¿Cómo, dónde y por cuánto venden los hackers toda la información que roban en la Red?
La razón de que esa información pueda adquirirse con la calderilla olvidada en el bolsillo de un pantalón es muy sencilla: está prácticamente al alcance de cualquiera, por lo que no hace falta ser un genio (malvado) de la informática para investigar someramente y encontrarla.
Por: Redacción Gestion.pe
Además, en este terreno los ciberdelincuentes no sólo rivalizan con informáticos aficionados, “tienen una competencia cuya actividad es, en principio, legal, los conocidos como data brokers, firmas privadas que recopilan datos de consumidores y empresas, sustentando su modelo de ingresos en su reventa sin la interacción directa de los usuarios”, explica Adolfo Hernández, de Thiber, think tank español dedicado a la ciberseguridad.
Sin embargo, hay datos más suculentos, económicamente hablando, para los hackers. “Siempre se ha dicho que la información es poder y esa información, especialmente la más sensible, se ha convertido en el petróleo del siglo XXI” señala Ignacio Heras, de GData.“Los nombres de usuario y contraseñas (que dan acceso a cualquier tipo servicio web) y los datos bancarios constituyen el botín más preciado”.
De hecho, los más apetecibles son los relacionados con tarjetas y “dependiendo de si son de débito o de crédito su valor variará sustancialmente”, señala Hernández. Pueden alcanzar un precio superior a los “100 dólares y, además, es habitual que los vendedores (denominados carders) ofrezcan descuentos” si se adquiere más de un ‘lote’.
Sin embargo, y según señala Pablo González, Technical Business Manager de Eleven Paths, “es difícil calcular cantidades exactas sin incurrir en ningún error, ya que depende de muchos factores”.
Destino: Deep Web
¿Pero dónde se realizan todas estas transacciones? Para Hernández, la ubicación de ese mercado virtual ilegal depende de la motivación del hacker.
Si es económica, lo habitual en el caso de informaciones de carácter personal, “los datos se suelen poner a la venta en la Internet profunda o Deep Web”. Si su objetivo es el espionaje o el chantaje, “no suelen hacerse públicos, ya que se busca analizarlos para soportar algún proceso de toma de decisiones” u obtener una recompensa. Y si estamos ante un caso de activismo (político, religioso, etc.), se compartirán, probablemente, a través de plataformas menos seguras como “las redes P2P” o, de nuevo, en la Deep Web.
Independientemente de a qué lugar vayan a parar los datos robados, lo único cierto es que para el usuario recuperar la privacidad perdida una vez que la información está en manos de los cibercriminales es prácticamente imposible. “Perdemos cualquier tipo de control sobre ella y en pocos segundos puede estar en manos de la competencia, si somos una empresa, o colgada en el mercado negro a precio de saldo”, resume Heras.
Desde GData nos advierten, además, del amplio abanico de usos ilegítimos y delitos que pueden perpetrar los que estén en posesión de estos datos. “Las consecuencias pueden limitarse al mundo online, con desfalcos más o menos serios en nuestras cuentas corrientes y suplantaciones de identidad; o trasladarse al mundo físico”.
Precaución, amigo internauta
Entonces, la cuestión es descubrir cómo librarse de esa amenaza cibernética que planea sobre cualquiera que se adentre en un dominio web. González confirma que “evitar que nuestra información caiga en las manos menos indicadas es difícil ya que vivimos en una era dónde siempre nos la solicitan y, además, solemos tener una facilidad intrínseca para darla a cualquiera que nos ponga un formulario delante (ya sea digital o físico)”.
Un primer y básico paso para protegernos es valorar la que proporcionamos y “sólo dársela a quiénes consideremos que la deberían tener”, prosigue González. Por su parte, Hernández destaca que, “como consumidores, debemos exigir a las empresas que la posean que sean diligentes en su tratamiento, haciendo que la seguridad no sea una opción, sino una práctica habitual y, como ciudadanos, debemos reclamar a nuestros gobiernos que establezcan las medidas necesarias para que las empresas y la propia Administración adquieran el nivel de madurez adecuado para garantizar nuestra privacidad”.
Por otra parte, Heras hace hincapié en que “el factor humano es siempre el eslabón más débil” y que, por ello, tenemos que ser prudentes y utilizar cualquier dispositivo conectado con sentido común para impedir posibles fugas de datos. Para ello, también es fundamental “mantener todos los programas instalados (no solo sistema operativo y navegador) actualizados, contar con un antivirus y cambiar las contraseñas cada cierto tiempo” o, simplemente, seguir ciertas recomendaciones para conseguir que sean inexpugnables.
Ladrones discretos
A pesar de todas las medidas preventivas que podamos adoptar, el mayor peligro, según recuerdan los expertos, está en lo que no somos capaces de ver y, por tanto, de frenar. Según Hernández, “en muchas ocasiones, la sustracción de información pasa inadvertida para el usuario” y eso hace que no seamos tan conscientes de todos los riesgos que corremos en Internet y nos tomemos a la ligera ciertas amenazas hasta que, como señala Heras, “ya se ha producido la estafa, la suplantación de identidad o el acceso a nuestras cuentas personales”.
Para cerciorarnos de que no hemos sido víctimas de algún ladrón extraordinariamente discreto ,González recuerda que “existen algunos sitios (como haveibeenpwned.com o hesidohackeado.com) donde simplemente introduciendo nuestro email podremos saber si estamos en alguna base de datos robada que haya sido expuesta en Internet. Una consulta en Pastebin o, incluso, en Google también puede revelarnos resultados sorprendentes”.
Diario Expansión de España
Red Iberoamericana de Prensa Económica (RIPE)