Credenciales de inicio de sesión en redes sociales, números de tarjetas de crédito, contraseñas de aplicaciones bancarias… los hackers o ciberdelincuentes roban a diario millones de datos personales en todo el mundo. Información que, con frecuencia, acaba puesta a la venta en la Dark Web.
Según el estudio Kaspersky Digital Footprint Intelligence, durante el pasado año casi 10 millones de dispositivos personales y corporativos se vieron comprometidos por el robo de datos a través de malware. Lo que supone un incremento del 643% de estos casos en los últimos tres años.
A ello hay que sumar los robos de datos que se producen a través de estafas como el phishing, en la que se engaña a la víctima para que sea ella misma la que indique al delincuente los datos que este necesita para acceder a sus cuentas.
A pesar de que tanto los usuarios como las empresas han reforzado la seguridad, se estima que en los últimos cinco años más de 440.00 sitios web han visto comprometidas las credenciales de inicio de sesión de sus usuarios.
El destino final de los datos sustraídos puede ser diferente según el caso. Algunos hackers los emplean directamente para acceder a las cuentas de sus víctimas y sustraer su dinero, pero otros optan por ponerlos a la venta en la Dark Web, donde su precio puede variar según el atractivo que presente el dato.
El precio de la información personal en la Dark Web
La Dark Web es una red compuesta por sitios que no están indexados por los principales buscadores de Internet y a los que solo se puede acceder a través de navegadores especializados. Esta opacidad ha convertido a este espacio en el punto de encuentro para quienes operan al margen de la legalidad, y la compraventa de datos y credenciales sustraídas es una de las operaciones más comunes.
El precio de venta de la información robada es relativamente bajo. Las credenciales de acceso a servicios de suscripción se venden por menos de 10 euros. El mismo precio que se suele pagar por las identificaciones en servicios como las redes sociales.
Los historiales médicos son algo más caros, y se puede llegar a pagar por ellos hasta 30 euros. Mientras que la información de tarjetas de crédito se puede obtener pagando entre seis y 10 euros.
Un carnet de conducir escaneado tiene un precio medio de 25 euros, y un pasaporte cuesta en torno a los 15 euros. Un DNI puede costar en torno a los 40 euros.
Son cantidades relativamente pequeñas, pero que permiten a los ciberdelincuentes ganar miles de euros. Porque a través del malware son capaces de obtener rápidamente los datos de muchas personas, empresas y organismos públicos.
A pesar de lo que han crecido en los últimos años los delitos de sustracción de información personal a través de medios digitales, la mayor parte de los millennials se consideran a salvo de este delito, porque creen que su vida es “demasiado aburrida” como para interesar a los hackers. Sin embargo, los datos de personas anónimas son los más demandados en la Dark Web, porque pueden ser muy útiles para acceder a sus cuentas bancarias, hacer compras a nombre de terceros, e incluso solicitar préstamos. Por eso, los especialistas aconsejan extremar las precauciones a la hora de proteger los datos personales.
La venta en la Dark Web no es el único canal de ingresos para los ladrones de datos. Cada vez con más frecuencia, llevan a cabo una táctica de “secuestro” de la información. Se hacen con los datos y luego exigen a su titular un pago para poder recuperarlos.
Según un informe elaborado por Chainalysis, a lo largo del año pasado los hackers consiguieron ingresos por encima de los 1.100 millones de dólares, solo en Estados Unidos, y únicamente con la técnica del secuestro de datos. Cantidad a la que habría que sumar lo que han ganado a través de la venta de esos mismos datos en la Dark Web.
El coste medio de una fuga de datos
El informe Cost of a Data Breach, elaborado por IBM, destaca que el coste medio de una fuga de datos en una empresa fue de 4,45 millones de dólares durante el año pasado. Cifra que se ha incrementado un 15% en tres años.
Aunque los expertos en ciberseguridad nunca recomiendan pagar estas extorsiones, las empresas suelen acabar cediendo al chantaje. Incluso cuando no lo hacen, tienen que afrontar grandes desembolsos de dinero, como le ocurrió el año pasado a Metro Goldwyn Mayer, que tras un ataque de ransomware tuvo que gastar 10 millones de dólares en restablecer todos sus equipos y perdió 100 millones de dólares en ingresos durante el tiempo en que no pudo operar con normalidad.
Según el informe de IBM, el año pasado un 47% de las empresas víctimas de robos de datos acabaron pagando el rescate, y un 37% de las afectadas decidieron no implicar a las autoridades.
Muchas grandes empresas prefieren actuar así para que no salga a la luz pública que los datos de sus clientes o proveedores han sido vulnerados. Por entender que el coste de la pérdida de reputación asociada a este fenómeno, puede ser mayor que lo que les va a costar pagar para recuperar los datos.
En el caso de las compañías más pequeñas, un buen número de ellas optan por pagar el rescate porque esto les resulta más barato que tener que tomar medidas para restablecer sus sistemas.
Esto está llevando a los ciberdelincuentes a ser más selectivos a la hora de decidir qué empresas atacar y cuánto dinero pedir por los datos. Así, en octubre de 2023 se solicitó uno de los rescates más elevados de los que se tiene constancia.
Tras un ataque por parte del grupo de delincuentes digitales conocido como LockBit, CDW recibió una petición de rescate de 80 millones de dólares. Este mismo grupo había solicitado unos meses antes un pago de 70 millones de dólares a TSMC a cambio de devolver sus datos.
Las mayores exigencias de rescate conocidas hasta el momento son la que solicitaron el grupo Hive y el grupo REvil, de 240 y 100 millones de dólares, respectivamente.