Así trafican con tus datos las mafias para después estafarte: hasta un millón por un listado

Casi todo el mundo ha recibido alguna vez en su teléfono móvil un mensaje en el que una empresa que le resulta familiar le ofrece algún servicio. Pinchar en uno de esos enlaces es, a menudo, el primer paso de una estafa en busca del dinero de los más incautos. Los delincuentes han sofisticado su actividad y los envíos son ya selectivos. Estudian los gustos y las características propias de sus potenciales víctimas. Para ello es necesaria la información que los hackers informáticos extraen previamente, ya sea de un Ministerio, los suscriptores de un periódico o el fichero de clientes online de una marca de ropa. Luego esos datos se venden en el mercado negro en foros gestionados desde países del Este, principalmente Rusia. Las mafias pueden pagar hasta un millón de euros, siempre en criptomoneda, para hacerse con esos listados.

"Lo mejor pagado son las listas de clientes bancarios". Lo dice uno de los agentes de la Unidad Central de Ciberdelincuencia de la Policía Nacional, en concreto de la brigada de Ataques Informáticos. Es un departamento de la Policía Nacional con cada vez más carga de trabajo, dado que la delincuencia recurre con frecuencia a la tecnología informática para lograr sus fines, que siempre son conseguir dinero. En la lucha contra este tipo de estafas colaboran mano a mano con los compañeros de la Brigada de Fraude. "Para que se produzca un fraude bancario, antes alguien ha tenido que realizar un ataque informático para hacerse con la información", explican. El índice de delitos de fraude ocupa un 87 por ciento del trabajo de la Unidad, pero eso no quiere decir que no se den otras modalidades.

"No son tanto especialidades aisladas, tenemos que buscar el origen. Hoy —dice otro agente— todo el que sea capaz de manejar una base de datos, luego puede realizar un fraude muy sofisticado. Ya no son esas campañas de mensajes masivos en los que te llegaba publicidad de una empresa de la que ni siquiera eres cliente. Ahí era más fácil no caer. Ahora saben bien qué y a quién se lo mandan porque previamente lo han estudiado, hay un punto de ingeniería social". Actualmente, hay dos grandes foros en los que se trafica con esos datos que antes alguien ha extraído de cualquier entidad, tanto pública como privada: "Uno es Reddit y el otro es un foro ruso muy famoso llamado Xss".

Esos son los más comunes, pero hay otros como Russian Market, Genesis Market, alguno de ellos ya bajo el foco de Europol. Estos dos últimos también ofertan cookies de navegación de particulares, información de tarjetas bancarias o contenido como manuales para cometer fraudes. "Estos son los grandes mercados de los que se nutren los ciberdelincuentes y no es fácil dar con los responsables últimos". Lo positivo es que una vez se interviene contra estos foros, se extrae toda la información de sus usuarios porque deja rastro. Hay algunos que usan identidades falsas o inventadas, pero hay de todo, también quien se registra con sus datos reales.

Los precios que se pagan por tus datos

Para acceder hay que darse de alta, hay que pagar una cuota que actualmente ronda los 16 euros en bitcoin y los administrados ejercen un control férreo: "Tienes que participar y a la vez ofertar o comprar. Si ofreces una lista que no existe, te reportan como fraude y te echan del foro". Monitorizar este tipo de webs de intercambio de datos permite a los investigadores conocer las cantidades que se pactan por ficheros o listas de contraseñas. No hay una tarifa fija de precios, varían en función de la calidad y la cantidad de los datos que contienen. Por debajo del millón puede haber paquetes de datos que valen 100.000 euros o mil euros. Lo que sí tienen en común todas estas operaciones es que la forma de pago es la criptomoneda y que esos bazares online de mercado negro están alojados en servidores de países con poca fluidez en la cooperación judicial o policial. Gran parte de ellos se administran desde países del Este de Europa.

La cooperación internacional es "complicada y lenta". Hay que tener en cuenta las leyes de cada país. Cuando es en el marco de la Unión Europea, el escenario es más fluido, pero hay muchos países que pueden tardar un año en contestar a una comisión rogatoria en la que un juez pide información. Los delincuentes buscan un lugar físico en los que establecer sus servidores, un ordenador. "Normalmente, buscan terceros países no colaboradores como Rusia, Moldavia, también China". De este modo también esquivan las operaciones para "tumbar" el servidor, que se hacen con resultados positivos a menudo. Pero en el mejor de los casos, los delincuentes tardan pocos meses en reactivar el servidor en otro país o establecen un complejo entramado de IP donde nunca se llega al servidor de origen.

"No has recogido el paquete que te ha llegado", "te ofrecemos un descuento en la tarifa de la luz", "un dispositivo móvil no autorizado ha accedido a la cuenta online de su banco"... estos son los mensajes que produce esta industria del fraude, siempre con un enlace para que la víctima pinche e inicie el proceso. A nivel internacional y de competencia urge un cambio de modelo policial porque "los delincuentes van a la velocidad de la luz". Hay organizaciones tradicionales del crimen organizado que han visto la ciberdelincuencia como una oportunidad, pero también hay especialistas que comenzaron su actividad como "hackers de sombrero blanco", pero con el tiempo se han pasado al lado oscuro.

Tres tipos de hackers

Un pirata informático de sombrero blanco es el que detecta la vulnerabilidad informática de alguna institución y avisa para que la subsanen sin causar daño. Luego está el hacker de color gris, que se ofrece a remediar él mismo la grieta de seguridad a cambio de dinero. En último lugar, están los llamados piratas de color negro, que directamente aprovechan las debilidades para hacerse con los datos y acudir con ellos al mercado negro. Las fuentes policiales citan un concepto de uso común llamado Crime as a Service (CaaS), el origen de toda esta industria que ha terminado por "democratizar" la ciberdelincuencia: "Cualquiera que tenga un móvil y algo de dinero para invertir, porque esto no es gratis, puede acceder a los foros donde se trafica con datos". Hay que participar porque de lo contrario lo detectan y te expulsan.

"Una lista que tenga identidades, correos electrónicos, teléfonos, una domiciliación bancaria… es información muy suculenta para poder lanzar un ataque dirigido", dice uno de los expertos policiales en perseguir este tipo de delitos. Pone como ejemplo la información de empresas de servicios como el agua o la luz, que permite a los delincuentes acotar su plan de actuación a un pueblo concreto. Los frentes de actuación de los delincuentes son variados y no siempre actúan contra empresas, que por lo general invierten dinero en medidas de ciberprotección. No es el caso de los domicilios particulares en los que rara vez las familias con internet en casa cambian la contraseña del router: "Eso puede ser una vulnerabilidad porque hay determinados routers que tienen una contraseña fácilmente descifrable por los delincuentes si se hacen con los parámetros de claves de acceso que usa una compañía telefónica".

Acceder a los routers de las familias les permite conocer las páginas que visitan, sus gustos, las plataformas de las que son clientes, sus potenciales damnificados del fraude sin necesidad de atacar a esas compañías para hacerse con sus ficheros. Quien está detrás no son necesariamente grandes mafias, cada vez más son particulares que han adquirido ciertos conocimientos informáticos, un fenómeno que ha experimentado cierto auge desde la pandemia.

La persecución de este tipo de delincuencia no se limita a la investigación informática, también es útil seguir el rastro del dinero y enfocar las pesquisas por la vía económica, seguir el rastro del dinero. Ayuda que en ocasiones los bancos colaboran más rápido que los Estados. El último paso es el tradicional, aunque sea ciberdelincuencia, al final siempre es necesario dar con un domicilio y una identidad para proceder a su arresto. Sin autor conocido no se puede judicializar un caso. Según la última estadística general de 2021, se registraron 305.477 hechos denunciados, de los cuales se esclarecieron 46.141, lo que supone un 15 por ciento de casos resueltos.