En los rincones menos visibles de Internet, donde la compraventa ocurre lejos de cualquier regulación, una base de datos con información personal (nombres, direcciones, correos electrónicos e incluso credenciales financieras) cambia de manos por apenas 3 mil 500 pesos.

La cifra, que podría parecer menor para un conjunto de información capaz de abrir la puerta a fraudes o suplantaciones de identidad, deja claro que nunca había sido tan sencillo adquirir la vida digital de otra persona, según especialistas en ciberseguridad.

Ese monto equivale, por ejemplo, al precio de una playera oficial de la Selección Mexicana de futbol, en pleno furor mundialista. En otras palabras, el costo de una prenda deportiva de alta gama coincide con el de una base de datos que puede contener la identidad completa de miles o millones de usuarios.

De acuerdo con la firma de ciberseguridad ESET, este abaratamiento no implica que la información haya perdido utilidad, sino que se ha vuelto excesiva. Las filtraciones masivas, los ataques constantes y la reventa sistemática de datos han saturado la oferta en la red oscura (dark web), donde los registros robados se acumulan con rapidez y pierden valor en la misma medida en que se replican.

En la práctica, los datos personales han dejado de ser un bien escaso. Cada nueva brecha alimenta un mercado que opera bajo lógica de volumen: más información disponible, menor precio por registro.

Para los usuarios, sin embargo, el riesgo persiste e incluso crece, pues la facilidad de acceso permite que más actores participen en esquemas de fraude, extorsión o robo de identidad.

El resultado es un ecosistema que se alimenta a sí mismo. En la Internet oscura, los datos robados no sólo circulan: se reciclan. Son los propios ciberdelincuentes quienes compran, fragmentan y revenden la información a otros actores, en una cadena donde cada transacción amplía el alcance del daño. Así, una misma base de datos puede pasar por múltiples manos, multiplicar su uso ilícito y extender su vida útil en un mercado ilegal que encuentra en la reventa su principal motor de expansión.

El costo de los datos

De acuerdo con ESET, para los ciberdelincuentes, las bases de datos son atractivas debido a su volumen, ya que la información personal de multitudes de usuarios puede ser utilizada en campañas masivas de correos electrónicos o llamadas no deseadas (spam), cadenas de phishing –robo de información por medio de mensajes o correos falsos– e incluso fraudes financieros.

“Estos datos son comercializados en foros clandestinos o en la dark web a precios muy bajos. Recientemente se informó que una base de información de más de 228 mil clientes de una empresa de servicios financieros fue ofertada en estos foros clandestinos por apenas 3 mil 500 pesos, lo que deja en evidencia la facilidad con que esta información puede ser adquirida por ciberdelincuentes.”

Ese monto alcanza para pagar, por ejemplo, los servicios esenciales de un hogar (agua, luz y gas) o quizá un boleto de avión de ida y vuelta a Cancún, Quintana Roo.

La comparación no es menor: mientras en la economía cotidiana 3 mil 500 pesos representan un gasto relevante, en el mercado ilegal de la Internet oscura bastan para adquirir información sensible de cientos de personas

¿Quiénes los compran?

De acuerdo con David González, investigador de seguridad informática de ESET, los principales interesados en comprar datos filtrados en la Internet oscura son otros ciberdelincuentes, pues la compraventa de información robada funciona como un mercado secundario del cibercrimen, donde aquellos que cometen el robo no siempre son quienes los utilizan.

“En estos espacios las bases de datos se revelan para ser aprovechadas en distintas actividades ilícitas como fraudes financieros, robos de identidad o campañas de phishing personalizadas. También participan grupos criminales organizados que buscan grandes volúmenes de información para realizar ataques masivos, así como estafadores que utilizan datos reales para dar credibilidad a engaños digitales”, dijo el especialista en entrevista.

Precisó que, debido a los bajos precios y la mayor disponibilidad, personas con escaso conocimiento técnico pueden adquirir información robada y usarla para delinquir.

Si bien los datos personales son extremadamente valiosos, su bajo precio se debe principalmente a la sobreoferta de la información robada, apuntó el experto.

“Tras años de filtraciones, ataques y violaciones de seguridad, el volumen de datos disponibles en foros clandestinos es tan grande que el precio por registro individual se desploma o disminuye. Además, muchas bases de datos contienen información duplicada, incompleta o antigua, lo que reduce su valor comercial.

“Por eso los ciberdelincuentes optan por vender paquetes completos a bajo costo, priorizando la cantidad sobre el precio unitario. Se han documentado casos en que las bases de datos con cientos de miles de registros se ofrecen a precios muy asequibles, lo que facilita que actores maliciosos puedan explotarlos.”

¿Qué pueden hacer los internautas?

Aunque en el mundo de la tecnología todo es cambiante y da virajes en cuestión de segundos, los consumidores tienen opciones para proteger su información, comentó González, de ESET.

“Aunque muchas filtraciones ocurren en servicios externos y no dependen directamente del usuario final, las buenas prácticas digitales son claves para reducir el impacto. Entre las principales recomendaciones están no reutilizar contraseñas, utilizar gestores de contraseñas y activar la autenticación de dos factores en todas las cuentas que sean posible.

“También se recomienda mantener los dispositivos actualizados, desconfiar de mensajes que soliciten información personal y prestar atención a las señales de actividad sospechosa en las cuentas”, refirió.

Además, la concientización es fundamental “porque entender cómo comercializan los datos los cibercriminales ayuda a que los usuarios dimensionen el riesgo y tomen mejores decisiones sobre su información personal”.