DELINCUENCIA

¿Cuánto cuesta tu tarjeta de crédito robada a en el mercado negro?

card

Intel Security ha hecho público hoy su informe The Hidden Data Economy, que proporciona ejemplos de cómo se está comercializando con distintos tipos de datos robados y los precios de venta que se están ofreciendo para cada uno de ellos en el mercado negro

Ningún sistema informático puede ser absolutamente seguro. Por eso ocurre de forma bastante habitual que populares servicios web son 'hackeados', de tal forma que los atacantes acceden a los datos bancarios o información personal que puede llevar a ellos.

Una vez que una tarjeta de crédito ha sido sustraída, aunque no sea de forma física, alcanza un precio que se mueve entre los 5 y los 45 dólares, según el territorio, y los datos de acceso a cuentas bancarias cambian en función del saldo disponible.

Intel Security ha hecho público hoy su informe The Hidden Data Economy, que proporciona ejemplos de cómo se está comercializando con distintos tipos de datos robados y los precios de venta que se están ofreciendo para cada uno de ellos en el mercado negro. La organización McAfee Labs de Intel Security Group ha examinado los precios de los datos extraídos de las tarjetas de crédito y débito robadas, de los datos de acceso a cuentas bancarias, los servicios de transferencia bancaria a cuentas opacas, los datos de acceso a servicios de pago online, a servicios de contenido 'premium', a redes de empresas, a cuentas de fidelización y a cuentas de subastas online.

A lo largo de los años, el equipo de McAfee Labs ha trabajado con los proveedores de tecnología de seguridad, autoridades y otros para identificar y evaluar numerosas páginas web, chats y otras plataformas, comunidades y mercados online en los que se venden y compran datos robados. Basándose en esta experiencia, sus investigadores pueden proporcionar ahora una evaluación general del "estado de la economía del cibercrimen" con ejemplos de los principales tipos y precios de los datos con los que se comercia en el mercado negro.

"Como cualquier otra economía eficiente no regulada, el ecosistema del cibercrimen ha evolucionado rápidamente para proporcionar numerosas herramientas y servicios a cualquiera que aspire a cometer actos de ciberdelincuencia", afirma el CTO de Intel Security en EMEA, Raj Samani. "Este mercado de la "ciberdelincuencia como un servicio" ha sido un factor primordial para el auge en tamaño, frecuencia e intensidad de los ciberataques. Lo mismo puede decirse de la proliferación de los modelos de negocio establecidos para vender datos robados y pagar actos cibercriminales".

Los datos de las tarjetas de pago (crédito y/o débito) es quizás la operativa de compra/venta más conocida. Los investigadores de McAfee Labs han encontrado una clasificación basada en cómo estos datos se ofrecen, valoran y venden en el mercado negro. Una oferta básica incluye un número válido generado por software que combina un número de cuenta primario (PAN por sus siglas en inglés), fecha de caducidad y un número CVV2. Los vendedores se refieren a la cambinación de un número válido como "Random". Los generadores de números de tarjeta válidos pueden adquirirse o encontrarse gratis en Internet.

El precio aumenta cuando la oferta incluye información adicional que permite a los criminales llevar a cabo más acciones con los datos principales. Esto incluye datos como el número de identificación de la cuenta bancaria, la fecha de nacimiento de la víctima y una información categorizada como "Fullzinfo", en la que se incluye la dirección de facturación de la víctima, su número PIN, su número de seguridad social, fecha de nacimiento, nombre de soltera de su madre e, incluso, el nombre de usuario y la contraseña necesarios para acceder, gestionar y trasnformar de forma online la cuenta del titular.

PRECIOS DE TARJETAS, CUENTAS O SERVICIOS ONLINE

De esta forma, el precio medio estimado para tarjetas de crédito y débito robadas es de 5 a 30 dólares en los Estados Unidos, de 20 a 35 dólares en Reino Unido, de 20 a 40 dólares en Canadá, de 21 a 40 dólares en Australia y de 25 a 45 dólares en la Unión Europea.

Los datos de acceso a cuentas bancarias con un saldo de 2.200 dólares tienen un valor de venta de 190 dólares. Los datos de acceso a cuentas bancarias y transferencias de fondos a cuentas opacas a un banco de los Estados Unidos tienen un valor desde los 500 dólares para una cuenta con un saldo de 6.000 dólares, hasta los 1.200 dólares para una cuenta con un saldo de 20.000 dólares. Los datos de acceso a cuentas bancarias y transferencias de fondos a cuentas opacas del Reino Unido tienen un precio desde los 700 dólares para una cuenta con un saldo de 10.000 dólares, hasta los 900 dólares para una cuenta de 16.000 dólares.

Por su parte, los datos de acceso a servicios de pago online tienen un valor de venta de entre 20 y 50 dólares para cuentas con un saldo de entre 400 y 1000 dólares, y de 200 a 300 dólares para cuentas con saldo entre 5.000 y 8.000 dólares.

"Un criminal que tenga en su posesión el equivalente digital a la tarjeta física puede comprar o retirar dinero hasta que la víctima contacte con su entidad y reclame los cargos", afirma Samani. "Si se proporciona al criminal información personal adicional que pueda emplear para "verificar" la identidad del titular de la tarjeta o, peor áun, permitirle acceder a la cuenta y cambiar la información, las consecuencias para el titular de la tarjeta pueden ser aún peores".

El informe también evalúa los precios en el mercado negro para datos de acceso a servicios de contenido premium como vídeo en streaming (de 0,55 a 1 dólar), televisión por cable (7,5 dólares), o acceso a canales deportivos (15 dólares). Estos precios relativamente bajos sugieren que los cibercriminales han iniciado operaciones de robo automatizadas y a gran escala para hacer rentable los modelos de negocio de ciberdelincuencia.

Algunos servicios online, como los datos de acceso a programas de fidelización del sector hotelero y a las cuentas de subastas online podrían parecer objetivos de poco valor, pero los investigadores han descubierto que también están a la venta en el mercado negro. Al parecer, estos permiten a los cibercriminales realizar compras online usurpando la identidad de sus víctimas. Los investigadores de McAfee Labs descubrieron por ejemplo, que una cuenta de fidelización a un importante grupo hotelero con 100.000 puntos, estaba a la venta por 20 dólares, y una cuenta de una comunidad de subastas online de gran reputación tenía un precio de 1.400 dólares.

Te puede interesar