La ola de ciberataques que ha propiciado el uso de herramientas de Inteligencia Artificial ha creado un mercado negro en el que ciberdelincuentes compran y venden los datos y contraseñas de tarjetas de crédito y cuentas bancarias por apenas 10 dólares.
Montserrat Recio, consultora especialista en riesgos informáticos de la correduría RibéSalat, señala que “el cibercrimen se ha especializado: unos hackers lanzan ataques para hacerse con datos financieros y personales y otros los compran para realizar las estafas”.
Según la consultora SOCradar, en los foros y mercados de la dark web se pueden comprar los datos de tarjetas de crédito europeas por 10 dólares, y por 11,40 los de las tarjetas estadounidenses, porque suelen tener límites de crédito más altos. Las cuentas de plataformas digitales de pagos como PayPal, Bybit y Revolut o de entidades financieras cuestan entre 50 y 100 dólares, en función de la reputación de fiabilidad del grupo que las vende y de los saldos que tengan.
En la web oscura se compran y vendes bases de datos rabadas
Francisco Valencia, director general de la consultora Secure&IT lamenta que “muchas veces los hackers obtienen esos datos porque se los damos nosotros mismos: crean falsas tiendas online, o páginas web que suplantan a empresas legítimas. Otra estrategia es ofrecer servicios o contenidos o sorteos que requieren que nos registremos”.
“Muchos hackers son lo que diríamos ‘autónomos’ -explica Valencia-, informáticos que viven en países muy pobres como Yemen, Etiopía, Pakistán o incluso Gaza que idean maneras de sacarnos esos datos y luego los venden a tanto la pieza. En la dark web hay foros, parecidos a nuestro MilAnuncios, páginas como Fish and Pal, donde los ofrecen al mejor postor”. En esta página se venden desde cuentas y tarjetas hackeadas, a cuentas de plataformas digitales como Netflix o de videojuegos como PlayStation, además de herramientas informáticas para realizar ciberataques.
Otras veces los hackers consiguen los datos bancarios de los clientes atacando a tiendas legítimas: en los últimos meses las principales tiendas del mundo han sido blanco de ciberataques, entre otras El Corte Inglés, Marks & Spencer, Alcampo, Co-op, Harrods y muchas marcas de lujo como Cartier, Louis Vuitton o Christian Dior. Y aún otras veces han sido empleados de las propias firmas quienes han vendido los datos de los clientes a los criminales, explica Recio, como sucedió en la plataforma de criptomonedas Coinbase, donde los hackers sobornaron a trabajadores de su servicio de atención al cliente y consiguieron los datos de las cuentas de casi 70.000 usuarios.
Lee también
Los hackers que acceden a grandes bases de datos suelen ser bandas muy profesionalizadas y las venden a comisión: se quedan el 10% de lo que obtengan los hackers compradores al ejecutar su estafa.
“Falta conciencia de lo expuestos que estamos a sufrir una estafa digital” lamenta Recio, que recuerda que el cibercrimen ya es el segundo mayor negocio criminal del mundo, solo después de la trata de personas.
La única manera de evitar ser la próxima víctima es prevenir, explica Recio. “Hay que mirar bien en qué web entramos, que sea la legítima de la tienda que buscamos, y no las muchas falsas que las imitan para robar nuestros datos. Y cuando nos piden que nos registremos, para un sorteo o una suscripción, siempre hay que mirar bien qué datos damos y qué usos estamos autorizando”.
Romper el doble factor de identificación
El peligro ha aumentado porque ahora ya hay estrategias para superar el doble factor de identificación. Valencia explica, por ejemplo, que miembros de las bandas se dedican a llamar por teléfono a las personas con altos saldos bancarios o de las que tienen indicios de tener gran poder adquisitivo. “En la llamada aseguran ser agentes de una compañía de la que somos clientes y nos dan todos nuestros datos, y todos son correctos, porque los han robado y nos dicen que ha habido un problema informático y que necesitan que autoricemos el pago de la última compra o de la suscripción. Y lo hacemos”. En esos momentos, sin embargo, los criminales están suplantando nuestra identidad en la app del banco o han puesto los datos de nuestra tarjeta de crédito para hacer una compra, y al darles el código de autorización que el banco envía al móvil autorizamos esas operaciones.
Este tipo de estafa se conoce como “vishing” y para evitarla la recomendación es clara: no hacer nunca caso a llamadas de empresa con peticiones de este tipo y llamar nosotros mismos siempre de vuelta a su número de contacto habitual de atención al cliente.
Otra estrategia frecuente ya es el SIM swaping: duplicar tarjetas SIM simulando la identidad de la víctima ante su compañía telefónica o sobornando a empleados de tiendas de telefonía, de manera que es el hacker el que recibe directamente el SMS de la entidad bancaria para autorizar la operación.
Francisco Valencia señala que la vía más efectiva para evitar ser víctima de una ciberestafa es mantener nuestros datos personales y sobre todo bancarios fuera de Internet. Así, recomienda tener una cuenta de correo “B” para registrarse en todas las webs que lo exigen para acceder a sus servicios. Y, sobre todo, “usar una tarjeta de crédito virtual. Ahora las tienen todas las entidades financieras. Son prepago, es decir las cargas con el importe de la transacción que vas a realizar, y de un solo uso. Así, en el caso de que esa empresa sea atacada y roben tus datos bancarios no podrán hacer nada, porque solo tendrán una tarjeta que ya no estará operativa”.
Otra precaución clave es tener contraseñas de un solo uso. “A veces en las bases de datos robadas no está nuestra contraseña. Pero los hackers la obtienen porque acceden a otras bases de datos donde sí la hemos puesto, y en muchos casos es la misma”, explica Valencia. La IA permite ahora a los hacker cotejar los datos de una persona que hay en diferentes bases de datos robadas, y entre las empresas atacadas están no solo comercios sino también cadenas de gimnasios, asociaciones, grandes operadoras de telefonía y las compañías eléctricas, entre muchas otras.
Lee también
“Mucha gente tiene solo dos contraseñas: la difícil, que le exigen en el trabajo, y la fácil, que usa para todo lo demás. Así, cuando los hackers obtienen una contraseña nuestra de algún sitio web con bastante seguridad podrán usarla con éxito para suplantar nuestra identidad en muchos otros sitios”, lamenta Valencia.
