¿Conoces la web oscura, cuánto cuestan tus datos personales pirateados en el mercado negro, cómo utilizan los ciberdelincuentes los datos robados y qué puedes hacer para protegerte?
Según estadísticas de seguridad recientes, el número de violaciones de datos personales y de hacks ha aumentado drásticamente. COVID-19 ha incrementado el número de trabajadores remotos que operan en plataformas basadas en la nube, allanando el camino para ciberataques. Y el despliegue del 5G, que ha llevado a la adopción de más dispositivos conectados, también ha aumentado la superficie de ataque para los hackers que buscan explotar datos personales sensibles.
Lo peor es que investigación muestra que la mayoría de las empresas no protegen sus datos confidenciales o tienen enfoques de seguridad tradicionales que son en gran medida ineficaces, lo que las hace vulnerables a los ciberataques.
Esto significa que los hackers pueden robar fácilmente tus datos personales y utilizarlos para llevar a cabo ataques más peligrosos, o pueden venderlos en la dark web por miles de dólares.
¿Qué es la Dark Web?
En web oscura es un mercado en el que los vendedores operan de forma anónima en el comercio ilegal de mercancías a través de canales no oficiales o no autorizados.
Motores de búsqueda no indexan la web oscura. Los usuarios acceden a ella utilizando navegadores únicos como Tor, lo que les hace rebotar a través de muchos relés diferentes, haciendo casi imposible rastrear su conexión.
Estadísticas sobre terrorismo en la web oscura revelan más de 50.000 grupos extremistas en esta parte de Internet, y pueden vender y comprar casi cualquier cosa.
La información personal robada se comercia con frecuencia en el mercado negro en línea. Y los precios de los datos personales dependen de una combinación de factores como el tipo de datos que se venden, los riesgos de obtenerlos, lo reciente de su obtención, los crecientes beneficios de los compradores que utilizan la información, el aumento de la calidad y la precisión de la información, y su demanda y oferta.
Eso significa que el mercado negro está prosperando. Oscuro estado de los informes web que los ciberdelincuentes añadieron más de 22.000 millones de nuevos registros a la venta solo en 2020 en el mercado negro.
Los vendedores de la Dark Web parodian incluso los mercados tradicionales establecidos con ofertas como "¡compre dos tarjetas de crédito clonadas y llévese una gratis!".
Para ilustrar mejor cómo está prosperando el mercado, he aquí una instantánea del perfil de un vendedor de documentos de identidad falsos con más de 600 valoraciones de compradores que realizan ventas todos los días:

La forma más habitual de pagar en la web oscura es con Bitcoins (BTC). Sin embargo, recientemente, los vendedores de la web han estado pidiendo a los compradores que realicen los pagos utilizando Monero y que se comuniquen sólo a través de cifrado PGP (Pretty Good Privacy). Monero y PGP ofrecen más seguridad y les ayudan a evitar ser detectados y rastreados por las fuerzas de seguridad.
Cómo monetizan los hackers los datos personales robados
Informe anual de Verizon sobre violaciones de datos afirma que 86% de las violaciones de datos personales tienen que ver con el dinero, y 55% son cometidas por grupos delictivos organizados. Y con la cantidad de dinero que pueden ganar, no van a ir a ninguna parte a corto plazo.
Tras robar su información personal, los hackers la organizan en una base de datos que monetizan de diversas formas.
Ellos mismos pueden utilizar los datos.
Los piratas informáticos podrían beneficiarse de su información personal robada explotándola para realizar transacciones o cometer fraudes, por ejemplo:
- Retirar dinero de su cuenta bancaria
- Obtener nuevas tarjetas de crédito
- Compras en línea
- Pedir dinero prestado al banco o a tus amigos y familiares
- Reclamaciones fraudulentas al seguro de enfermedad
- Saldar sus deudas
Los hackers pueden vender su información personal a otros delincuentes
Otra forma en que los piratas informáticos sacan provecho de los datos personales robados es vendiéndolos en masa a otros delincuentes en el mercado negro por miles de dólares. Los compradores pueden adquirir los datos robados que les interesen y utilizarlos para sus actividades maliciosas.
Por ejemplo, la información personal identificable, como los nombres de las víctimas de la brecha, sus números de la Seguridad Social, direcciones y fechas de nacimiento, puede utilizarse para realizar transacciones fraudulentas.
Los compradores también pueden clonar números de tarjetas de crédito y códigos de seguridad y utilizarlos para el robo de identidad. El comprador puede, por ejemplo, solicitar préstamos en nombre de la víctima o presentar informes fiscales falsos. Y pueden utilizar correos electrónicos robados en ataques de phishing, tácticas de ingeniería social y DDoS (denegación de servicio distribuida).
¿Cuánto cuestan mis cuentas pirateadas?
Según la Índice de precios de la Dark Web 2021 de Privacy Affairs, los ciberdelincuentes pueden sacar bastante provecho de los datos personales pirateados.
Todo, desde tarjetas de crédito hasta cuentas de Netflix, está a la venta en la red oscura.
Cuentas financieras
Obtener los datos de una tarjeta de crédito robada con un saldo de hasta 1.000 PT4T cuesta 1.150 PT4T. Los datos de tarjetas de crédito con un saldo de hasta $5.000 cuestan $240.
Una cuenta bancaria con un mínimo de $2.000 sólo le costará a un ciberdelincuente $120 obtener los datos de acceso. Y los datos robados de una cuenta PayPal con un mínimo de $1.000 también cuestan $120.
Transferir dinero desde una cuenta PayPal robada con un saldo de $1.000 - $3.000 costará al ciberdelincuente $340, mientras que transferir dinero desde una cuenta PayPal robada con un saldo de $3.000 sólo cuesta $180. Y obtener la información de acceso de 50 cuentas PayPal pirateadas cuesta $200.
La transferencia por Western Union desde cuentas robadas de más de $1.000 cuesta apenas $45. Una cuenta verificada de Stripe con pasarela de pago cuesta $1.000.
Una de las cuentas más valiosas de la dark web son las de criptomonedas. Una cuenta hackeada y verificada Kraken cuenta va para $810, un hackeado y verificado Coinbase $610, mientras que una cuenta hackeada y verificada Cex.io costes de la cuenta $410.
Cuentas en redes sociales
Las cuentas de redes sociales y correo electrónico varían entre $35 y $80.
Una cuenta de Twitter pirateada cuesta $35, mientras que por una cuenta de Gmail pirateada se puede pagar hasta $80.
Conseguir mil seguidores, likes o shares para tus cuentas de redes sociales varía entre $1 y $25. Por ejemplo, los piratas informáticos piden tan solo $5 para comprar 1.000 seguidores para tu cuenta de Instagram, y los mismos seguidores cuestan $2 para Spotify.
El precio de una base de datos de correos electrónicos con hasta 4,78 millones de correos electrónicos puede ser tan bajo como $10. La base de datos privada de dentistas de EE.UU. con 122.000 correos electrónicos cuesta $50. Y la base de datos de votantes estadounidenses de varios estados cuesta $100.
Escaneado de documentos y copias físicas
Los pasaportes son también uno de los artículos más caros que figuran en el índice del mercado negro. Los pasaportes físicos más caros (malteses) pueden alcanzar la friolera de $6.500, mientras que los más baratos (lituanos) se venden por $1.500. Por un documento nacional de identidad falso, los piratas informáticos piden desde $50 (documento de identidad de Nueva Jersey) y, en algunos casos, hasta $500 (documento de identidad de Letonia).
Los precios de las copias falsificadas de carnés de conducir de distintos estados varían entre $20-$100. El carné de conducir estadounidense cuesta $100, mientras que el australiano sólo $20.
Los piratas informáticos piden $8 por una cuenta de Uber pirateada y $14 por una cuenta de conductor de Uber pirateada.
El número de la seguridad social válido en EE.UU. va por $2.
Una cuenta de eBay con una gran reputación (más de 1.000 votos) puede alcanzar los $1.000. Mientras que una tarjeta verde estadounidense falsa se vende por $150.
Qué puede hacer para protegerse
Para evitar que su información personal acabe en el mercado negro, siga estas directrices básicas.
Utilice una contraseña segura
Utilice un gestor de contraseñas para ayudarte a generar contraseñas fuertes y únicas para cada una de tus cuentas de redes sociales.
Las contraseñas genéricas, como tu fecha de nacimiento o el nombre de tu primera mascota, son fáciles de descifrar.
Asegúrate de que tus contraseñas sean largas (al menos 16 dígitos) y variadas, con letras, números y símbolos.
Activar la autenticación multifactor
Activar la autenticación multifactor en tus cuentas significa que si los hackers pueden acceder a tus datos de acceso, no podrán acceder a tu cuenta sólo con las contraseñas.
Esto se debe a que la autenticación multifactor requiere una contraseña más algo a lo que sólo tú tengas acceso, como un código de seguridad, tocar un número en tu pantalla o un mensaje de texto enviado a tu teléfono.
Desconfía del WiFi público.
Evite acceder a cuentas sensibles mientras esté en una WiFi pública. Según un estudio realizado por Kaspersky Seguridad, casi una cuarta parte de los puntos de acceso WiFi públicos del mundo no utilizan ninguna encriptación.
Por eso, los hackers suelen atacar a los usuarios de redes WiFi públicas para robarles sus datos de acceso. Supongamos que los ciberdelincuentes pueden acceder a la información de inicio de sesión de una de sus cuentas en línea. En ese caso, pueden utilizar la fuerza bruta para descifrar las contraseñas de tus otras cuentas y robar dinero o información personal sensible.
Utilice siempre un VPN y un sólido antivirus con un cortafuegos mientras navegas en una WiFi pública para que tus datos estén cifrados mientras están en tránsito.
Tenga cuidado al navegar por Internet.
Cambia la configuración de privacidad predeterminada de tus dispositivos. Y borra o desactiva siempre las cookies de tu navegador. También deberías limitar la información que compartes en las redes sociales. Por ejemplo, no uses tu nombre completo en tus cuentas de redes sociales. Y lee siempre los términos y condiciones antes de utilizar una aplicación o servicio.
Conclusión 👨🏫
Como ya se ha dicho, las filtraciones de datos tienen que ver con el dinero, lo que significa que los hackers están aquí para quedarse.
Los ciberdelincuentes seguirán teniendo como objetivo a los empleados remotos. Y el crecimiento del 5G ampliará el ancho de banda de los dispositivos conectados, haciéndolos más vulnerables a los ciberataques.
Estos informes muestran la importancia de conservar sus valiosos datos y información personal privada y segura.