Mercado negro de Internet: venden tus datos desde solo 3 euros

Los ciberdelincuentes están adquiriendo datos de tarjetas de crédito y otra información de carácter personal en foros on-line ilegales desde 3 euros, el precio de un simple desayuno, según el último informe mensual sobre fraude online de RSA, la división de Seguridad de EMC.

El informe muestra el coste medio de otros artículos y servicios que actualmente están a la venta en el mercado negro de Internet.

Entre los datos personales más demandados por los falsificadores se encuentran los 16 dígitos de las tarjetas de crédito, su vencimiento, la dirección de cobro, el nombre y apellido del titular, su fecha de nacimiento y datos de la banda magnética que servirán para poder falsificarla. Todos estos «productos» se venden en la Red, junto con otras herramientas y servicios, permitiendo a otros aspirantes a ciberdelincuentes recopilar información.

Los delincuentes digitales contratan un servicio de hosting blindado (Bulletproof Hosting) para poder albergar todo el contenido ilegal, y realizan llamadas telefónicas fraudulentas como medio para superar los obstáculos del idioma y género a los que se enfrentan para hacerse pasar por el titular de la cuenta.

También se transfieren de forma ilícita las llamadas telefónicas realizadas por los titulares a las entidades bancarias o comercios. Los servicios de «lluvia de llamadas» (DoS o TDoS) se emplean normalmente para impedir que el móvil del titular esté disponible para llamadas de autentificación o mensajes entrantes provenientes del banco.

Amenaza para los consumidores y empresas españolas

Si bien la venta de los datos robados y las herramientas y servicios de ciberdelincuencia no son nuevos, el crecimiento de estos foros ilegales y la facilidad de acceso a ellos está creando gran alarma. Fidel Perez, director de ventas para España y Portugal de RSA, la División de Seguridad de EMC, cree que este próspero mercado negro de la información plantea una seria amenaza para los consumidores y empresas españolas.

«Existen muchos foros ilegales que operan en todo el mundo vendiendo datos valiosos a un coste que puede parecer insignificante, y que sin embargo tiene el potencial de ocasionar importantes pérdidas para los consumidores, los bancos y las asociaciones de tarjetas de crédito implicadas«, afirmó el directivo.

«En el mercado negro de Internet se venden varios productos y servicios ilegales por menos de 50 euros que, sin embargo, pueden ocasionar pérdidas por miles de euros. Y lo que es peor, en el caso de los consumidores, no se puede valorar económicamente cuánto supone la pérdida de privacidad«, añadió.

RSA ha elaborado una lista de artículos y servicios que se venden en la actualidad en este mercado negro.

1 – Conjuntos de datos CVV2.

Los conjuntos de datos CVV2 constan del PAN de 16 dígitos, el código CVV2, la fecha de vencimiento, la dirección de cobro y el nombre en relieve de las tarjetas de crédito. Los delincuentes compran estos conjuntos de datos para delinquir en los medios de comercio electrónico (sin tarjeta presente), concretamente comprando artículos online y revendiéndolos después por efectivo. Precio: entre 1,5 y 3 euros.

2 – Número de la seguridad social / DOB (fecha de nacimiento).

Los bancos utilizan con frecuencia estos datos personales para verificar la identidad de los clientes en la banca on-line y telefónica, también se emplean en algunos servicios de transferencia de dinero. Precio: entre 1,5 y 3 euros por consulta.

3 – Datos Track 2 (también denominados dumps).

La información «Track-2» se encuentra en la banda magnética de las tarjetas de crédito. Al comprar estos dumps, los delincuentes pueden fabricar tarjetas falsas que se pueden utilizar en las tiendas (esta práctica también se denomina carding). Para ello, la información se codifica en tarjetas en blanco o en tarjetas de crédito antiguas. Precio: Tarjetas Classic/Standard: entre 10 y 14 euros. Tarjetas Gold/Platinum: entre 14 y 57  euros. Tarjetas de Negocio/Corporate: entre 21 y 28 euros.

Estos datos pueden costar hasta 6 euros por tarjeta si los dumps se compran en grandes cantidades, con pedidos mínimos que normalmente empiezan por compras de 140 euros.

4 – Datos de acceso a la banca on-line.

Estos datos constan del nombre de usuario del cliente, la contraseña, y en algunos casos información adicional. Tras obtener estas credenciales, los delincuentes normalmente intentan retirar fondos de la cuenta mediante transferencias electrónicas a cuentas de muleros bajo su control. Precio: entre 35 y 700 euros por cuenta, en función de su tipo y saldo.

5 – Conjuntos de datos «fulls«.

Esta información incluye todos los datos del titular de una cuenta, como los datos identificativos para banca on-line del consumidor (por ejemplo, nombre de usuario y contraseña), la dirección de correo, el número de tarjeta, el código CVV2, la fecha de vencimiento de la tarjeta, el DOB, el SSN. Precio: entre 3,5 y 14 euros por conjunto de datos.

6 – Llamadas telefónicas fraudulentas.

Realizadas por centros de atención de llamadas ilegales. Los servicios telefónicos fraudulentos se ofrecen a los ciberdelincuentes como medio de superar los obstáculos de idioma y género a los que se enfrentan quienes tienen que hacerse pasar por el titular de la cuenta. Precio: entre 7 y 10 euros por llamada.

7 – Comprobación / verificación de tarjetas de crédito.

Los ciberdelincuentes utilizan comprobadores de tarjetas de crédito para verificar con antelación la validez de las tarjetas que obtienen/compran. Precio: 0,25 euros por comprobación, aunque los precios pueden variar según el número. También 14 euros por 35 comprobaciones.

8 – Servicios de lluvia de llamadas o SMS (también denominados telefonía DoS/ TDoS).

Normalmente se emplean para impedir que el móvil del consumidor esté disponible para las llamadas de autenticación o mensajes SMS entrantes procedentes del banco. Precio: entre 17 y 28 euros por lluvia de llamadas las 24 horas.

9 – Servicio de ataque DDoS.

Un ataque de «denegación de servicio distribuida» constituye un intento de impedir que un recurso electrónico esté disponible para sus usuarios mediante la sobrecarga o «inundación» de su banda ancha con un ingente volumen de tráfico web. Precio: 35 euros por 24 horas de DDoS (el precio exacto depende del sitio objeto del ataque).

10 – Bulletproof Hosting.

El Bulletproof Hosting es un servicio que contratan los ciberdelincuentes para albergar contenido malicioso. Su propio nombre indica su sentido: bulletproof significa blindado, mucho más difícil de desmontar que cualquier otro método de hosting existente. Las infraestructuras blindadas albergan cualquier tipo de contenido ilegal. Precio: entre 62 y 127 euros al mes, en función del nivel de servicio, y hasta 286 euros al mes por determinadas infraestructuras.

11 – Kit de troyanos Zeus.

Uno de los troyanos para banca más extendidos en la actualidad. Con un índice de infección de miles de ordenadores al día, funciones altamente avanzadas, código cambiante, nuevas variantes y recursos de comunicación que RSA detecta y analiza de forma permanente, es la familia de troyanos más común. Precios:

– Kit Zeus: entre 2145 y 2860 euros.

– Backconnect: 1072 euros.

– Firefox form grabber: 1429 euros.

– Plugin de chat (IM) Jabber: 357 euros.

– Módulo privado VNC (Virtual Network Computing): 7150 euros.

– Compatibilidad con Windows 7/ Vista: 1430 euros

Kit de troyanos SpyEye

Uno de los troyanos más avanzados hoy en día, con sus propias inyecciones IE y Firefox HTML, activadores de banco predefinidos y una creciente lista de funciones únicas. Hasta la fecha, SpyEye ha sido la mayor innovación en troyanos de 2010, siendo el único troyano para banca comercialmente disponible que ha podido poner en peligro la cuota de mercado de Zeus.

– Kit básico: 715 euros.

– Herramienta de inyección Firefox: entre 715 y 1430 euros.

– Plugin SOCKS: entre 536 y 1251 euros.