Una vez que los cibercriminales logran sus cometidos y extraen información de sus víctimas, la utilizan para vender los datos en el mercado negro, y no hay cosa que no venga bien. Un informe publicado por Inter Security detalla los precios de cada información robada por los cibercriminales, desde tarjetas de crédito, credenciales de acceso a cuentas bancarias y servicios de pago en línea. Esta información es vendida en el mercado negro de los cibercriminales a precios muy elevados, según los registros hay personas que llegan a pagar cientos de dólares.
El informe de Inter Security lleva el nombre de “The Hidden Data Economy” (La economía oculta de los datos), en el cual se hace público cómo se están comercializando los diversos tipos de datos robados y también los precios de venta que tienen en el mercado negro. “Este mercado de la ciberdelincuencia como un servicio ha sido un factor primordial para el auge en tamaño, frecuencia e intensidad de los ciberataques. Lo mismo puede decirse de la proliferación de los modelos de negocio establecidos para vender datos robados y pagar actos cibercriminales”, explica Raj Samani, CTO de Intel Security en EMEA.
Los análisis realizados por McAfee Labs vierten una clara tendencia a la compra/venta de datos de tarjetas de crédito, que es quizás, algo conocido por todo internauta, por eso el hecho de tener sumo cuidado con las compras por internet. Pasemos a detallar el contenido y los precios de este tipo de datos, una oferta básica en el mercado negro incluye un número válido generado por un software que combina un número de cuenta primario, fecha de caducidad y un número de seguridad CVV2. Los generadores de números de tarjeta válidos pueden comprarse o encontrarse gratuitamente por internet. Pero ¿qué pasa si se incluye información personal del titular? En este caso la cosa cambia, mientras más datos se quieran obtener, el precio de la información es otro, si se quiere saber el número de la identificación de la cuenta bancaria, fecha de nacimiento de la víctima o una información denominada como “Fullzinfo”.
A esta última información se la llama de esa manera porque incluye todo tipo de información para poder controlar la cuenta a gusto y placer, se trata de un paquete que contiene la dirección de facturación de la víctima, su número de PIN, número de seguridad social, fecha de nacimiento, nombre de usuario y contraseña para acceder, gestionar y transformar la cuenta del titular mediante la web. En cuanto a precios, hay de todo tipo, pero el paquete básico que detallamos anteriormente ronda los 25/30 dólares, mientras que el paquete Fullzinfo con la información completa sale 45 dólares.
“Un criminal que tenga en su poder el equivalente digital a la tarjeta física puede comprar o retirar dinero hasta que la víctima contacte con su entidad y reclame los cargos. Si se proporciona al criminal información personal adicional que pueda emplear para “verificar” la identidad del titular de la tarjeta, o en el peor de los casos, permitirle acceder a la cuenta y cambiar la información, las consecuencias para el titular de la tarjeta pueden ser aún peores”, explica Raj Samari.
Vayamos a los precios de los datos de las cuentas de pago online, estas cuentas aumentan o disminuyen su valor según la cantidad de saldo que dispongan. Por ejemplo, el costo de los datos de acceso a una cuenta que tiene un saldo de entre 400 y 1.000 dólares varía los 20 y 50 dólares, si la cuenta está mucho más abultada, hablamos de unos 5.000 u 8.000 dólares, el precio se aproxima a los 200 o 300 dólares por cuenta. Ocurre lo mismo con los datos de acceso a las cuentas bancarias, las que poseen un promedio de 2.200 dólares están cotizándose a 190 dólares. Ahora bien, si lo que se necesita es una cuenta bancaria con la capacidad de transferir fondos de forma opaca a bancos en Estados Unidos con un saldo aproximado de 6.000 dólares, se pueden comprar por 500 dólares, y las cuentas con un saldo de 20.000 dólares se pueden adquirir por 1.200 dólares. Las transferencias al Reino Unido se sitúan en 700 dólares para cuentas con saldos de 10.000 dólares, y 900 dólares para cuentas con saldos de 16.000 dólares.
Por aquí no queda la cosa, porque los cibercriminales también ponen en venta los datos de acceso a contenidos premium, hablamos de videos en streaming, televisión cable y membresías a canales de deportes, el precio de venta en este caso no supera los 15 dólares. Los servicios en línea para acceder a programas de fidelización del sector hotelero y a las cuentas de subastas online también son un punto fuerte en las redes criminales, la compra de estos datos permite al portador hacerse pasar por otra persona y así realizar compras en su lugar. Desde McAfee Labs pudieron interceptar una cuenta perteneciente a una comunidad de subastas en línea de gran reputación, el precio para adquirirla era de 1.400 dólares.
Los cibercriminales roban todos estos datos delicados gracias a sus métodos de phishing y malware en general, por eso siempre se le recuerda a los usuarios que nunca deben ingresar a enlaces de dudosa procedencia, y mucho menos escribir sus datos personales en sitios no seguros. Una vez que un atacante roba los datos de su víctima, no necesariamente los usa para su conveniencia, aquellos datos que se introducen en sitios interceptados por cibercriminales pueden ir a parar al mercado negro, donde se ponen en venta al mejor comprador.