Sigrid Arzt, ex comisionada del ahora INAI, revela que por la información de tarjetas de crédito o débito robadas pagan 400 pesos y hasta 300 mil pesos por la totalidad del padrón electoral ◗ Autoridades reguladoras ni investigan ni castigan, señala ◗ Una tendencia creciente, dice Sebastian Brenner de Symantec, es el ciberataque a una empresa a la cual se le pide rescate para devolverle la información robada.
[ Primera parte ]En el mercado negro de internet, todos los datos personales valen: 400 pesos por números de tarjetas de crédito o débito robadas, 200 pesos por cuentas de correo, 50 pesos por pasaportes y credenciales para votar escaneadas, mil pesos por información detallada de cuentahabientes, 200 mil pesos por expedientes clínicos completos y 300 mil por la totalidad del padrón electoral…
Son cotizaciones realizadas por despachos internacionales dedicados a la seguridad informativa. La maquinaría que aviva el robo y filtración de datos.
“En México no dimensionamos todavía el daño por uso ilegal de los datos de una persona. No se trata sólo de un tema tecnológico, los datos tienen valor económico en el ámbito criminal y ciudadanos y entidades públicas o privadas que manejan esta información parecen ignorarlo”, dice Sigrid Arzt, ex comisionada del ahora INAI y consultora en el tema.
—¿Cuánto valen?
—Estudios internacionales de algunos corporativos señalan que cada dato robado de tarjetas bancarias cuesta alrededor de 10 dólares y un expediente médico llega a valer hasta 10 mil dólares, porque con esa información puedes hacer transacciones para cobrar seguros, pensiones, suplantar la identidad y tener servicios médicos.
Aunque las plataformas tecnológicas han agilizado trámites y facilitado procesos laborales y comerciales, en nuestro país la inversión de empresas e instituciones de gobierno en seguridad de datos es escasa. A la par, se navega en la impunidad: los órganos reguladores ni investigan ni castigan.
En torno a la desprotección generalizada de datos personales, coinciden aquí diversos factores: leyes congeladas en el Congreso, indiferencia a normas ya vigentes en la materia, omisiones y discordancia entre legislaciones locales, falsificación masiva de documentos, uso de la credencial electoral —accesible a diversos actores políticos— como cédula de identidad y deficiencias en el trabajo del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI).
PARAÍSO. “México es conocido ya como un paraíso de datos personales, porque las instituciones tienen demasiadas filtraciones y vulneraciones, en especial las públicas, lo que resulta muy jugoso para este mercado donde hay gente dedicada las 24 horas del día a robar información y utilizarla con fines ilícitos”, dice la experta Issa Luna Pla, del Instituto de Investigaciones Jurídicas de la UNAM.
—¿Quiénes son los interesados en la compra de estos datos?
—En los niveles más bajos las empresas de mercadotecnia, que quieren definir mejor su público-objetivo y diseñar estrategias agresivas de publicidad; compañías competidoras y otras especializadas en crear nuevos productos en sistemas electrónicos para venderlos a nivel internacional; y en el peor de los casos el crimen organizado, que utiliza la información para robos, sobornos, extorsiones y secuestros.
CIBERCRIMEN. En el documento “Impacto de las Pautas de Privacidad”, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) ha descrito a los datos personales como el oro del Siglo XXI por su valía en la usurpación de identidad y otros negocios delictivos.
“México se encuentra en el segundo lugar del ranking latinoamericano de actividad maliciosa en internet, sólo después de Brasil, por la cantidad de virus o códigos maliciosos detectados, el envío masivo de phishing o correos electrónicos para ataques avanzados”, refiere.
Sebastian Brenner, uno de los estrategas de seguridad más reconocidos de la firma Symantec, líder mundial en seguridad de datos con presencia en más de 200 países.
“Los sectores de transporte y servicios son los más afectados en México por ciberataques. Hemos identificado bandas de cibercriminales enfocadas a la captura de información de diferentes entidades de gobierno y privadas, que van apareciendo y desapareciendo, cambiando de nombre. De ahí las apariciones en internet de todo el padrón electoral, sin que la institución al cuidado de esa información conozca el problema”.
—¿No son entonces hackers aislados?
—Son bandas bien estructuradas, con especialistas en cada proceso: infiltración, captura, comercialización. Los integrantes pueden estar en el país u operar desde otros, internet elimina cualquier barrera.
Por medio de su red de ciberinteligencia global y sensores de monitoreo, el despacho ha podido cuantificar el precio de diversos datos en el mercado clandestino de la web, el cual depende de la cantidad de información, de oferta y demanda y hasta de la época del año.
Cuentas de juegos en internet desde 12 dólares hasta 3 mil dólares; cuentas de correo electrónico que hace algunos años se ofrecían hasta en 30 dólares y hoy pueden comprarse por centavos; seguidores en redes sociales —“para mostrar un mejor estatus o atraer negocios”— por un costo entre 2 y 15 dólares; números de tarjetas bancarias cuyos precios fluctúan entre 50 centavos y 20 dólares.
—¿Por qué la variación?
—Depende del país de emisión, del estatus y tipo de tarjeta, del límite de crédito… Cuanto más completo es el archivo de información personal el valor es más alto. Algunos ciberdelincuentes dan garantía y ofrecen devolver la inversión en caso de que la tarjeta se haya dado de baja.
—¿Pasaportes reales escaneados por dos o tres dólares, por 50 pesos?
—Los quieren para robo de identidad, para usar datos reales en la suplantación. El precio es bajo en relación a otros datos más explotables como número de seguridad social o seguro médico cuyo ciclo de vida es muy alto. En el último año uno de los blancos principales es información relacionada con la salud.
Otra de las tendencias crecientes en la actualidad es el “ransomware”: el ciberatacante bloquea o cifra información confidencial de una empresa o usuario y pide un rescate para liberarla. Una especie de secuestro virtual.
—¿Cuánto vale un rescate de este tipo?
—En 2014 el promedio era de 300 dólares por rescate y en 2015 subió a 680 dólares. Muchas veces agarran el dinero y ya no devuelven los datos.
El año pasado se registró la pérdida o robo de 429 millones de datos o registros a nivel global, conforme a las denuncias presentadas ante instituciones oficiales de cada país. Pero según Symantec, con la cifra negra los incidentes superan los 500 millones.
La mitad del robo de datos se derivó de filtraciones o descuidos institucionales y personales. El otro 50 por ciento fue por asaltos organizados por grupos de ataque cibernético, con el propósito de sobornar a personas o empresas, vender la información a competidores e incluso a gobiernos interesados en el ciberespionaje, u ofrecerla al mejor postor en el mercado negro.
Las transacciones se consuman de manera directa o en distintos foros —en el internet profundo— a los cuales sólo se puede acceder con invitación.
—¿Y frente a esta vulnerabilidad, hay algo que podamos hacer?
—El paraguas es la educación, entender el riesgo —dice Brenner—. Las personas deben usar herramientas de protección a computadoras y jamás compartir su información. Y las instituciones y empresas invertir en seguridad, blindar sus protocolos de tratamiento de datos. Es imposible frenar el cien por ciento los robos, pero se pueden reducir…
Qué es el Fullzinfo
(Informe 2015 “La economía oculta de los datos” de Inter Security)
Se conoce como Fullzinfo al paquete que incluye datos personales del titular de una tarjeta bancaria: número de identificación, fecha de nacimiento de la víctima, dirección de facturación, número de PIN, nombre de usuario y contraseña y toda la información necesaria para controlar la cuenta a gusto. Su valor ronda los 45 dólares. Las cuentas de pago en línea se venden de acuerdo a la cantidad de saldo disponible: una con más de 20 mil dólares, hasta en mil 200 dólares.
Informe 2016 publicado por Raytheon y Websense Security Labs:
La información médica que los cibercriminales logran robar tiene diez veces más valor en el mercado negro que cualquier otra información. Se paga por ella más de 450 dólares —unos 9 mil pesos—.
Ranking latinoamericano de amenazas o ataques a la seguridad en internet
(2015 / porcentaje global de detecciones)
1- Brasil 2.03%
2- México 0.58%
3- Argentina 0.47%
Origen de las amenazas
1. Códigos maliciosos
2. Spam
3. Phishing (envío de correos electrónicos que aparentan una fuente fiable y buscan obtener datos confidenciales del usuario para realizar fraudes).
4. Bots (programas informáticos que simulan el comportamiento humano).
5. Ataques de red
6. Ataques a la web
Principales sectores atacados
1. Transportación
2. Servicios
3. Manufactura
4. Finanzas, seguros y bienes inmuebles
5. Comercio
Fuente: Symantec