Cómo ganan dinero los hackers

El daño de que le roben la identidad o los registros personales, financieros o de salud puede tardar meses o años en repararse. Sin embargo, ¿cuál es el valor de los datos robados en el mercado negro digital actual?
La mala noticia para las víctimas del robo de datos es que cada vez más estafadores tienen acceso a más datos robados a precios cada vez más bajos. La razón por la que hay tantos datos robados disponibles es que los hackers simplemente no encuentran dificultades para robarlos. La filtración de datos de Equifax en septiembre de 2017, que puede haber afectado hasta 143 millones de estadounidenses, es el ejemplo perfecto.

Aquí hay algunos ejemplos del precio de sus datos robados:

Infográfico expandido sobre cómo ganan dinero los hackers

¿Dónde se venden los datos robados?

Es importante entender cómo y dónde se revenden los datos robados. Sucede en una parte de la World Wide Web llamada Dark Web o web oscura. La Dark Web es un mercado inmenso para todo lo ilegal y solo se accede a ella utilizando un software especial en el que la identidad de los visitantes se oculta. La mayor parte de la Dark Web se parece a cualquier otra página de comercio electrónico. Los vendedores tienen opiniones dadas por compradores anteriores. Se puede incluso comprar software para crear un negocio de hackeo propio. Los pagos a los vendedores se realizan mediantebitcoins, una moneda digital que asegura que tanto los compradores como los vendedores permanezcan en el anonimato.

Una vez que se está en este emporio ilícito y se tiene algo de dinero digital o bitcoins, es fácil comprar identidades robadas o acceder a cuentas bancarias. Tomemos por ejemplo las tarjetas de crédito robadas. Al igual que al comprar cualquier otra producto en línea, los compradores especifican el tipo de tarjeta (Amex, Visa, etc.); el código CVV o de tres dígitos en el reverso de las tarjetas; si desea información asociada con el nombre de usuario y contraseña; nombres; fechas de caducidad; la capacidad de endeudamiento; números de la Seguridad Social; apellido de soltera de la madre; límites de crédito; fecha de nacimiento; lugares específicos de uso, y así sucesivamente. El coste por tarjeta varía según la información que desee el comprador. Después, tan solo hay que hacer clic en "comprar ahora" y descargar sus bienes robados.

¿Qué cuestan los datos robados?

¿Cuánto cuestan estas tarjetas en la Dark Web? Las variaciones son amplias y también fluctúan dependiendo del suministro de tarjetas robadas. Si se produjera un hackeo importante en el que se filtraran 10 millones de tarjetas, el precio podría caer en picado si los hackers inundan el mercado. Sin embargo, en términos generales (y estas cifras se obtienen de varias fuentes públicas), el coste de los datos de las tarjetas de crédito robadas oscila aproximadamente entre los 8 $ y 22 $, o el equivalente en bitcoins. Estos precios tienden a ser más altos para las tarjetas de crédito robadas de la Unión Europea, Canadá y Australia. Los compradores pagan más por las tarjetas con las llamadas "fullzinfo" o simplemente "fullz", lo que significa que el registro robado tiene un conjunto muy completo de información sobre el titular de la tarjeta. No obstante, y como se detalla en un informe pionero de McAfee sobre el mercado de la información digital robada, las tarjetas de crédito y débito no son necesariamente el objetivo habitual de los hackers y defraudadores en la actualidad. Los objetivos son cada vez más las cuentas de servicios de pago en línea protegidas por contraseña. A diferencia de las tarjetas de crédito, en las que el coste por tarjeta viene determinado por los diferentes factores que selecciona el comprador, el coste de estos datos robados está relacionado en gran medida con los saldos de las cuentas en línea. Como es de esperar, el precio de las credenciales bancarias es otro asunto. Por tan solo 100 $ se puede acceder a cuentas con 2.000 $ o menos. O pueden costar más de 1.000 $ para acceder a cuentas con 15.000 $ o más.

Un mercado fuerte para la información robada relacionada con la salud

Tanto las tarjetas de crédito como los datos de acceso bancarios tienen una vida útil que termina de repente cuando las víctimas descubren que han sido pirateadas. No obstante, hay otro registro de identidad digital que tiene información más permanente, como cualquier tipo de información personal relacionada con la salud, incluidos los valiosos registros médicos electrónicos. Estos contienen información muy delicada sobre el historial de salud de un individuo y, como tales, pueden utilizarse para chantajear a individuos; para humillar públicamente a ciertas personas; para llevar a cabo fraudes masivos de seguros con reclamaciones falsas y para crear caos y daño a las víctimas de diversas maneras.

Al igual que otros datos digitales robados, el coste de dichos registros de salud está sujeto a la misma dinámica de oferta y demanda que cualquier otro bien comercializado. Según Michael Ash, socio del Cumplimiento y riesgo de la estrategia de seguridad en IBM, un registro médico electrónico puede alcanzar el valor de 350 $ en la Dark Web.

Sin embargo, un estudio reciente apunta que, debido a que un gran número de estos registros se han robado recientemente y luego se han subido a la Dark Web para su venta, los precios han caído. Además, las autoridades policiales han intensificado sus esfuerzos para localizar y detener tanto a los compradores como a los vendedores de esta información de salud altamente personal, lo que ha asustado a algunos compradores. Es por ello que recientemente, algunos registros médicos se han comprado por tan solo 100 $. No obstante, y como ya hemos mencionado, se trata de un mercado muy dinámico en el que los precios de los datos digitales robados varían con el tiempo, a menudo de forma incontrolada.

En cualquier caso, los incentivos por robar estos datos y luego venderlos a los mejores postores se mantendrán en el futuro previsible. Quizás la mejor defensa para quienes buscan proteger estos activos sigue siendo el uso de contraseñas de alta calidad a prueba de balas y el mantenimiento de una "salud" correcta de las contraseñas que asegure que estas se cambien con frecuencia. A este respecto, sería aconsejable tener en cuenta el uso de un gestor de contraseñas gratuito para eliminar todas las suposiciones relacionadas con la gestión de contraseñas y detener así a los hackers.

Fuentes: CNBC, Cybersecurity Intelligence, Cyberscoop, CSID, Detroit Free Press, CSO Online, Crain’s, Vocativ, Dark Reading, Insurance Information Institute.