de malware de Kaspersky Lab la respuesta es clara: “todos deberíamos ser celosos de nuestra intimidad”.
¿Dónde está nuestra información?
Antes mencionábamos la dark web, donde efectivamente existen numerosos recursos y portales donde se anuncian los datos robados puestos a la venta. Como si de un marketplace se tratase, los vendedores ponen a disposición de los potenciales compradores todo tipo de información. Desde direcciones de correo electrónico, cuentas de redes sociales, información de tarjetas de crédito… Cualquier información es susceptible de ser vendida.
Cada uno de los datos, que han sido obtenidos mediante ciberataques y métodos ilícitos, puede servir a los compradores (otros ciberdelincuentes) para organizar y perpretar futuros ciberataques, en un círculo vicioso que nunca acaba.
Sin embargo, no solo de la dark web vive el cibercrimen. “Una de las palabras que mejor define al cibercrimen es la disponibilidad”, explica Creus. Es decir: los datos que necesitan los ciberdelincuentes para operar no solo están disponibles en la dark web, sino también en la web superficial. Mismamente, en redes sociales como Facebook o servicios de mensajería como Telegram se anuncian listados y foros donde comprar datos personales robados.
Cisco localiza 74 grupos de Facebook en los que se ofrecían servicios de ciberdelincuencia
Esto, que para el cibercrimen supone más rapidez y disponibilidad, supone un problema añadido, ya que prácticamente cualquiera sin grandes conocimientos puede acceder a estos foros, tan solo hay que saber buscar.
Para ayudar en la búsqueda, los foros cuentan con una serie de etiquetas para filtrar los datos en función de las características del ataque que se va a realizar, ayudando a compradores y revendedores a encontrar lo que buscan.
Ahora bien, quienes están especializados en el ámbito del cibercrimen son verdaderos expertos, dado que la industria del cibercrimen se está profesionalizando cada vez más. “Estos criminales se reúnen para delinquir, el cibercrimen es un ecosistema muy activo”, señala Creus, apuntando que se organizan de forma que hay personas especializadas en malware, otras en creación de bots, robo de tarjetas de crédito… “Están verdaderamente organizados”.
De hecho, existen foros donde previamente hay que pagar una tarifa (alrededor de 30 dólares) para poder acceder a él. Incluso cuentan con normas internas: una de las reglas de algunos foros es que “está prohibida la entrada a timadores”. Por ejemplo, si un cibercriminal lanza un ataque de ransomware, debe comprometerse a entregar a la víctima la clave de descifrado una vez se realice el pago. Y es que, hay que mantener una mínima decencia para que el negocio siga siendo rentable…
La economía del cibercrimen: cuánto valen nuestros datos
Durante la investigación, analizaron los precios de algunos foros activos en la actualidad en los que los ciberdelincuentes venden los datos personales. Este es el valor de nuestros datos:
- Tarjetas de crédito. Tienen un valor muy variable, que depende de distintos factores como el saldo disponible, la fecha de caducidad, el país de origen… Por lo general el precio de las tarjetas robadas es a partir de 6 dólares. Las tarjetas de crédito españolas tienen un precio de media de 12 dólares. Si provienen de Estados Unidos, la media es de 4 dólares.
- Correo electrónico. Para un cibercriminal, cualquier cuenta de correo es valiosa. No necesitan tener acceso a ella, solo con la dirección ya es suficiente para realizar otros delitos. Por unos pocos dólares se puede comprar un pack de varios cientos de correos.
- Juegos online. Los accesos a Steam o a cualquier juego de moda están muy solicitados. Se venden incluso por “combos”. Un pack de 500.000 e-mails y contraseñas de una plataforma de gaming puede costar 55 dólares.
- Plataformas online. Las credenciales de plataformas educativas online de pago como Udemy o Code academy cuestan 7,79 dólares.
- Servicios de privacidad. Nada se libra al robo de los ciberdelincuentes. Credenciales robadas de servicios de VPN como ExpressVPN, NordVPN o Windscribe tienen un precio que ronda desde los 3 hasta los 11 dólares.
- Servicios premium. Datos de usuario y contraseña de servicios de suscripción de pago como Spotify Premium se venden a 1 dólar.
No debemos subestimar tampoco el valor de los propios dispositivos. El acceso remoto al control de un PC (aunque no contenga información) ya es valioso para un cibercriminal, ya que le puede servir para perpetrar otros ataques, por ejemplo, en casos de ataques DDoS. Este acceso a un ordenador se vende por un precio a partir de 12 dólares.
Pero no pensemos que en la red solo se venden este tipo de datos personales y de cuentas online, si pensamos en ellos como combinaciones de números y letras… Existen foros donde se venden selfies de los usuarios. Y es que en algunas empresas es obligatorio el acceso e identificación mediante un selfie. Perfecto para cualquier ingeniero social.
Velar por nuestra información
Habitualmente no pensamos en la privacidad”, se lamenta el experto de Kaspersky, pero el día en el que tengamos que pensar en ello ya será tarde”. Sin duda, un dolor de cabeza que se puede evitar protegiendo la información.
No reutilizar contraseñas, usar el segundo factor de autenticación minimiza el riesgo de que las credenciales sean comprometidas. Y por supuesto, estar alerta y ante cualquier duda, desconfiar, son dos de los pilares para mejorar nuestra privacidad online.