La portada de mañana
Acceder
El Supremo amplía la investigación de los correos de la pareja de Ayuso
La Generalitat reconoció por escrito que el seguimiento de ríos es su responsabilidad
Opinión - Lobato, en su laberinto. Por Esther Palomera

Esto es lo que pasa cuando te roban la contraseña y acaba en la internet oscura

Salió a la luz a principios de febrero: las cuentas de más de 20 millones de usuarios de Taobao —algo así como el eBay chino, propiedad del gigante Alibaba— habían quedado a merced de ciberdelincuentes que las estaban utilizando, entre otras cosas, para realizar falsas pujas en las subastas. Es la mayor fuga de información confidencial que hemos conocido en lo que va de 2016, pero se suma a una lista desdichadamente célebre y extensa.

Sin ánimo de ser exhaustivos, el pasado año se filtraron cientos de contraseñas de usuarios de Minecraft, datos personales de 21,5 millones de funcionarios estadounidenses, claves de empleados de la controvertida firma de seguridad Hacking Team (sorprendentemente flojas, dados sus quehaceres), embarazosas credenciales de unos 36 millones de adúlteros registrados en Ashley Madison, datos de acceso a cientos de perfiles de Spotify y a 13 millones de cuentas de 000Webhost —uno de los mayores servicios gratuitos de alojamiento web— o historiales médicos de casi 80 millones de pacientes de una de las principales compañías norteamericanas de seguros médicos.

Al hilo de noticias como estas, suele explicarse que la información robada acaba en manos de cibercriminales que, a menudo, la obtienen a través de la 'dark web'. Pero, ¿cómo funciona ese mercado negro de los datos? Si tu dirección de correo, tu contraseña u otros datos personales acaban en los foros de la infame internet oscura, ¿qué puede suceder con ellos?

Para responder a esta difícil pregunta, los investigadores de la firma de seguridad informática Bitglass han realizado un curioso experimento. Se han inventado un internauta corriente y moliente, un Pepito Pérez cualquiera, y le han dotado de una identidad creíble y todo lo necesario para ser la víctima de un falso robo de información mediante 'phishing'.

De profesión, empleado de una pequeña sucursal de un banco (también ficticio), para que los potenciales delincuentes muerdan el anzuelo pensando que podrán lucrarse sin correr un riesgo excesivo. Nuestro protagonista tiene una cuenta en Google Drive donde guarda documentos de todo tipo, desde menús del día poco apetecibles (para el malo) hasta archivos con información confidencial de lo más suculenta, números de tarjetas de crédito (reales) incluidos.

Además, en su afán por preservar la verosimilitud, los expertos han creado un portal para la entidad financiera donde aquellos que piquen podrán introducir las credenciales supuestamente robadas. Por supuesto, el bueno de Pepito comete el error de utilizar la misma contraseña en todas partes —como por desgracia buena parte de los internautas—.

En manos de la 'dark web'

Haciéndose pasar por ciberdelincuentes que han obtenido los datos de nuestro Pepito usando malas artes (un ataque de 'phising', concretamente, también en aras del realismo), los investigadores acceden a uno de los muchos foros de la internet oscura por donde circula información de este tipo y filtran su artificio, previamente marcado con un código que les permitirá rastrear los movimientos de cualquiera que trate de sacar provecho. Toda la actividad de aquellos que caigan en la tentación quedará registrada sin que se percaten.

“Inmediatamente después de filtrar el usuario y la contraseña de la víctima en la 'dark web', observamos un pico de actividad tanto en Google Drive como en el falso portal del banco”, explican los expertos de Bitglass. “De hecho, la mayoría fueron al portal del banco poco después de acceder a Google Drive y probaron las mismas credenciales”.

Concretamente, el 94 % de los que obtuvieron la clave en el servicio de almacenamiento de Google (bien inspeccionando solo los archivos con información sensible o bien descargándolos de forma masiva para encontrar los datos aplicando técnicas de rastreo) probaron suerte también con la entidad bancaria. En el momento de hacer públicos sus resultados, los expertos ya habían contabilizado más de 1.400 visitas a las credenciales y la web del banco.

“Aunque no se realizaron transacciones con las tarjetas de crédito auténticas durante los días inmediatamente posteriores a la filtración”, matizan los investigadores, la monitorización prosigue “a la espera de que utilicen o vendan los datos de las tarjetas de crédito en un futuro cercano”, que es lo previsible.

Cada vez más cautelosos

Los asaltantes cuya procedencia fue posible verificar operaban desde más de 30 países, incluidos sospechosos habituales del cibercrimen como Rusia (34,85 %) o China (3,5 %) pero también los Estados Unidos (15,67 %). No obstante, la mayoría (68 %) navegaban de forma anónima a través de la red Tor para evitar ser detectados.

Esto es algo que ha llamado poderosamente la atención de los expertos, pues indica una mayor concienciación por parte de los atacantes que los resultados del primer experimento de este tipo, realizado por Bitglass el año pasado. En aquella ocasión, muy pocos asaltantes se sirvieron de Tor para pasar inadvertidos.

De hecho, en sus visitas a la internet oscura para colocar el cebo, los investigadores se toparon con varias discusiones sobre la mejor manera de ocultar la dirección IP a la hora de llevar a cabo actividades ilegales.

“Uno de los primeros individuos que nuestro equipo encontró en la 'dark web' buscaba consejos para usar las credenciales de Google robadas sin ser descubierto”, relatan. “Otros se sumaron enseguida a la conversación para sugerir que Tor no era suficiente para acceder a datos bancarios y recomendar al novato que contratara un servicio de VPN pagando con criptomoneda” o que “usara un ordenador 'desechable' en una wifi pública”. ¿El objetivo de tales precauciones? Esquivar las leyes que castigan las prácticas ilícitas del cibercrimen.

“Los novatos recibían frecuentes advertencias acerca del peligro de llevar a cabo actividades ilegales sin las apropiadas medidas de protección”, prosiguen los investigadores. “Curiosamente, estas palabras de aviso no resultaron ser muy disuasorias, pues muchos accedieron y descargaron los datos de igual modo”.

También se mantuvieron conversaciones en la 'dark web' sobre la forma idónea de explotar la información financiera que habían obtenido durante sus incursiones en las cuentas de la falsa víctima. Los usuarios de la internet oscura debatieron, entre otras cosas, “sobre los mejores grabadores de tarjetas y los datos que necesitaban para crear una tarjeta funcional”, revelando su intención de utilizar el botín para obtener auténticas ganancias económicas.

“Nuestro experimento revela los peligros de reutilizar contraseñas y muestra lo deprisa que unas credenciales robadas pueden difundirse, exponiendo información corporativa y personal sensible”, afirma Nat Kausik, CEO de Bitglass. En definitiva, la suya es una crónica poco habitual de lo que pasa entre bambalinas cuando tu usuario y contraseña está entre los millones que han formado parte de una filtración masiva.

Si te identificas con nuestro Pepito —y todos somos como él en mayor o menor medida—, tenlo en cuenta la próxima vez que leas sobre un caso como el de Ashley Madison.

---------

Las imágenes de este artículo son propiedad, por orden de aparición, de Image Catalog, Automobile Italia, Bitglass, Quinn Dombrowski y Johan Viirok