Cómo ganan dinero los piratas informáticos con los datos robados

El robo de datos, sin lugar a dudas representa un gran negocio para los piratas informáticos. Esto ha quedado patente una y otra vez cuando leemos en los medios de comunicación que empresas de reconocido prestigio (y por supuesto sus clientes), se han visto involucradas en una violación de datos.

Como lamentablemente estos casos ocurren con más frecuencia de la deseada, y la cantidad de archivos robados o comprometidos continúa aumentando, vale la pena investigar un poco qué hacen los piratas informáticos con esta información después de esforzarse tanto en robarla.

Cómo pueden roban nuestros datos

Los villanos pueden utilizar muchos métodos, y la siguiente lista no es exhaustiva, pero incluye algunas de las técnicas más comunes.

Software malicioso

Hay muchos tipos de malware que se pueden usar para robar nuestra información: keyloggers, spyware, malware bancario, virus, troyanos etc.

La mayoría del software malicioso suele centrarse en las credenciales de inicio de sesión de los servicios en línea, la información de la tarjeta de crédito, los datos de autocompletar del navegador e incluso las carteras de criptomonedas.

Ciertos tipos de malware están especilizados en detectar tipos de archivos específicos como PDF, Word, Excel y archivos de texto para transferir los datos obtenidos sin autorización a un servidor de comando y control remoto.

El malware generalmente se propaga a través de los sospechosos habituales: archivos adjuntos de correo electrónico, publicidad maliciosa, descargas no autorizadas, cracks, keygens y software que ya viene pirateado.

Phishing

El phishing es una forma de ingeniería social que no requiere de conocimientos técnicos mediante la cual el ciberdelincuente intenta extraer información confidencial, como credenciales de inicio de sesión, información de tarjetas de crédito o información de identificación personal.

Los mensajes de phishing, simulan proceder de una entidad legítima (compañia telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar, y que haga clic en un enlace malicioso, que les redirigirá a una página web falsa.

Para ello, utilizan todo tipo de argumentos relacionados con la seguridad de la entidad o la necesidad de realizar algun trámite administrativo urgente, para justificar la necesidad de que la víctima facilite sus datos personales.

El mensaje nos urge a hacer clic en un enlace donde supuestamente podemos resolver el problema confirmando nuestra contraseña o ingresando la información de la tarjeta de crédito.

Estos datos se envían directamente a los piratas informáticos.

Los ataques de phishing generalmente se perpetran por correo electrónico, pero también se pueden realizar a través de redes sociales, mensajes de texto y llamadas telefónicas.

Aprovechando contraseñas débiles o predecibles

Tendemos a usar contraseñas personalizadas porque son más fáciles de recordar.

Debido a nuestra capacidad de memoria visual, es más fácil recordar imágenes e información con la que ya estamos familiarizados (nombres de mascotas, fechas de cumpleaños, palabras del diccionario etc.) y que tienen algún significado para nosotros.

Por otro lado también acostumbramos a crear contraseñas faciles de recordar como 1234, password, abcdefgh o qwwerty, que solo le tomaría a un pirata informático 0.29 milisegundos para descifrarlas.

Puedes visitar esta web y comprobar lo que tardaría un pirata informático en descifrar tus contraseñas.

Fugas de contraseñas

Los villanos también pueden robar nuestros datos descifrando las contraseñas de las cuentas en línea o aprovechando una fuga de datos de un proveedor de servicios que las almacena en texto plano y sin cifrar o incluso cifradas.

Cuando se piratea el servidor de un proveedor de servicios, a menudo se filtran millones de contraseñas, que pueden venderse o descargarse en la web oscura.

Debido a que muchas personas usan la misma contraseña para múltiples servicios, los atacantes pueden usar las credenciales de inicio de sesión filtradas para intentar obtener acceso a las otras cuentas del usuario.

Puedes verificar si una de tus cuentas ha estado involucrada en una filtración ingresando tu dirección de correo electrónico en Have I Been Pwned.

Ataques de fuerza bruta

Mediante el uso de herramientas específicas prueban todas las combinaciones posibles de caracteres hasta que adivinan la contraseña correcta.

Es cuestión de tiempo y paciencia: cuanto más corta y débil sea la contraseña, más rápido será descifrala mediante este método.

Ataques de diccionario

Un ataque de diccionario es un método de cracking que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario, en un idioma determinado

Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable.

Los ataques de diccionario tienen pocas probabilidades de éxito con sistemas que emplean contraseñas fuertes con letras en mayúsculas, minúsculas, números y caracteres especiales.

Registradores de teclas

Un keylogger es un tipo de software o dispositivo de hardware (generalmente una unidad flash USB o un pequeño dispositivo que se inserta dentro del teclado), diseñado para monitorizar y registrar las pulsaciones que se realizan en el teclado de un dispositivo.

Este software también está disponible para su uso en teléfonos inteligentes, como el iPhone de Apple y los dispositivos Android.

Los ciberdelincuentes suelen utilizar los keyloggers como una herramienta para robar todo tipo de información de identificación personal, credenciales de inicio de sesión e información corporativa.

Herramientas post-explotación

Algunas herramientas están diseñadas para recopilar contraseñas y otra información valiosa almacenada en sistemas que ya se han visto comprometidos.

Si tu sistema se ha visto comprometido (por ejemplo, por malware), un atacante puede utilizar herramientas como Mimikatz (en la mayoría de los casos, el software de protección de terminales y los sistemas antivirus la detectan y eliminan) para ver y robar las credenciales de inicio de sesión que están almacenadas en lo profundo del sistema.

Pero hay otras más actuales como DeimosC2.

Una herramienta de comando y control de código abierto para administrar máquinas comprometidas que incluye soporte para telefonos móviles con Android.

Este tipo de software también es utilizado por consultores de seguridad para realizar pruebas de penetración.

Conexiones no seguras

Los atacantes también pueden robar nuestros datos aprovechando conexiones no seguras, como redes wif públicas y gratuitas.

El wifi público a menudo no es seguro (ignoramos quien lo gestiona) ni está cifrado, lo que deja a los usuarios vulnerables a una variedad de ataques.

Ataques man-in-the-middle

Un ataque de intermediario es un nombre genérico para cualquier ciberataque en el que alguien se interpone entre un usuario y sus actividades en línea.

Este tipo de ataque requiere de tres actores: la víctima, la entidad con la que esta está tratando de comunicarse y el hombre en el medio, que es quien intercepta las comunicaciones pudiendo suplantar la identidad de uno u otro según le convenga.

 

Los atacantes pueden acceder a cualquier información que se transmite entre el usuario y el sitio web o servidor de destino: correo electrónico, mensajería instantanéa, contraseñas de distintos servicios en línea, redes sociales, datos bancarios, numeros de tarjetas de crédito, páginas web visitadas, y cualquier otra actividad.

También pueden interceptar el tráfico para sabotear o modificar las comunicaciones o corromper datos.

Punto de acceso no autorizados

Los ciberdelincuentes configuran un punto de acceso wifi en lugares públicos y con un gran tráfico de personas como aeropuertos o centros comerciales, con un nombre (SSID) parecido al legítimo, lo que les permite espiar a todos los usuarios que se conectan a su red.

Los atacantes también pueden usar un punto de acceso no autorizado para inyectar malware en los dispositivos de las víctimas o dirigirlos a sitios web de phishing.

Cómo ganan dinero los piratas informáticos con los datos robados

Una vez que un pirata informático ha tenido éxito, el primer paso es hacer una selección del material obtenido.

Examina los datos en busca de información valiosa, como credenciales de inicio de sesión, información financiera, nombres, números de teléfono y direcciones postales  y los organiza en una base de datos.

Una vez hecho esto, les toca pensar como sacarle el mayor beneficio posible.

Utilizan los datos robados en beneficio propio

En algunos casos, los piratas informáticos pueden monetizar los datos robados usándolos ellos mismos para realizar compras o cometer todo tipo de fraudes.

Esto es relativamente raro (y poco inteligente) ya que si la víctima ha puesto una denuncia, el villano tiene más posibilidades de atraer la atención de las autoridades que si se dedica a vender grandes lotes de datos en línea de forma anónima.

Sin embargo, a veces sucede.

Los atacantes pueden usar los datos robados para varios fines.

• Comprar artículos en línea.
• Extraer dinero de cuentas bancarias.
• Solicitar préstamos bancarios.
• Solicitar tarjetas de crédito.
• Pagar deudas.
• Solicitar dinero a los contactos de la víctima.
• Contratar servicios de telefonía Móvil
• Usar el correo electrónico y cuentas de redes sociales de la víctima para diferentes propositos.

Venden los credenciales de inicio de sesión robados

Los nombres de usuario y las contraseñas a menudo se venden a granel  o se subastan en la web oscura.

Los compradores pueden usar estas credenciales de inicio de sesión para transferir dinero desde una cuenta bancaria, realizar compras en línea y acceder a otros servicios que requieran realizar un pago.

A continuación, y según un informe de Symantec sobre la economía sumergida indicamos por cuánto se venden normalmente las credenciales de las cuentas robadas.

Los precios son aproximados, y pueden estar desactualizados, pero basta para hacerse una idea.

• Cuentas de plataformas de juegos: $ 0.50- $ 12
• Cuentas de transmisión de video y música: $ 0.10- $ 2
• Cuentas de servicio en la nube: $ 5- $ 10
• Cuentas bancarias en línea: 0.5% -10% del valor de la cuenta
• Cuentas de Facebook: $ 74.50
• Cuentas de Instagram: $ 55.45
• Cuentas de Twitter: $ 49
• Cuentas de Gmail: $155

Vender PII  (Personally Identifiable Information - Información personal identificable) en el mercado negro

La recopilación de información de identificación personal (PII) es la práctica de recopilar datos personales públicos y privados que se pueden utilizar para identificar a una persona con fines tanto legales como ilegales.

Empresas de tecnología de la información, gobiernos y organizaciones utilizan PII (normalmente con el consentimiento del usuario al  aceptar los términos y condiciones de un servicio) para el análisis de datos, conocer los hábitos de compra de los consumidores, sus preferencias políticas y otros intereses personales.

Pero los piratas informáticos suelen vender la información personal identificable obtenida de forma fraudulenta, en mercados clandestinos a los que se puede acceder en la web oscura.

Normalmente se venderá por lotes a granel. Cuanto más recientes sean los datos robados, más valiosos serán.

Esto es lo que valen aproximadamente estos datos segun publica Emisoft en su blog.

• Nombre completo, número de la seguridad social y fecha de nacimiento: $ 0.10- $ 1.50
• Información sanitaria y recetas de medicamentos: $ 15- $ 20
• DNI / pasaporte: $ 1- $ 35
• Credenciales de acceso al teléfono móvil : $ 15- $ 25
• Paquetes completos de identificación (nombre completo, dirección, teléfono, DNI, correo electrónico, cuenta bancaria): $ 30- $ 100.

Puede que no parezca mucho dinero, pero es importante recordar que los datos a menudo se venden en lotes enormes.

Los atacantes que consiguen hacerse con los datos de una empresa, a veces pueden recopilar información personal y financiera de millones de clientes que pueden venderse por mucho dinero.

En 2019, el delincuente detrás de la violación de datos de Canva (sitio web de herramientas de diseño gráfico y composición de imágenes, que facilita tanto a profesionales como a usuarios sin conocimientos de diseño la creación de contenido) puso a la venta en la web oscura los datos de 932 millones de usuarios, que robó a 44 empresas de todo el mundo.

Los datos robados incluian información de caracter personal y privada como nombres de usuarios, nombres reales, direcciones de correo electrónico, e información de residencia entre otros.

También obtuvieron los hashes de las contraseñas de casi 61 millones de personas cifradas con el algoritmo bcrypt.

Vender la información de tarjetas de crédito

El fraude de pagos se ha convertido en algo altamente especializado, con organizaciones criminales que venden información de tarjetas de crédito y (en algunos casos) garantizan la calidad de su producto.

El uso de servicios de anonimato y métodos de pago como Bitcoin asegura que el vendedor desconoce la identidad del comprador y viceversa.

Estos datos a menudo los compran los carders (usuarios no autorizados de tarjetas de crédito), para realizar todo tipo de fraudes como por ejemplo comprar artículos físicos, que luego pueden vender en la web oscura, o través de canales legítimos como eBay a precios muy competitivos.

¿Por cuánto venden los piratas informáticos la información de las tarjetas de crédito?

• Tarjeta de crédito individual: $ 0.50- $ 20
• Crédito único con detalles completos: $ 1- $ 45

Pedir un rescate por los datos robados

Algunos tipos de ransomware tienen una función de exfiltración de datos, que permite a los piratas informáticos no solo cifrar los datos, sino también robarlos a través de una variedad de canales, como FTP, HTTP, HTTPS, o SSL / TLS.

Los atacantes pueden usar los datos robados para obligar a la víctima a pagar un rescate para recuperarlos y a la vez venderlos en el mercado negro.

De esta forma, el negocio les sale redondo.

Vender propiedad intelectual

No es raro que los piratas informáticos lancen ataques contra grandes corporaciones y vendan los datos robados a empresas de países en desarrollo.

Por lo general, estos son ataques altamente sofisticados patrocinados por una nación y pueden ser increíblemente lucrativos tanto para los piratas informáticos como para el país que financia el ataque.

Cómo puede afectar a las víctimas el robo de datos

Ser víctima de un robo de datos puede tener repercusiones importantes.

A corto plazo, tendran que pasar por el lento proceso de proteger las cuentas comprometidas, revertir las compras fraudulentas y reemplazar las tarjetas de crédito robadas.

Esto puede resultar molesto pero no les va a cambiar significativamente la vida.

Sin embargo, también puede haber consecuencias más nefastas.

Por ejemplo, si utilizan la información financiera robada para actividades fraudulentas, podría afectar el historial y el puntaje crediticio de la victima.

Deshacer el daño puede ser muy difícil y es posible que no le den un préstamo, no pueda pedir una hipoteca ni alquilar una vivienda.

Además, si  se trata de una cuenta corporativa y se utiliza para enviar malware o perpetrar ataques de phishing, puede dañar su reputación profesional, causar pérdidas comerciales a la empresa o tener que enfrentarse a medidas disciplinarias por parte de sus superiores.