¿Cuánto vale su identidad robada en la internet oscura?
Las tarjetas de crédito de alto cupo verificadas de países como Estados Unidos, Japón y Corea del Sur se están vendiendo en la llamada internet oscura por el equivalente en bitcoin de entre US$10 y US$20, según un informe anual sobre el cibercrimen de SecureWorks, una filial de Dell Inc.
Según la definición de SecureWorks, la internet oscura es «el conjunto de foros de internet, escaparates de tiendas digitales y salas de chat que los ciberdelincuentes utilizan para formar alianzas, intercambiar herramientas y técnicas, y vender datos comprometidos que pueden incluir detalles bancarios, información personal identificable y otros contenidos».
Verificado, a su vez, quiere decir que el vendedor intentó realizar transacciones con la tarjeta y encontró que aún no se ha cancelado. Para los estafadores con menores recursos, también hay datos de tarjetas de crédito robadas no verificados, que apenas cuestan unos centavos por tarjeta cuando se compran en grandes cantidades.
Las tarjetas de crédito en general no han bajado de precio en la internet oscura, dijo Alex Tilley, investigador sénior de seguridad de la unidad contra amenazas de SecureWorks.
Los compradores, sin embargo, tienen más probabilidades de obtener tarjetas de mayor calidad hoy en día, con cupos más altos y propiedades adecuadas para el fraude. No es tan impredecible como antes, un cambio bienvenido para los delincuentes, pero escalofriante para la mayoría de nosotros.
Las tarjetas de crédito corporativas están de moda, puesto que a veces no tienen un límite en el gasto, agregó Tilley. Esas y las tarjetas personales de gama alta, por ejemplo, una tarjeta Platinum de American Express que se haya verificado y tenga una calificación del 85 por ciento (es decir, que el vendedor considera que tiene un 85 por ciento de probabilidad de ser usada con éxito en un fraude), valen entre US$15 y US$20. Una Mastercard común que no tenga un límite significativo de gasto costaría unos US$9.
Pero esperen, que hay más. Un mercado de hackers clandestino llamado Trump’s Dumps está vendiendo identidades completas de individuos como usted por apenas US$10 cada una. Se llaman fullz, «expedientes que proporcionan suficiente información financiera, geográfica y biográfica sobre una víctima para facilitar el robo de identidad u otro fraude basado en la suplantación», explica el informe. Fullz puede ayudar a un delincuente a responder adecuadamente esas irritantes «preguntas secretas» que los sitios web realizan para verificar su identidad.
Recientemente, los investigadores de SecureWorks han detectado un aumento de las ofertas de detalles de tarjetas de crédito preverificados a granel, junto con más información de identificación de sus titulares. En algunos casos, las ofertas incluso incluyen el apellido de soltera de la madre del tarjetahabiente.
Sin embargo, sólo cuestan entre US$10 y US$12. De hecho, los precios que SecureWorks menciona en estos ejemplos de datos personales son inferiores a los que los estafadores han estado dispuestos a pagar por documentos como los formularios W‑2, que pueden utilizarse para presentar declaraciones de impuestos falsas en EE.UU. La información sobre declaraciones de impuestos, que no caduca, puede costar entre US$40 y US$50, según un informe del grupo de investigación de seguridad de IBM, IBM X-Force, publicado este año.
Ninguna información personal es inocua, advirtió Tilley. Los criminales recopilan datos aislados sobre las personas y esperan hasta acumular una cantidad suficiente para que su intento de fraude tenga una mayor probabilidad de ser exitoso. «Todo es valioso», subrayó. Un poco de información «podría ser la última pieza de un rompecabezas que alguien necesitaba para obtener un préstamo a nombre de usted.Uno no sabe cuánto han avanzado los criminales hasta que es demasiado tarde”.
La supervisión constante de su historial de crédito y su congelación podrían ser la única esperanza de protegerse, dijo Tilley. «El problema es que usted deposita mucha confianza en las compañías que guardan sus datos, y eso está un poco fuera de su control».