Cómo ganan dinero los cibercriminales
Para un cibercriminal, ¿cuánto vale su información a través de la dark web?
El daño de que le roben la identidad o los registros personales, financieros o de salud puede tardar meses o años en repararse. Sin embargo, ¿cuál es el valor de los datos robados en el mercado negro digital actual?
La mala noticia para las víctimas del robo de datos es que cada vez más estafadores tienen acceso a más datos robados a precios cada vez más bajos. La razón por la que hay tantos datos robados disponibles es que los hackers simplemente no encuentran dificultades para robarlos. La violación de datos de Equifax en septiembre de 2017, que puede haber afectado hasta 143 millones de estadounidenses, es el ejemplo perfecto.
Aquí hay algunos ejemplos del precio de sus datos robados:
Infográfico expandido sobre cómo ganan dinero los cibercriminales
¿Dónde se venden los datos robados?
Es importante entender cómo y dónde se revenden los datos robados. Sucede en una parte de la World Wide Web llamada dark web. La dark web, a la que se accede únicamente mediante un software especial que oculta la identidad de los visitantes, es un vasto mercado de todo lo ilegal. La mayor parte de la dark web se parece a cualquier otro sitio de comercio electrónico. Los vendedores tienen opiniones dadas por compradores anteriores. Se puede incluso comprar software para crear una empresa de hackeo propia. Los pagos a los vendedores se realizan mediante bitcoins, una moneda digital que asegura que tanto los compradores como los vendedores permanezcan en el anonimato.
Una vez que se está en este emporio ilícito y se tiene algo de dinero digital o bitcoins, es fácil comprar identidades robadas o acceder a cuentas bancarias. Tomemos por ejemplo las tarjetas de crédito robadas. Al igual que al comprar cualquier otro producto en línea, los compradores especifican el tipo de tarjeta (Amex, Visa, etc.); el código CVV o de tres dígitos en el reverso de las tarjetas; si desea información asociada de inicio de sesión y contraseña; nombres; fechas de caducidad; puntuación de crédito; números de la Seguridad Social; nombre de soltera de la madre; límites de crédito; fecha de nacimiento; lugares específicos de uso, y así sucesivamente. El costo por tarjeta varía según la información que desee el comprador. Después, tan solo hay que hacer clic en "comprar ahora" y descargar sus bienes robados.
¿Qué cuestan los datos robados?
¿Cuánto cuestan estas tarjetas en la Dark web? Las variaciones son amplias y también fluctúan dependiendo del suministro de tarjetas robadas. Si se produjera un hackeo importante en el que se vulneraran 10 millones de tarjetas, el precio podría desplomarse si los hackers inundan el mercado. Sin embargo, en términos generales (y estas cifras se obtienen de varias fuentes públicas), el costo de los datos de las tarjetas de crédito robadas oscila aproximadamente entre los $8 y $22 equivalente en bitcoins. Estos precios suelen ser más elevados para las tarjetas de crédito robadas de la Unión Europea, Canadá y Australia. Los compradores pagan más por las tarjetas con "fullzinfo" o simplemente "fullz", lo que significa que el registro robado tiene un conjunto muy completo de información sobre el titular de la tarjeta. No obstante, y como se detalla en un informe pionero sobre el mercado de la información digital robada, las tarjetas de crédito y débito no son necesariamente el objetivo habitual de los cibercriminales y defraudadores en la actualidad. Los objetivos son cada vez más las cuentas de servicios de pago en línea protegidas por contraseña. A diferencia de lo que ocurre con las tarjetas de crédito, donde el costo por tarjeta viene determinado por los distintos factores que selecciona el comprador, el costo de estos datos robados está en gran medida relacionado con los saldos de las cuentas en línea. Como es de esperar, el precio de las credenciales bancarias es otro asunto. Por tan solo $100 se puede acceder a cuentas con $2000 o menos. O pueden costar más de $1000 para acceder a cuentas con $15 000 o más.
Un mercado fuerte para la información robada relacionada con la salud
Tanto las tarjetas de crédito como los datos de acceso bancarios tienen una vida útil que termina de repente cuando las víctimas descubren que han sido hackeadas. No obstante, hay otro registro de identidad digital que tiene información más permanente, como cualquier tipo de información personal relacionada con la salud, incluidos los valiosos registros médicos electrónicos. Estos contienen información sensible sobre el historial de salud de un individuo y, como tales, pueden utilizarse para chantajear a individuos; para humillar públicamente a ciertas personas; para llevar a cabo fraudes masivos de seguros con reclamaciones falsas y para crear caos y daño a las víctimas de diversas maneras.
Al igual que otros datos digitales robados, el coste de estos historiales médicos está sujeto a la misma dinámica de oferta y demanda que cualquier otro bien comercializado. Según Michael Ash, socio de Cumplimiento y riesgo de la estrategia de seguridad en IBM, un historial médico electrónico puede alcanzar el valor de $350 en la dark web.
Sin embargo, de acuerdo con las últimas investigaciones, debido a que recientemente se robaron muchos de estos registros y se pusieron a la venta en la dark web, los precios bajaron. Además, las autoridades policiales intensificaron sus esfuerzos para localizar y detener tanto a los compradores como a los vendedores de esta información de salud altamente personal, lo que asustó a algunos compradores. Es por ello que recientemente, algunos historiales médicos electrónicos (EMR) se han comprado por tan solo $100. No obstante, y como ya hemos mencionado, se trata de un mercado muy dinámico en el que los precios de los datos digitales robados varían con el tiempo, a menudo de forma incontrolada.
En cualquier caso, los incentivos por robar estos datos y luego venderlos a los mejores postores se mantendrán en el futuro previsible. Quizás la mejor defensa para quienes buscan proteger estos activos sigue siendo el uso de contraseñas de alta calidad a prueba de balas y el mantenimiento de una salud correcta de las contraseñas que asegure que estas se cambien con frecuencia. A este respecto, sería aconsejable tener en cuenta el uso de un gestor de contraseñas gratuito para eliminar todas las suposiciones relacionadas con la gestión de contraseñas y detener así a los cibercriminales.
Fuentes: CNBC, Cybersecurity Intelligence, Cyberscoop, CSID, Detroit Free Press, CSO Online, Crain’s, Vocativ, Dark Reading, Insurance Information Institute.
