Ir a contenido

El supermercado del dato en internet

La mayoría de la información obtenida en ataques informáticos se venden 'a peso' en el mercado negro para perpetrar ataques de 'phishing' o chantajes

Carmen Jané

Noel Biderman, el fundador de Ashley Madison, en el 2011 en Barcelona.

Noel Biderman, el fundador de Ashley Madison, en el 2011 en Barcelona. / CARLES MONTAÑÉS

Si alguien consigue robar el correo electrónico y la contraseña de un usuario desconocido, es poco probable que lo utilice para escribir correos en su nombre. Lo más habitual es que prueben con esa información para acceder a otros servicios más sensibles de los que puedan extraer datos bancarios y sobre todo números de tarjetas de crédito que se puedan usar para hacer cargos y obtener dinero. Porque aunque en la economía digital, el valor de los datos es dinero, los delincuentes informáticos son más simples y aquí son la vía para obtener ‘cash’. Por la internet habitual o por la llamada Internet profunda (Deep Web), páginas a las que se accede por un navegador especial (por lo general Tor) y que escapan a los buscadores habituales. Pero dinero a fin y al cabo.

“La mayoría de los ataques informáticos se realizan para obtener información sensible, por espionaje industrial o para hundir la reputación de alguien, o para lograr datos de pago, que es lo más habitual”, afirma Eusebio Nieva, director técnico de la empresa de seguridad Check Point en España.

En esta internet oculta hay páginas (a veces auténticos supermercados) donde se pueden comprar y vender “a peso” listados de correos y contraseñas, números y claves de tarjetas de crédito, con o sin datos añadidos como nivel de gasto, preferencias sexuales u otros parámetros que se pueden usar con facilidad para un chantaje. Por no hablar de programas, herramientas y fallos que en manos adecuadas son las navajas multiusos para entrar en cualquier sistema. “Si los delincuentes consiguen cruzar cuentas de correo con identidades reales, puede ser muy problemático”, observa Nieva.

AMENAZA DE ENGAÑOS

Ahí, un correo tipo ‘phishing’ (que enmascara la identidad real del remitente) puede engañar a un usuario afectado por un robo de información si le pide que cambie su contraseña e introduzca nuevas claves, que espera que la compañía le avise del fallo. O puede ser la vía para introducir un troyano con el que controlar a distancia el ordenador (y ahí sacar claves, datos o usar la máquina). “Con que el 1% de los que reciben el correo piquen, ya sacan bastante”, señala. O se pueden ir probando correos y contraseñas en varios servicios hasta que se les abran las puertas, añade.

Estas redes de delincuencia, donde hay niveles de trabajadores que se reparten las tareas, desde conseguir los datos a pulirlos o utilizarlos, se nutren estos listados, que tampoco siempre son auténticos. “Hay mucho fraude también en la Deep Web, números caducados, contraseñas ya cambiadas, engaños...”, afirma Josep Albors, director técnico de la empresa de seguridad ESET. “Los precios varían según la calidad de los datos y se paga en bitcoins para que no se pueda seguir la transacción”, cuenta.

“Al ser datos muy sensibles, el ataque a Adultfriendfinder es muy peligroso porque se puede usar para extorsionar”, recuerda Nieva. Ya ocurrió así con Ashley Madison, donde se extorsionó o incluso se vinculó con dos suicidios en Canadá. Por ello, los expertos aconsejan utilizar tarjetas de recarga e identidades falsas en webs consideradas sensibles. “Es que los delincuentes pueden incluso identificar caras con software de reconocimiento de imagen. Hay que trabajarlo, pero es posible”, señala Nieva.

Para darle la mejor experiencia posible estamos cambiando nuestro sistema de comentarios, que pasa a ser Disqus, que gestiona 50 millones de comentarios en medios de todo el mundo todos los meses. Nos disculpamos si estos primeros días hay algún proceso extra de 'login' o el servicio no funciona al 100%.