En este mismo blog nos hemos referido en repetidas ocasiones al auge del fenómeno de phising o robo de datos e identidades a través de Internet, y eso porque, a las llamadas a la atención, no deja de crecer hasta el punto de que, prácticamente no hay día en el que no nos desayunamos con alguna noticia
relacionada con el robo de datos o el hackeo de algún servicio online o
empresa de Internet (las últimas alertas hacen mención al grupo Santander, a Vodafone, a diferentes cadenas de supermercados o incluso al servicio de Correos). Se ha convertido en algo tan común que apenas nos
llama la atención. Pero es un tema muy serio, porque hablamos del robo
de identidad, cuentas bancarias y fondos de tarjetas de crédito que
puede suponer un grave trastorno si la cuenta del banco se vacía, o
alguien realiza operaciones criminales suplantando a otra persona.
De todas formas siempre queda en el aire la pregunta del millón: si, ciertamente, el usuario medio de Internet empieza a estar realmente concienciado del problema y cada vez es más reacio, como es natural, a facilitar alegremente datos sensibles por esta vía virtual, ¿qué otros caminos pueden utilizar las redes de delincuentes para obtener esa información? De que sin duda existen otros caminos, quien suscribe puede dar testimonio: hace algún tiempo, coincidiendo casualmente con el pago con tarjeta de un servicio en un restaurante, recibí tres SMS consecutivos del banco en que me informaban de que en ese momento se estaban produciendo sendos cargos en la cuenta debido a tres pagos efectuados en comercios de Londres con la misma tarjeta que yo tenía en la mano en esos momentos. Pasada la perplejidad inicial, y tras la inmediata denuncia a la Policía y la colaboración del banco en la resolución, todo se solventó sin problemas, pero me sigo preguntando cómo estaban los datos de mi tarjeta en manos de delincuentes, desde la certeza de que yo no los había facilitado.
La respuesta, en parte, decíamos, a esta pregunta del millón, se halla en el mismo funcionamiento de Internet. Los buscadores a los que estamos habituados (Google Yahoo, etcétera) sólo tienen acceso, siendo generosos, a un 10 % de la información que reside o circula por la Red y el resto suele ser generada en sitios o webs dinámicos que resultan difíciles de encontrar por los motores de búsqueda tradicionales. Es lo que se llama Deep Web, para nosotros Internet Profunda, Internet Oculta o Internet Invisible, con todo el contenido que no forma parte de la Internet superficial que todos utilizamos. Dicho sea de paso, las autoridades califican a la Deep Web como un refugio para la delincuencia debido al contenido ilícito que se encuentra en ella. ¿Todo ilícito? En absoluto, y ahí está la madre del cordero; pensemos que organismos oficiales, entidades financieras, hospitales, corporaciones empresariales,.... precisan estar permanentemente conectados a Internet, y la información que manejan está en la Red, indexada y abierta para motores de búsqueda o no.
El paso siguiente es que alguien sea capaz de diseñar un motor de búsqueda que permita rastrear en esos códigos no abiertos y entrar en esos santuarios de información para conseguir esos datos privados cuya comercialización se convierte en un floreciente negocio en donde todo tiene su precio.
Y ya se ha hecho. Ya existen buscadores que son instrumento de trabajo de hackers que han hecho del comercio con datos personales su modus vivendi. Hay que decir, en honor a la verdad, que WikiLeaks y similares tienen la misma base técnica.
De todas formas siempre queda en el aire la pregunta del millón: si, ciertamente, el usuario medio de Internet empieza a estar realmente concienciado del problema y cada vez es más reacio, como es natural, a facilitar alegremente datos sensibles por esta vía virtual, ¿qué otros caminos pueden utilizar las redes de delincuentes para obtener esa información? De que sin duda existen otros caminos, quien suscribe puede dar testimonio: hace algún tiempo, coincidiendo casualmente con el pago con tarjeta de un servicio en un restaurante, recibí tres SMS consecutivos del banco en que me informaban de que en ese momento se estaban produciendo sendos cargos en la cuenta debido a tres pagos efectuados en comercios de Londres con la misma tarjeta que yo tenía en la mano en esos momentos. Pasada la perplejidad inicial, y tras la inmediata denuncia a la Policía y la colaboración del banco en la resolución, todo se solventó sin problemas, pero me sigo preguntando cómo estaban los datos de mi tarjeta en manos de delincuentes, desde la certeza de que yo no los había facilitado.
La respuesta, en parte, decíamos, a esta pregunta del millón, se halla en el mismo funcionamiento de Internet. Los buscadores a los que estamos habituados (Google Yahoo, etcétera) sólo tienen acceso, siendo generosos, a un 10 % de la información que reside o circula por la Red y el resto suele ser generada en sitios o webs dinámicos que resultan difíciles de encontrar por los motores de búsqueda tradicionales. Es lo que se llama Deep Web, para nosotros Internet Profunda, Internet Oculta o Internet Invisible, con todo el contenido que no forma parte de la Internet superficial que todos utilizamos. Dicho sea de paso, las autoridades califican a la Deep Web como un refugio para la delincuencia debido al contenido ilícito que se encuentra en ella. ¿Todo ilícito? En absoluto, y ahí está la madre del cordero; pensemos que organismos oficiales, entidades financieras, hospitales, corporaciones empresariales,.... precisan estar permanentemente conectados a Internet, y la información que manejan está en la Red, indexada y abierta para motores de búsqueda o no.
El paso siguiente es que alguien sea capaz de diseñar un motor de búsqueda que permita rastrear en esos códigos no abiertos y entrar en esos santuarios de información para conseguir esos datos privados cuya comercialización se convierte en un floreciente negocio en donde todo tiene su precio.
Y ya se ha hecho. Ya existen buscadores que son instrumento de trabajo de hackers que han hecho del comercio con datos personales su modus vivendi. Hay que decir, en honor a la verdad, que WikiLeaks y similares tienen la misma base técnica.
La popular empresa de seguridad informática McAfee se ha sumergido en el mercado negro de la Internet superficial y de la Deep Web para
intentar averiguar, por ejemplo, cuánto se paga por las tarjetas de crédito, cuentas
bancarias y de PayPal, y ha publicado el jugoso informe The hidden data economy (La economía de los datos ocultos) que ofrece un panorama sombrío no sólo por la gran cantidad de datos online que se roban, sino por la facilidad para venderlos y comerciar con ellos en el mercado negro de Internet.
Algunos ejemplos de este negocio: por los datos de una tarjeta bancaria americana con el código CVV2 sólo se pagan 7€; si además contiene información como
los datos personales y la fecha de nacimiento, el precio asciende a
26€. Las tarjetas bancarias europeas se pagan mejor, pudiendo alcanzar
los 39€.
Merece una reflexión pensar que parecen precios muy bajos lo que indica que, primero, se roban muchas, y segundo, los bancos las cancelan con rapidez, por eso el riesgo de que no sirvan es alto.
Sin embargo, si se trata de una tarjeta física con todos los datos,
incluyendo los contenidos de la banda magnética y el PIN del cajero,
sube la cotización. Por una tarjeta estadounidense completa se pagan
96€, y por una europea, 167€.
El informe alerta sobre el robo, en partiular, de los datos de las cuentas
bancarías, con las que es sencillo hacer una transferencia de fondos a
bancos extranjeros y vaciarlas antes de que detecten el acceso no
autorizado.
Un servicio de pago online que permita la transferencia de dinero, como PayPal, un banco o equivalente, depende del balance que ofrezca. Por una cuenta online que contiene entre 350 y 900€ se pagan hasta 45€, pero si la cuenta contiene entre 4000 y 7000€, el precio sube a los 250€.
Los servicios Premium de cine, películas y deportes son muy demandados. Una cuenta de acceso a Netflix sube a los 12€ aunque las menos populares apenas cuestan 50 céntimos. McAfee ha encontrado a la venta cuentas robadas de prácticamente todos los servicios online, desde webs pornográficas a la cuenta de fidelidad de un hotel con 100.000 puntos para gastar en estancias, que se podía adquirir por 17€.
Lo que sí se cotiza bien son las cuentas de reputación de usuarios de servicios. Una cuenta de eBay (que depende de la reputación del vendedor para vender) con al menos 200 votos positivos se vende por 1900€. Obviamente, el paso siguiente es usar la cuenta para proponer la venta de un artículo que no existe, y con la que, simplemente, se recogen los ingresos de los compradores.
Abunda también, según el informe, la venta de datos personales, como el acceso a las fichas de empleados de empresas, o a cuentas de correo. Capítulo aparte merecen los historiales médicos, fáciles de encontrar, incluso de forma gratuita. Un grupo hacker llamado Rex Mundi ha publicado en la deep web los datos médicos de los clientes del laboratorio médico Labio, tras negarse éste a pagar un chantaje de 20.000€:
En fin, recordando a Ibáñez Serrador, habrá que actualizar aquellas Historias para no dormir a los tiempos de hoy, con esta Internet de la que dependemos todos.