¿Cuánto valen los datos de tu tarjeta de crédito en el mercado negro?

Si sabes dónde encontrarlos, el número, la fecha de caducidad y el código de verificación de una tarjeta bancaria aliena que disponga de 5.000 dólares de crédito se pueden comprar por unos 120 dólares; si te conformas con obtener 1.000 dólares, el precio baja a 80 dólares, y si no exiges ninguna garantía de crédito disponible, puedes adquirir los datos de cada tarjeta por precios que oscilan entre los 15 y los 30 dólares según el país de emisión (las españolas se cotizan a 25 dólares), que puedes querer escoger para cometer tu fraude en un lugar determinado. Un juego de credenciales robadas (usuario más contraseña) para acceder a un servicio de banca por internet cuesta 65 dólares.

También se ofrecen nombres de usuario y contraseñas para acceder a servicios más prosaicos: las de una cuenta de Netflix con un año de abono cuestan 25 dólares, cinco veces más que las de una web de pornografía de pago; las de un pasajero de Uber tienen un precio de 15 dólares, que suben hasta los 35 dólares si las credenciales permiten suplantar a un conductor. Igualmente, se pueden comprar credenciales de perfiles en la mayoría de plataformas digitales: las de Facebook cuestan 45 dólares, más que las de Instagram (40) y las de Twitter (25), pero menos que las de Gmail (65).

Estas son solo algunas de las tarifas medias que el grupo Privacy Affairs ha observado durante el último año en las principales tiendas digitales de la web oscura (dark web) que ofrecen datos personales de terceros, obtenidas mediante intrusiones y extracciones masivas en las plataformas correspondientes. Se trata de un mercado muy dinámico donde, además de otras mercancías todavía más cuestionables, se pueden adquirir desde documentos oficiales de identidad físicos auténticos y falsificados hasta credenciales de acceso a criptomonederos (las de Binance se venden por 260 dólares, las de Bit.io cuestan 400), pasando por paquetes de seguidores (10 dólares por cada 1.000 en LinkedIn), retuits (20 dólares) y "me gusta" (5 dólares en Instagram) en las principales redes sociales.

Igualmente, se pueden contratar servicios de infección con software malicioso (desde 50 hasta más de 5.000 dólares por cada millar de instalaciones según el alcance geográfico y el porcentaje de éxito), y ataques de denegación de servicio (DDoS) que saturan la web de la víctima con peticiones falsas, haciendo imposible que puedan acceder los visitantes legítimos: desde 10 dólares por 50.000 peticiones cada segundo durante una hora hasta 850 dólares por la misma intensidad durante todo un mes.

Se estima que en la web oscura hay unos 9.000 vendedores de este tipo de productos y servicios digitales. Operan mediante plataformas agregadoras, homólogas de AliExpress y Amazon Marketplace en este entorno. La más frecuentada, con casi un tercio de los vendedores, solía ser White House Market, pero cerró repentinamente el octubre pasado, y su lugar parece haber sido ocupado por ToRReZ y AlphaBay. Para esquivar las autoridades tanto como sea posible, las operaciones están siempre cifradas con PGP y las transacciones se hacen con criptomonedas, últimamente más con Monero que con Bitcoin.

Gran competencia

La abundancia de datos robados –solo en diciembre salieron a la venta unos cuatro millones y medio de tarjetas de crédito frescas– y la competencia entre vendedores han llevado a este mercado clandestino a comportarse como los tradicionales: a menudo se ven promociones de marketing (ofertas del estilo "si compras dos tarjetas clonadas te llevas tres", cupones de descuento y espacios donde los compradores pueden puntuar con su grado de satisfacción. Aun así, el indicador definitivo es la caída de los precios en el último año: en algunos casos, a la mitad.

De aquí que los ciberdelincuentes apunten ahora a mercados más lucrativos, como el de los datos empresariales: listas de clientes, planes de negocio, documentación técnica interna y otras informaciones que un competidor puede aprovechar en beneficio propio. En este caso, lo que los ciberdelincuentes suelen ofrecer son las credenciales que el comprador necesita para infiltrarse en los sistemas de la víctima, obtenidas explotando algún agujero de seguridad no detectado, mediante ataques de phishing o ingeniería social dirigidos a los empleados. Según la firma de ciberseguridad Kaspersky, este tipo de servicio se acostumbra a cobrar en función del volumen de negocio de la víctima: la mayoría de las ventas fraudulentas de credenciales tienen precios por debajo de los 5.000 dólares, pero hay constancia de transacciones de este tipo por más de 50.000 dólares. Eso sí, también se sabe que en este segmento de mercado es costumbre regatear el precio.

En términos de rentabilidad para los ciberdelincuentes que trafican con datos ajenos, el delito estrella es el ransomware, la modalidad de ciberataque que infecta el ordenador de la víctima con un software malicioso que secuestra el contenido, cifrándolo y exigiendo el pago de un rescate a cambio de la contraseña para descifrarlo. Es un fenómeno reciente: los primeros casos detectados datan del año 2015, afectaban sobre todo a particulares y pequeñas empresas y el importe mediano del rescate era inferior a los 300 euros. A pesar de que el 2016 el grupo Ransom32 empezó a alquilar su sistema de cibersecuestro de datos a terceros, y que el 2017 fueron muy comentados los ataques patrocinados por estados como Rusia (NotPetya) y Corea del Norte (WannaCry), los ciberataques de ransomware se disparan a partir del 2019, que es cuando los grandes cárteles delictivos mundiales adoptaron y sofisticaron la tecnología para atacar a víctimas más lucrativas, como grandes corporaciones, organismos oficiales, infraestructuras de distribución y servicios públicos como hospitales y universidades.

En estos casos, los malhechores reclaman rescates millonarios, siempre en forma de criptomonedas. Gracias a esto, la empresa Elementus, que rastrea este tipo de transacciones, ha podido determinar que el año 2020 fue el primero en que el volumen de rescates superó los 1.000 millones de dólares y que la suma total recaudada por los ciberdelincuentes entre 2015 y 2021 ronda los 2.600 millones, que han ido en gran parte a manos de cárteles como los que hay detrás de los ransomware Ryuk (384 millones), Conti (232 millones) y Egregor (199 millones). Todos ellos ubicados en Rusia, el territorio que concentra la cantidad más alta de organizaciones cibercriminales, seguido a muchísima distancia por Ucrania e Irán.