Tumblr ha sido la última gran compañía de Internet en reconocer que su seguridad ha fallado. Lo hizo público a comienzos de este mes, en un comunicado donde reconocía que una “tercera parte” obtuvo acceso a principios de 2013 a las direcciones de email y las contraseñas de los usuarios. Aunque no todos los 170 millones de cuentas de la compañía de David Karp -en posesión de Yahoo desde mayo de ese año- están afectadas, los analistas estiman que entre 65 y 68 millones fueron hackeadas. Tumblr cuenta que eso pasó hace tres años, pero que lo han sabido ahora. Las credenciales se encontraban ayer a la venta en The Real Deal -un sitio de la deep web- por 150 dólares.
En 2012, alguien entraba a la base de datos de LinkedIn y se hacía con la información de cerca de 117 millones de cuentas. La red social profesional lo reconoció hace dos semanas. A pesar de que en el momento del hackeo la empresa entonó el mea culpa y publicó que unos 6,5 millones de perfiles habían sido comprometidos, cuatro años después hemos sabido que no eran seis, sino más de 115 millones los usuarios cuyos datos de acceso estaban en posesión de uno o varios hackers. El autor del robo pedía cinco bitcoin -unos 2.000 euros- a cambio de la información, que también vendía en The Real Deal.
La que una vez a punto estuvo de convertirse en Facebook y que ostenta el honroso título de ser la red social más visitada de 2005 a 2008, MySpace, también había sido hackeada. El escaparate predilecto de aquellos millenials vio, hace tres años, cómo los datos de acceso de 427 millones eran publicados en la Red. Una vez más, las credenciales se pusieron a la venta en The Real Deal y, al igual que en el caso de LinkedIn, la base de datos LeakedSource publicó una lista de las más utilizadas por los usuarios. Una de sus conclusiones fue que ni password1 ni 123456 son las contraseñas más seguras.
Antes de saber nada acerca del mayor robo de credenciales en la historia de Internet -MySpace- o de tener constancia de la empanada de LinkedIn en los cuatro años siguientes, un hacker ruso hacía de las suyas. Era a principios de mayo cuando The Collector -el nombre en clave que utilizó- ponía en venta 272 millones de cuentas Gmail, Yahoo, Hotmail y mail.ru por 50 rublos. Lo que al cambio son unos 60 céntimos de euro. Aunque Alex Holden, un experto en ciberseguridad, dijo que lo descubrió antes de que el ruso hiciera nada, no podemos estar seguros de que la información no llegara a filtrarse. “Son datos robados disponibles para su venta”, decía Holden a Reuters.
Un mercado organizado
Vender datos da dinero. Cuando hackearon Verizon pidieron 100.000 dólares por el pack entero y 10.000 por algunas partes. Elena García, responsable de contenidos e investigación en seguridad del INCIBE, sabe que la información, así como un poder, también puede ser un negocio: “Sin duda. Pero no estamos diciendo nada nuevo, llevamos mucho tiempo pensando en eso”. Los hackers comercian con la información que roban, “todo depende de la inteligencia que le pongan”, dice. Y pone un ejemplo: “A través de ir recopilando información, tú no dejas de ir definiendo un determinado perfil a quien atacar para llegar a su empresa por ejemplo, ya sea por una cuestión de espionaje industrial o de robo de propiedad intelectual”.
“Hay un montón de estudios de tarifas medias de cuánto vale un número de tarjeta de crédito con pin, un número de tarjeta de crédito con pin y con CVV; o cuánto vale un buzón de correo, un nombre y unos apellidos...”, continúa Elena. Computing se hacía eco de un estudio de McAfee en octubre del año pasado que ponía de manifiesto que este comercio existe en la deep web, y desde hace muchos años. “El precio medio de una tarjeta de crédito en EEUU va desde los 5 a los 30 dólares y en Reino Unido desde los 20 a los 35 dólares”.
Los datos robados valen más. Es ese el momento cuando pasan a convertirse en activos. Los casi 120 millones de cuentas de los usuarios de LinkedIn han estado al aire cuatro años. A diferencia de un bien que pueda devaluarse con el paso del tiempo, los datos no lo hacen sino por la cantidad de veces que son vendidos en la Red: “Esa información es un activo que sigue teniendo su valor. Si está disponible es porque alguien paga por ello, sigue siendo oro al fin y al cabo; aunque sea dos años después”, dice Elena.
Datos que se compran “una y otra vez”
Troy Hunt, director regional de Microsoft en Australia y desarrollador de seguridad en la misma compañía cuenta a este diario que “este tipo de hackeos existen desde hace muchos años, no son el reflejo de ninguna técnica nueva”. Sin embargo, Hunt menciona algo que intriga. En varios de los ejemplos antes mencionados, el robo de datos se produjo hace tres o cuatro años. “Los datos que vemos a la venta son comprados una y otra vez y también hemos comprobado que el precio cae según se extiende [la operación en el tiempo]”. The Collector vendía por 50 céntimos de euro la información de 272 millones de cuentas de correo.
Al igual que un banco opera con divisas, los ciberdelincuentes lo hacen con los datos que sustraen. Datos que luego se intercambian entre sí o que, incluso, podrían llegar a vender a empresas. “Pudiera ser. Ahí el oscurantismo o el misterio de hasta qué punto el marketing personalizado que nos hacen llegar se apoya solo en información que nosotros hemos aportado libremente”, dice Elena.
¿Es la nueva gallina de los huevos de oro el robo masivos de datos en Internet? Aunque la investigadora contesta un rotundo “sí” al otro lado del teléfono, Hunt se muestra más escéptico y apunta al pasado truculento de los ciberdelincuentes que sustraen esos datos: “Les motivan varios factores; a veces es como protesta por lo que la página web hace, otras obedecen a razones comerciales y otras veces, simplemente, lo hacen 'porque pueden'”. Elena tranquiliza: “No hay motivos para desconfiar de nuestros prestadores de servicios de confianza”. E ironiza: “A priori hay que pensar que el mundo es bueno”. Pero solo a priori.