Del crimen organizado al ciudadano de a pie, los entresijos del robo de datos

Los robos de datos suceden a diario gracias a métodos tanto simples como sofisticados e involucran desde organizaciones criminales a ciudadanos de a pie por motivos económicos pero también para fines como la extorsión o el secuestro, dijo a Efe Juan Carlos Carrillo, experto en seguridad de IBM México.

De acuerdo con Carrillo, los robos algunas veces llegan a involucrar hasta 800 intermediarios que, con frecuencia, se ven involucrados sin ser conscientes. Otras, el acto se ejecuta de forma rápida, mediante sobornos a una persona de la entidad de la que se extraen los datos.

El modus operandi ha cambiado mucho en los últimos diez años ya que “ha empezado a surgir mucho más el tema de un mercado secundario”, en el que intervienen actores con distintas habilidades y en el que quien necesita los datos tiene que solicitar servicios de distintos actores.

“Yo soy una organización de crimen organizado pero no tengo las capacidades tecnológicas para robar la información; entonces voy, contrato a alguien en la Dark Web y le digo: Quiero que me consigas una base de datos con datos de tarjetas de crédito de un banco”, relata el especialista.

Esa persona, que se dedica solo a eso, obtiene la información y se la entrega al crimen organizado o a la empresa que se la había pedido, que le hace un pago por su servicio.

“Esa empresa o crimen organizado ocupará los datos para diferentes fines”, agrega Carrillo, mencionando casos de extorsión o, el más común, la retirada de fondos de las tarjetas a través de terceros.

Para el retiro de fondos se utilizan “mulas”; es decir, personas que mueven el dinero a cambio de un pequeño beneficio y que, muchas veces, son contactados por redes sociales como Facebook, engañadas con el argumento de que están siendo parte de un negocio o una promoción.

“He visto casos en Asia y Europa en los que en menos de tres horas se hicieron 600 u 800 transferencias electrónicas a cuentas bancarias por valor de millones de dólares”, asegura, constatando que “el hacker no puede hacer eso solo; necesita una organización detrás”.

Eso sí, siempre es necesario un director de orquesta en operaciones a gran escala.

La velocidad también resulta vital, pues “una base de datos robada tiene un valor en el mercado según haya sido utilizada”.

“Una persona que se robó una base de datos con tarjetas de crédito hace diez años, ¿la puede seguir vendiendo en el mercado negro? Sí, pero su valor es menor ya que la probabilidad de que esos datos sean actuales es también menor”, explica.

Al comprar en la Dark Web, las personas se comunican con nombres en código. El hacker ofrece la base de datos y los clientes pujan por ella en privado, no sin antes pedirle una prueba, un 1 % de los datos que asegure que su validez.

Según Carrillo, es complicado tener estándares de precios ya que depende del tipo de entidad y de su importancia.

En casos de tarjetas de crédito, sí se puede hacer una aproximación. Una tarjeta American Express oscila en el mercado negro en torno a 200 dólares. No obstante, el hacker vende cerca de 100.000 tarjetas, dinero suficiente para esconderse, vivir cómodamente y, meses después, dar otro golpe.

El criminal cibernético es muy distinto al que asalta o mata. Aquí, muchas veces se trata de chavales de 16 años con habilidad para la programación y alto coeficiente intelectual.

El experto también mencionó a ejecutivos con habilidades informáticas que ni siquiera buscan el dinero, sino la sensación de poder que otorga el abrir una brecha en el sistema.

Para entender la magnitud de la problemática vale la pena observar que, según el “Estudio sobre el costo de una brecha de datos 2018” realizado por el Ponemon Institute, actualmente más probable que una organización experimente una brecha de datos de al menos 10.000 registros (con 27,9 % de probabilidades) que una persona contraiga gripe en invierno (entre 5 y 20 %).

Y es que no solo mediante la ruptura de la seguridad pueden robarse datos; muchas veces, de manera menos sofisticada, ciudadanos comunes acceden a la información.

“Un ejemplo puede ser un vendedor de fondos de inversión que soborna a la secretaria de un club ofreciéndole unos 20.000 pesos (1.080 dólares) a cambio de que le imprima la base de datos con todos los miembros”, precisa.

Una vez obtenidos los datos se crea una especie de soga sobre la vida de esas personas, pues el que posee los datos puede o llamarles para venderles su producto o utilizar la información para extorsionar, esgrimiendo que tiene a uno de sus familiares secuestrado.

Carrillo concluye expresando que “aún no hemos desarrollado el entendimiento de lo que supone un robo digital” y es que, a mayor y más concreta información se tiene sobre la persona, mayor dominación puede ejercerse sobre ella.