Hemos conocido hace unos días el ataque informático sufrido por Facebook por el cuál accedieron a los datos personales de millones de usuarios.

¿Qué supone un robo de estas características?

¿Dónde pueden acabar los datos robados en redes sociales o cuentas bancarias?

Uno de los destinos más probables es la Internet oscura.

Venta de datos personales en la red

¿Sabes cuál es el precio de los datos personales vendidos en la Dark Web? Te sorprenderá.

Hacerse con los datos de una persona en Internet apenas cuesta 850 euros.

Sí, has oído bien.

Tu identidad personal vale menos de 1.000 €.

Los lugares donde más sesiones iniciamos y, que si acceden a esos datos, pueden acceder al perfil completo de cualquier persona son: redes sociales, bancos, Netflix, Amazon, etc.

¿Qué es la Dark Web?

La Dark Web o web oscura es una parte de Internet que no es visible para los motores de búsqueda.

¿Qué hace que la red sea oscura? Permite a los usuarios anonimizar su identidad ocultando sus direcciones IP. Esto hace que quienes usan la web oscura sean casi imposibles de identificar.

Solo el 4% de Internet está disponible para el público en general, lo que significa que un vasto 96% de Internet está compuesto por la web profunda. Es importante tener en cuenta aquí, que la web oscura es solo una pequeña sección de Internet, pero es un sector pequeño y poderoso.

¿Qué datos personales están más valorados?

Los datos financieros son los más codiciados pero eso no significa que el cibercriminal de turno se deje un dineral.

Comprar los datos de tu tarjeta de crédito y débito, todos tus inicios de sesión en la banca en línea, tus contraseñas y la información de su cuenta de PayPal rondaría un total de 700 euros.

Desglosando esta cifra,

  • el precio de los datos de la tarjeta de débito sería de 74 euros y
  • los de la cuenta de PayPal rondaría los 300.

Con las compras online que realizas también hay precios. Y muy baratos.

Una cuenta Prime de Amazon estaría alrededor de 11 euros.

Pero la cosa no queda ahí, tu rastro es mucho mayor.

Las ID en Apple, Steam y Spotify también tienen sus precios: la primera por algo más de 10 euros y las dos últimas rondando los tres.

Esos mismos tres euros son los que se pagan por cuentas de correo como las de Gmail.

Otro plato fuerte son las redes sociales. Estos son los precios de los datos en las redes sociales, de mayor a menor:

  • cuentas de Pinterest (7,4 euros por cuenta),
  • Instagram (5,5 euros),
  • Facebook (3,4 euros) y
  • Twitter (2,8 euros).

¿Cuánto valen tus datos bancarios?

La Dark Web está llena de credenciales bancarias personales robadas. Es común ver las credenciales de MasterCard, Visa y American Express en la web oscura de una variedad de países diferentes.

Los datos de las tarjetas de crédito en EEUU, El Reino Unido, Canadá y Australia aumentaron en precio en cualquier lugar del 33% al 83% en el período de 2015 a 2018.

El precio promedio de una Visa o Mastercard del Reino Unido en 2015 fue de 9 libras, sin embargo, esto aumentó a 17 libras en 2018. Esto es aproximadamente un aumento del 83%.

Las cuentas bancarias que pueden transferir fondos en modo oculto a los bancos del Reino Unido son considerablemente más caras. Una cuenta con un saldo de cuenta de 12.500 libras cuesta alrededor de 700 libras.

¿Cuánto valen sus servicios de suscripción? El valor de venta de tus credenciales de PayPal depende del saldo disponible de la cuenta. Los detalles de PayPal se pueden vender por tan solo 40 euros y esto puede aumentar de 820 a 2.500 euros por un saldo disponible de unos 6500 euros.

Tus inicios de sesión de Amazon, British Airways, Facebook, Fortnite y Netflix también están disponibles en la Dark Web. Estos pueden costar alrededor de 7 euros, lo cual es sorprendente ya que contienen información variada sobre tus datos bancarios e identidad. Los programas de fidelización de hoteles robados y las cuentas de subastas pueden costar hasta 1.150 euros debido a la amplia información que proporcionan al comprador.

¿Te sorprende saber que incluso los programas de recompensa y las suscripciones de visualización se pueden comprar en los mercados de la Dark Web?

¿Cuánto vale toda tu identidad en la Dark Web?

La persona moderna promedio ahora tiene muchas cuentas en línea. Estas pueden variar desde correo electrónico y Facebook hasta compras en línea, entrega de alimentos y banca. Combinar todas esas cuentas y la identidad típica del usuario de Internet vale alrededor de 987 euros para los piratas informáticos. La pérdida personal para las víctimas es, por supuesto, mucho mayor.

Sistemas usados para comprar esa información

Debido a que es ilegal conseguir, vender y comprar información personal, no es extraño ver que los métodos usados para comprar esta información son complejos y secretos. Por lo general, hay una serie de ‘intermediarios’ que negocian acuerdos entre quienes roban datos y quienes los venden, y todos en la cadena se esfuerzan mucho para protegerse contra el descubrimiento por parte de la policía.

Organizar el mercado de esta manera también permite que cada individuo reclame relativamente poco conocimiento del origen y el uso previsto de los datos robados. Esto, junto con la aplicación de la ley obsoleta e ineficiente de la Dark Web, significa que la cantidad de información disponible sigue aumentando rápidamente.

Tal sistema no regulado también crea problemas, si se los puede llamar así, para compradores potenciales. Muchas tiendas en línea de datos ilegales operan sistemas de revisión familiares de sitios más legítimos como Amazon, donde los compradores pueden calificar el servicio que reciben de los compradores. Esto ayuda a generar confianza, pero incluso los corredores de confianza frecuentemente entregan datos fabricados.

Es difícil simpatizar con el robo de un ladrón de identidad, por supuesto, pero tales estafas solo demuestran la falta total de regulación en el mercado, incluso por aquellos que están fuertemente involucrados en él.

¿Qué puedo hacer al respecto?

Por desgracia, puedes hacer muy poco para evitar que tus datos aparezcan en la Dark Web. Los datos más comunes que aparecen son obtenidos de piratas informáticos a gran escala. Aparte de presentar una queja ante tus proveedores de cuentas y esperar a que estos implanten mayores medidas de seguridad para proteger tus datos, poco más puedes hacer.

Dicho esto, hay una serie de pasos simples que las personas pueden seguir para limitar la cantidad de datos disponibles para los delincuentes. El hecho de que exista un mercado en crecimiento para contraseñas genéricas sugiere, de hecho, que una de las mejores formas de protegerse contra alguien que roba sus datos es también una de las más antiguas: usar una variedad de contraseñas seguras.

En lugar de utilizar la misma contraseña débil para cada servicio en línea al que te registres, es una buena práctica de seguridad pensar en una nueva cada vez. Puedes pensar que el uso de una contraseña débil y fácil de adivinar para un servicio aparentemente inocuo como tu cuenta de alojamiento web no crearía una vulnerabilidad. Pero si usas la misma contraseña para una variedad de dichos servicios, un atacante puede hacer una referencia cruzada de estos y obtener un sorprendente nivel de comprensión de tu identidad.

Otra buena práctica es probar si tus datos ya están disponibles en la web oscura, y hacerlo a intervalos regulares. Incluso si fuiste víctima de un ataque hace varios años, vale la pena realizar esta comprobación periódica, porque a veces tus datos pueden tardar un tiempo en circular de nuevo a los mercados en línea.

Empresas que venden datos personales

La compensación entre los datos que proporcionas y los servicios que recibes a cambio puede valer o no la pena, pero algunos negocios acumulan, analizan y venden tu información personal sin darte nada a cambio: los corredores de datos o data brokers.

Estas empresas recopilan información de fuentes disponibles públicamente como registros de propiedad, licencias de matrimonio y casos judiciales. También pueden recopilar registros médicos, historial de navegación, conexiones de redes sociales y compras en línea.

Dependiendo de dónde vivas, los corredores de datos pueden incluso comprar información sobre carnet de conducir.

Esta información recopilada por los corredores de datos es muy valiosa para empresas y comercios.

Los corredores de datos también son recursos valiosos para los acosadores. Doxing, la práctica de divulgar públicamente la información personal de alguien sin su consentimiento, a menudo es posible gracias a los corredores de datos. Si bien puedes eliminar tu cuenta de Facebook con relativa facilidad, hacer que estas empresas eliminen tu información lleva mucho tiempo, es complicado y, a veces, imposible.

Acumular y vender tus datos de esta manera es perfectamente legal. También hay pocas leyes que rigen cómo las empresas de redes sociales pueden recopilar datos sobre sus usuarios.

Los investigadores de inteligencia artificial también usan los datos personales para entrenar sus programas automatizados. Todos los días, los usuarios de todo el mundo cargan miles de millones de fotos, vídeos, publicaciones de texto y clips de audio a sitios como YouTube, Facebook, Instagram y Twitter. Esos medios son luego alimentados a algoritmos de aprendizaje automático, para que puedan aprender  lo que hay en una fotografía o determinar automáticamente si una publicación viola la política de Facebook. Tus selfies literalmente están haciendo que los robots sean más inteligentes.

Los rastreadores que te siguen

Los rastreadores en línea se pueden dividir en dos categorías principales: mismo sitio y sitio cruzado.

Los primeros son en su mayoría benignos, mientras que los segundos son más invasivos. Una taxonomía rápida:

  • Cookies tradicionales: Facebook, Google y otras compañías usan estos rastreadores de sitios cruzados extremadamente populares para seguir a los usuarios de un sitio web a otro. Funcionan depositando un fragmento de código en el navegador, que los usuarios llevan consigo involuntariamente mientras navegan por la web.
  • Super Cookies: Las cookies supercargadas pueden ser difíciles o imposibles de eliminar de su navegador. Verizon los utilizó con más fama, ya que tuvo que pagar una multa de $ 1.35 millones a la FCC como resultado de la práctica.
  • Huellas digitales: Estos rastreadores de sitios cruzados siguen a los usuarios creando un perfil único de su dispositivo. Recopilan cosas como la dirección IP de la persona, su resolución de pantalla y qué tipo de computadora tienen.
  • Rastreadores de identidad: En lugar de usar una cookie, estos raros rastreadores siguen a las personas utilizando información de identificación personal, como su dirección de correo electrónico. Recopilan estos datos ocultándose en las páginas de inicio de sesión donde las personas ingresan sus credenciales.
  • Cookies de sesión: Algunos rastreadores son buenos! Estos útiles scripts del mismo sitio lo mantienen conectado a sitios web y recuerdan lo que hay en su carrito de compras, a menudo incluso si cierra la ventana de su navegador.
  • Scripts de reproducción de sesión: Algunos scripts del mismo sitio pueden ser increíblemente invasivos. Estos registran todo lo que hace en un sitio web, como los productos en los que hizo clic y, a veces, incluso la contraseña que ingresó.

¿Qué ocurrirá en el futuro?

En última instancia, el precio de tu información en la web oscura se rige por las antiguas reglas de oferta y demanda. Por el momento, parece que hay un montón de ambas, aunque con un exceso de oferta. Esto no es sorprendente, ya que el pirateo corporativo promedio tendrá acceso a los datos de miles de personas, y aunque el robo de identidad es un problema cada vez mayor, el número de delincuentes involucrados sigue siendo misericordiosamente bajo.

La información personal se recopila actualmente principalmente a través de pantallas, cuando las personas usan ordenadores y teléfonos inteligentes. Los próximos años traerán la adopción generalizada de nuevos dispositivos que consumen datos, como parlantes inteligentes, ropa incrustada en censores y monitores de salud portátiles. Incluso aquellos que se abstienen de usar estos dispositivos probablemente tendrán sus datos recopilados, por cosas como cámaras de vigilancia con reconocimiento facial instaladas en las esquinas de las calles.

En muchos sentidos, este futuro ya ha comenzado: los fanáticos de Taylor Swift han recopilado sus datos faciales y Amazon Echos está escuchando a millones de hogares.

Sin embargo, no hemos decidido cómo navegar esta nueva realidad llena de datos. ¿Debería permitirse a las universidades rastrear digitalmente a sus alumnos? ¿Realmente queremos que las compañías de seguros de salud monitoricen nuestras publicaciones de Instagram?

Y a medida que los científicos superen los límites de lo que es posible con la inteligencia artificial, también tendremos que aprender a dar sentido a los datos personales que ni siquiera son reales, al menos en que no provienen de los humanos.

Por ejemplo, los algoritmos ya están generando datos «falsos» para que otros algoritmos entrenen. La llamada tecnología deepfake permite a los propagandistas y falsificadores aprovechar las fotos de las redes sociales para hacer vídeos que representen eventos que nunca ocurrieron.

La IA ahora puede crear millones de caras sintéticas que no pertenecen a nadie, alterando el significado de identidad robada. Estos datos fraudulentos podrían distorsionar aún más las redes sociales y otras partes de Internet.

Mayor regulación

Ya sea que los datos sean fabricados por ordenadores o creados por personas reales, una de las mayores preocupaciones será cómo se analizan. No solo importa qué información se recopila, sino también qué inferencias y predicciones se hacen en base a ella. Los algoritmos utilizan los datos personales para tomar decisiones increíblemente importantes, como si alguien debe mantener sus beneficios de atención médica o ser liberado bajo fianza. Esas decisiones pueden ser fácilmente modificadas, y los investigadores y compañías como Google ahora están trabajando para hacer que los algoritmos sean más transparentes y justos.

Las compañías tecnológicas también están comenzando a reconocer que la recopilación de datos personales debe ser regulada.

Algunas compañías e investigadores sostienen que no es suficiente que el gobierno simplemente proteja los datos personales. Los consumidores deben ser dueños de su información y recibir una compensación cuando se usa. Algunas redes sociales han experimentado recompensar a los usuarios con criptomonedas cuando comparten contenido o pasan tiempo usando sus plataformas. Otras compañías pagarán a cambio de compartir datos o transacciones bancarias con ellos.

Pero permitir que las personas recuperen la propiedad probablemente no resolvería todos los problemas de privacidad planteados por la recopilación de datos personales. También podría ser la forma incorrecta de enmarcar el problema: en cambio, tal vez, debería permitirse menos recolección en primer lugar, obligando a las empresas a alejarse del modelo de negocio de publicidad dirigida por completo.

Dicho esto, todavía parece que las agencias de aplicación de la ley no tienen ni idea cuando se trata de vigilar la Dark Web, por lo que el mercado de información robada es algo a lo que, por ahora y en el futuro previsible, tendremos que acostumbrarnos.

Ejemplo: recopilación de datos por Avast

Uno de los proveedores de antivirus más grandes del mundo está finalizando un programa que recopiló y vendió los datos de navegación web de los usuarios unos días después de que los informes de los medios revelaran la plataforma.

La compañía anunció a finales de enero el fin de la filial de venta de datos, conocida como Jumpshot.

Jumpshot se describió a sí misma como «la única compañía que desbloquea datos de jardines amurallados … para proporcionar a los vendedores una visibilidad incomparable, conocimientos analíticos y una comprensión más completa del recorrido del cliente en línea que ofrece una ventaja altamente competitiva».

Dentro de los datos recopilados están:

  • búsquedas en Google,
  • búsquedas de ubicaciones y coordenadas GPS en Google Maps,
  • personas que visitan las páginas de LinkedIn de las empresas,
  • vídeos particulares de YouTube y
  • personas que visitan sitios web porno.

Los comentarios de los usuarios de Avast han sido rápidos y voluminosos. La propia cuenta de Twitter de la compañía durante varios días ha estado tratando de calmar a los usuarios enfadados, repitiendo el mensaje: «Tenga la seguridad de que Jumpshot no adquiere ninguna información de identificación personal de nuestros usuarios. Cumplimos totalmente con el RGPD y la Ley de Privacidad del Consumidor de California (CCPA). Los usuarios pueden optar por ajustar sus niveles de privacidad utilizando la configuración disponible en nuestros productos «.

Recomendaciones

Un popular sistema para proteger tus datos es conectarte a Internet utilizando una red privada virtual o VPN. Si bien este tema merece una página en sí mismo, basta con decir que esta opción encripta tu conexión, lo que dificulta que los malos roben información. Sin embargo, no todas las VPN son iguales.

Como has podido comprobar, el rastro que dejamos en Internet es un negocio para muchas personas.

Nuestros datos, cuentas y contraseñas tienen que estar seguras, por lo que debemos tomar las máximas precauciones posibles.

Por otro lado, y sabiendo que nuestra huella en Internet es inmensa, deberíamos pensar dos veces lo que publicamos en las redes sociales.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.