Los datos de las víctimas cibernéticas a precio de ganga
Publicado por Paul Rubens, BBC.
¿Le apetece una cuenta bancaria con US$300.000 en ella? Si usted sabe dónde buscar y no le importa tratar con delincuentes cibernéticos, entonces el precio actual para conseguir acceso a ella es de US$300, según un estudio de los bajos fondos de la piratería virtual.
Por ese dinero obtendrá los datos de la cuenta bancaria, además de nombre de usuario y la contraseña que le proporciona acceso total al dinero en internet.
Para los compradores delincuentes el precio es una ganga en comparación con las sumas que pagaban hace tan sólo dos años. En 2011, por US$300 la mayoría hubiera esperado adquirir una cuenta bancaria con apenas US$7.000 dólares o menos, dicen los investigadores.
La investigación fue realizada por Joe Stewart, director de investigación de malware en Dell SecureWorks, y David Shear, un investigador independiente.
La pareja monitoreó criminales rusos y otros foros en internet en los que se negocian los detalles financieros.
Stewart dice que el precio de todo tipo de información financiera robada ha caído fuertemente en los últimos años en los mercados negros de hackers, y sugiere que esto es el resultado de algunas violaciones de datos a gran escala que se han producido durante este período.
La saturación en la oferta podría continuar por algún tiempo.
Secretos en venta
"No es sólo que haya bajado el precio de las credenciales electrónicas de una cuenta bancaria", añade Stewart.
Por ejemplo, un expediente completo de información financiera y de otro tipo sobre un individuo que puede ser utilizado para cometer el robo de identidad, ahora cuesta sólo US$25 para una víctima de EE.UU., o US$30-40 para una británica.
Hace dos años estos expedientes completos, conocidos como Fullz en la jerga de los hackers, cambiaron de manos por hasta US$60 cada uno.
Un Fullz típico de una vícctima contiene:
- Nombre completo y dirección
- Números de teléfono y direcciones de correo electrónico con contraseñas
- Fecha de nacimiento
- Número de la seguridad social u otra identificación del empleado
- Y uno o más de los siguientes datos:
- Información de la cuenta bancaria
- Credenciales de banca online
- Información de tarjetas de crédito, incluyendo los códigos PIN
De hecho, ahora parece que hay tanta oferta de datos de tarjetas de crédito robadas que los hackers han tenido que reducir sus precios y tomar medidas aún más extremas de venderlos antes de que caduquen o se cancelan.
"Los hackers robaban datos de tarjetas de crédito de uno en uno, pero ahora han averiguado donde pueden robar grandes cantidades de datos de una sola vez", dice Stewart.
"Por lo general, los vendedores en los mercados negros ofrecen sus compradores algunos detalles de tarjetas de crédito de forma gratuita para que estos puedan verificarlos y comprarlos en lotes de alrededor de mil".
El precio actual es de US$4 por la tarjeta Visa o Mastercard de estadounidenses y entre US$7 y US$ 8 de británicos o europeos queridos, dice.
Fraudes sofisticados
La razón de que las informaciones financieras estadounidenses robadas valen menos que las británicas o las europeas es en parte porque es más difícil y más costoso para los delincuentes transferir fondos robados de EE.UU. a donde ellos se encuentran, que generalmente es Europa del Este o Asia, dice Stewart.
Esto generalmente implica el uso de intermediarios que reciben una parte para blanquear el dinero.
Los paquetes Fullz sólo han estado disponibles desde hace unos años, y su existencia indica que los delincuentes son cada vez más sofisticados en sus ofertas, según Stewart.
"Antes sólo ofrecían listas de números de tarjetas de crédito, pero el que ofrezcan Fullz muestra que los hackers se han vuelto más inteligente y ahora son capaces enfocarse en lugares específicos donde se almacenan una amplia gama de datos personales", dice.
Los criminales cibernéticos también se han vuelto más sofisticados en la forma en que ofrecen datos financieros robados a clientes potenciales.
Esto incluye la creación de sitios web con funciones de búsqueda que permiten a los mismos compradores buscar datos robados para obtener detalles específicos.
"Establecieron éstos como servicios de suscripción de modo que los suscriptores pudiesen tantas búsquedas como quisieran de cuentas en bancos específicos para obtener dinero en efectivo de la manera más conveniente", dice.
No obstante, no todos los precios están cayendo en el mundo de la delincuencia cibernética.
Los piratas informáticos tratan de identificar y explotar las vulnerabilidades programas y sistemas operativos para obtener acceso a detalles de tarjetas de crédito y otros datos.
Ladrones de Bitcoin
Stefan Frei, director de investigación de la consultora de seguridad NSS Labs, dice que el precio que los cibercriminales están dispuestos a pagar por descubrir nuevas vulnerabilidades está aumentando, y cuanto más segura se considera una plataforma, mayor valor tiene piratearla.
"La gente está poniendo más de su vida en las computadoras, por lo que el valor de hackear un equipo es mucho mayor que antes", explica.
"Una vulnerabilidad IOS puede cambiar de manos por US$500.000 o incluso US$1 millón".
De cara al futuro, Stewart cree que el ascenso de Bitcoin, una moneda virtual, podría causar que los ladrones cambien de blanco. Las empresas se sienten atraídas por el apoyo a la innovación como una alternativa al dinero en efectivo porque es barato de usar, los pagos son casi instantáneos y el movimiento les da publicidad.
Sin embargo, el investigador de Dell advierte que las billeteras digitales, los programas informáticos utilizados para almacenar Bitcoins, son objetos más tentadores para los hackers que las cuentas bancarias.
"Muchos usuarios de Bitcoin no saben mucho acerca de la seguridad, y muchos protegen sus carteras digitales con un nombre de usuario y una contraseña que los delincuentes pueden superar fácilmente utilizando malware", afirma.
"Lo atractivo para un criminal es que si roban una billetera Bitcoin no tiene que pasar por un intermediario como lo hace con una cuenta bancaria real para mover el dinero. Puede cobrarlo al instante en cualquier lugar del mundo". / Publicado por Paul Rubens,
BBC.