El robo de datos, sin lugar a dudas, representa un gran negocio para los piratas informáticos. Esto ha quedado patente una y otra vez cuando leemos en los medios de comunicación que empresas de reconocido prestigio (y por supuesto sus clientes), se han visto involucradas en una violación de datos.
Como lamentablemente estos casos ocurren con más frecuencia de la deseada, y la cantidad de archivos robados o comprometidos continúa aumentando, vale la pena investigar un poco qué hacen los piratas informáticos con esta información después de esforzarse tanto en conseguirla.
Cómo pueden roban nuestros datos
Los villanos pueden utilizar muchos métodos, y la siguiente lista no es exhaustiva, pero incluye algunas de las técnicas más comunes.
Software malicioso
Hay muchos tipos de malware que se pueden usar para intentar robar nuestra información: keyloggers, spyware, malware bancario, virus, troyanos de acceso remoto, etc.
La mayoría del software malicioso de este tipo suele centrarse en las credenciales de inicio de sesión de los servicios en línea, la información de la tarjeta de crédito, los datos de autocompletar del navegador e incluso las carteras de criptomonedas.
Ciertos tipos de malware están especializados en detectar tipos de archivos específicos como PDF, Word, Excel y archivos de texto para transferir los datos obtenidos sin autorización a un servidor de comando y control.
El malware generalmente se propaga a través de los sospechosos habituales:
- Archivos adjuntos a los correos electrónicos.
- Publicidad maliciosa.
- Descargas no autorizadas.
- Cracks, generadores de claves y software que ya viene pirateado.
Pero también pueden utilizar otros métodos que no implican necesariamente el uso de malware.
- Phishing.
- Aprovechando contraseñas débiles o predecibles.
- Fugas de datos.
- Ataques de fuerza bruta.
- Ataques de diccionario.
- Conexiones no seguras.
- Herramientas post-explotación
- Ataques de hombre en el medio.
- Puntos de acceso wifi falsos.
Cómo ganan dinero los piratas informáticos con los datos robados
Una vez que un pirata informático ha tenido éxito, el primer paso es hacer una selección del material obtenido.
Examinará el botín en busca de información valiosa, como credenciales de inicio de sesión, información financiera, nombres, números de teléfono y direcciones postales y los organizara en una base de datos.
Una vez hecho esto, ha llegado el momento de pensar como sacarle el mayor beneficio posible.
Utilizan los datos robados en beneficio propio
En algunos casos, los piratas informáticos pueden monetizar los datos robados, usándolos ellos mismos para realizar compras o cometer todo tipo de fraudes.
Esto es relativamente raro (y poco inteligente), ya que si la víctima ha puesto una denuncia, el villano tiene más posibilidades de atraer la atención de las autoridades.
Por lo tanto, acostumbran a vender el botín en grandes lotes de datos y de forma anónima.
Sin embargo, a veces sucede.
Los atacantes pueden utilizar los datos robados para varios fines.
- Comprar artículos en línea.
- Extraer dinero de cuentas bancarias.
- Solicitar préstamos bancarios.
- Solicitar tarjetas de crédito.
- Pagar deudas.
- Solicitar dinero a los contactos de la víctima.
- Contratar servicios de telefonía móvil.
- Usar el correo electrónico y cuentas de redes sociales de la víctima para diferentes propósitos.
Venden los credenciales de inicio de sesión robados
Los nombres de usuario y las contraseñas a menudo se venden a granel o se subastan en la web oscura.
Los compradores pueden usar estas credenciales de inicio de sesión para transferir dinero desde una cuenta bancaria, realizar compras en línea y acceder a otros servicios que requieran realizar un pago.
A continuación, y según un informe de Symantec sobre la economía sumergida, indicamos por cuánto se venden aproximadamente las credenciales de las cuentas robadas.
Los precios son aproximados, y posiblemente a día de hoy estén desactualizados, pero basta para hacerse una idea.
- Cuentas de plataformas de juegos: de 0.50 a 12 dólares.
- Cuentas de transmisión de video y música: de 0.10 a 2 dólares.
- Cuentas de servicios en la nube: de 5 a 20 dólares.
- Cuentas bancarias en línea: del 0.5% al 10% del valor total de la cuenta.
- Cuentas de Facebook: unos 74.50 dólares cada una.
- Cuentas de Instagram: aproximadamente 55.45 dólares.
- Cuentas de Twitter: unos 49 dólares.
- Cuentas de Gmail: 155 dólares cada una.
Vender Información personal identificable en el mercado negro
La recopilación de información de identificación personal (PII) es la práctica de recopilar datos personales públicos y privados que se pueden utilizar para identificar a una persona en concreto con fines tanto legales como ilegales.
Las empresas de tecnología de la información, los gobiernos y las organizaciones utilizan PII para el análisis de datos para varios propósitos, como por ejemplo conocer los hábitos de compra de los consumidores, sus preferencias políticas y otros intereses.
Pero los piratas informáticos suelen vender la información personal identificable obtenida de forma fraudulenta, en mercados clandestinos a los que se puede acceder desde la web oscura.
Y la forma más común de pagar la transacción es con bitcoins o mediante Western Union.
Normalmente, se venderá por lotes a granel, y cuanto más recientes sean los datos robados, más valiosos serán.
Según publicaba en 2020 Emisoft en su blog, esto es lo que valen aproximadamente algunos de estos datos.
- Nombre completo, número de la seguridad social y fecha de nacimiento: entre 0.10 y 1.50 dólares.
- Información sanitaria y recetas de medicamentos: entre 15 y 20 dólares.
- DNI / pasaporte: entre 1 y 35 dólares.
- Credenciales de acceso al teléfono móvil: de 15 a 25 dólares.
- Paquetes completos de identificación (nombre completo, dirección, teléfono, DNI, correo electrónico, cuenta bancaria): entre 30 y 100 dólares.
Puede que no parezca mucho dinero, pero es importante recordar que los datos a menudo se venden en lotes enormes.
Y los atacantes que consiguen hacerse con los datos de una empresa, pueden llegar a recopilar información personal y financiera de millones de clientes.
En 2019, el delincuente detrás de la violación de datos de Canva, puso a la venta en la web oscura los datos de 932 millones de usuarios, que robó a 44 empresas de todo el mundo.
Los datos robados incluían información de carácter personal y privada como nombres de usuarios, datos de facturación, nombres reales, direcciones de correo electrónico, e información de residencia, entre otros.
Vender la información de tarjetas de crédito
El fraude de pagos se ha convertido en una actividad altamente especializada, llevada a cabo por organizaciones criminales que venden información de tarjetas de crédito y (en algunos casos) garantizan la calidad de su producto.
El uso de servicios de anonimato y métodos de pago como Bitcoin asegura que el vendedor desconoce la identidad del comprador y viceversa.
Estos datos a menudo los compran los «carders» (usuarios no autorizados de tarjetas de crédito), para realizar todo tipo de fraudes, como por ejemplo comprar artículos físicos, que luego pueden vender en la web oscura, o a través de canales legítimos como eBay a precios muy competitivos.
¿Por cuánto venden los piratas informáticos la información de las tarjetas de crédito?
Las tarjetas estadounidenses con sus números PIN cuestan unos 110 dólares cada una, mientras que las tarjetas europeas se venden por casi el doble.
Pedir un rescate por los datos robados
Algunos tipos de ransomware tienen una función de exfiltración que permite a los piratas informáticos no solo cifrar los datos, sino también robarlos «en línea» a través de una variedad de canales de comunicación, como por ejemplo: FTP, HTTP, HTTPS, o SSL / TLS.
Los atacantes pueden usar los datos robados para obligar a la víctima a pagar un rescate para recuperarlos, y al mismo tiempo venderlos, en el mercado negro.
De esta forma, el negocio les sale redondo.
Vender propiedad intelectual o secretos industriales
No es raro que los piratas informáticos lancen ataques contra grandes corporaciones y vendan los datos robados a empresas de la competencia, o a países en vías de desarrollo.
Por lo general, estos ataques son altamente sofisticados, están patrocinados, y pueden ser increíblemente lucrativos tanto para los piratas informáticos como para quien financia el asunto.
Cómo puede afectar a las víctimas el robo de datos
Ser víctima de un robo de datos puede tener repercusiones importantes.
A corto plazo, los afectados tendrán que pasar por el lento proceso de proteger las cuentas comprometidas, revertir las compras fraudulentas y reemplazar las tarjetas de crédito robadas.
Esto puede resultar bastante molesto, pero no les va a cambiar significativamente la vida.
Sin embargo, también puede haber consecuencias más nefastas.
Por ejemplo, si utilizan la información financiera robada para actividades fraudulentas, podría afectar el historial y el puntaje crediticio de la víctima.
Deshacer el daño puede ser muy difícil y es posible que no le den un préstamo, no pueda pedir una hipoteca ni alquilar una vivienda.
Y en casos más graves (si se utiliza la información robada para enviar malware, estafar a otras personas, o perpetrar ataques de phishing), incluso podría enfrentarse a acusaciones por parte de las autoridades.
Y en estos casos, la estafa puede convertirse en una verdadera pesadilla.
