Los 4 principales tipos de documentos de la Dark Web al descubierto: desvelando el lucrativo mundo del robo de identidad.

Enero de 2024

Los estafadores no tardaron en darse cuenta del inmenso potencial delictivo de Internet y de lo lucrativo que es el robo de identidades. Ya en 2014, la ciberdelincuencia costó a la economía mundial más de 400.000 millones de euros. Solo un año después, esa cifra se disparó hasta casi los 3 billones de euros. Algunos estudios prevén que llegue a trillones en 2025.

Acaba de terminar 2023 y ya se calcula que las pérdidas debidas al robo de identidad han sido casi el doble que en 2022, siendo el fraude que encabeza la lista de los tipos de estafa denunciados con más frecuencia en estos momentos.
 
La puerta de entrada a todos estos datos robados son los marketplaces delictivos, incluida la web oscura o Dark Web. Estos marketplaces pueden encontrarse en la "web clara" (todo lo que está disponible abiertamente en Internet), la "web profunda" (las partes de la web que sólo son visibles con un nombre de usuario y una contraseña) y la "web oscura" (totalmente oculta a los navegadores habituales, a la que sólo se puede acceder mediante un software especial).
 
En colaboración con DarkTower, nos adentramos en las partes más profundas de la web para arrojar algo de luz sobre el comercio con identidades.

Esto es lo que más se compra y se vende en estos mercados delictivos

1. Username and password kits

Username and password kits

stolen account data kits i.e. fullz

Stolen account data kits ("Fullz")

CPN Kits

CPN Kits

counterfeit identity docs

Counterfeit Identity Documents

I. Kits de nombres de usuario y contraseñas: la epidemia del pirateo informático

Se calcula que 24.000 millones de combinaciones de nombres de usuario y contraseñas están disponibles en la red oscura, el equivalente a casi cuatro por cada persona del planeta.

¿Cómo acaba en la red oscura tal cantidad de información sensible?

Ingeniería social

Se suele realizar un ataque masivo contra grandes empresas para robar los datos e información personal de los usuarios, como el ataque de 'spear phishing' que sufrió Yahoo en 2013 y que afectó a 3.000 millones de usuarios. El "spear phishing" está diseñado para engañar a las víctimas para que abran un correo electrónico, un mensaje de texto o un mensaje directo que contiene un enlace que otorga a los hackers acceso al sistema.

Más recientemente, en 2020, Twitter sufrió un ataque similar, que comprometió las cuentas del fundador de Microsoft, Bill Gates, del aspirante demócrata a la presidencia, Joe Biden, y de la estrella de realities, Kim Kardashian.

Pero, ¿cómo se roba una identidad?

ATAQUE DE REPETICIÓN

Se interceptan credenciales de inicio de sesión que se vuelven a transmitir haciendo creer que el hacker es el remitente original, para obtener acceso no autorizado a una red.

ATAQUES DE INYECCIÓN SQL

Los ataques de inyección SQL permiten a los atacantes suplantar la identidad, manipular, destruir y robar datos existentes, y convertirse en administradores, tomando el control del servidor.

Por ejemplo, la brecha que afectó a Heartland, Hannaford Bros., 7-Eleven Inc. y otros tres minoristas allá en 2008, se produjo mediante la inyección SQL y dio lugar al robo de 130 millones de números de tarjetas de crédito.

SEGURIDAD DE LAS CONTRASEÑAS

Las contraseñas débiles y una higiene deficiente de las mismas pueden constituir una puerta de entrada para el robo de datos. Según el Informe de Verizon de 2022, el 81% de las filtraciones de piratas informáticos implican el uso de contraseñas o credenciales robadas.

AMENAZAS INTERNAS

Las "amenazas internas" son violaciones de la seguridad causadas por empleados actuales o antiguos de una organización. Son una de las categorías de ciberriesgo más difíciles de mitigar, porque la mayoría de las estrategias de seguridad tradicionales se orientan al exterior. Se dividen en tres categorías:

  1. Violaciones accidentales derivadas de acciones como hacer clic en un enlace de un correo electrónico de phishing.
  2. Empleados que emprenden acciones perjudiciales deliberadamente para obtener ganancias financieras.
  3. Ex empleados o empleados actuales agraviados que intentan causar un problema de seguridad grave para dañar a la empresa o a otro empleado.

En 2020, el 36% de las violaciones de datos notificadas fueron causadas por agentes maliciosos internos.

El IMPACTO DE LAS VIOLACIONES DE DATOS

Una vez en posesión de combinaciones de nombre de usuario y contraseña robadas, los delincuentes pueden asumir la identidad de las víctimas y:

  • Utilizar la información de la tarjeta de crédito o débito para realizar compras no autorizadas
  • Solicitar tarjetas de crédito o préstamos
  • Robar dinero de cuentas bancarias, cuentas de jubilación y otras cuentas financieras.
  • Cambiar las direcciones de facturación y añadir nuevos usuarios a las cuentas.
  • Solicitar prestaciones sociales
  • Alquilar un apartamento, un coche o solicitar un empleo.
  • Solicitar permisos de conducir o pasaportes.
  • Vender la información en mercados delictivos.

 

II. Kits de datos de cuentas robadas: el fraude del intercambio de tarjetas SIM

Fullz

Los "fullz" son un conjunto de información personal robada que puede utilizarse para hacerse pasar por la víctima, robarle o realizar actividades ilegales en su nombre. Suelen incluir el nombre, el número de la seguridad social, la fecha de nacimiento, la dirección, el número de teléfono, los números de cuenta y otros datos personales. Se pueden utilizar para abrir nuevas líneas de crédito a nombre de la víctima o apoderarse de sus cuentas bancarias y vaciarlas. Los datos adicionales, como el número del carné de conducir o una foto aumentarán el precio de una fullz.

Estafas laborales

Los estafadores publican anuncios de trabajo en bolsas de empleo en línea donde se pide a las víctimas que faciliten su nombre, fecha de nacimiento, dirección y una serie de documentos escaneados que contienen datos personales muy valiosos que pueden contribuir a la usurpación de identidad.  Sin embargo, con mayor frecuencia, las estafas laborales pueden implicar que la persona "contratada" participe sin saberlo en fraudes de reenvío, blanqueo de dinero y fraude con cheques.

Malware para Android

Un nuevo tipo de malware para Android, bautizado como MaliBot, roba contraseñas, datos bancarios y monederos de criptomonedas de los usuarios, eludiendo las protecciones de autenticación multifactor. Se distribuye enviando mensajes de phishing a los teléfonos de los usuarios o animando a las víctimas a visitar sitios web fraudulentos. En ambos casos, se insta a las víctimas a hacer clic en un enlace que descarga el malware en su teléfono.
 
Además de robar contraseñas, datos bancarios y monederos de criptomonedas de forma remota, MaliBot puede acceder a mensajes de texto, robar cookies del navegador web e incluso realizar capturas de pantalla de los dispositivos Android infectados. También puede eludir la autenticación multifactor (MFA).

Intercambio de SIM

Los ataques de intercambio de SIM se producen cuando un estafador convence a un proveedor de telefonía móvil para que transfiera el número de teléfono de la víctima a una nueva tarjeta SIM. Una vez que el estafador tiene el control del número de teléfono de la víctima, puede acceder a información confidencial como cuentas bancarias, billeteras de criptomonedas y cuentas de correo electrónico.

 

III. Kits CPN e identidades sintéticas: desbloqueando oportunidades para el fraude

La información personal valiosa, como los números de la seguridad social (NSS), es muy susceptible de robo y venta en la red oscura. Combinando un número de la seguridad social robado con datos falsos, como un nombre nuevo, una dirección incorrecta, una fecha de nacimiento inventada o un número de teléfono nuevo, los delincuentes pueden crear una "identidad sintética".

Fraude de identidad sintética

El fraude de identidad sintética es un tipo de robo de identidad en el que los delincuentes combinan información personal real y falsa para crear nuevas identidades ficticias que luego pueden utilizar para obtener líneas de crédito, comprar artículos caros y recibir grandes pagos.
 
Puede ser difícil de detectar, ya que a menudo se cultiva a lo largo de varios años. Para la entidad financiera, el perfil falso del defraudador parece el de una persona normal. Algunos defraudadores incluso crean historiales laborales falsos. Es la forma de delincuencia financiera que más rápido está creciendo.

Ghosting

Esta táctica, denominada "ghosting", es posible debido al tiempo que transcurre entre la notificación de un fallecimiento y la actualización de los registros por parte de las instituciones financieras, las agencias de crédito y las administraciones públicas. Los estafadores pueden aprovecharse de este desfase y utilizar la información que figura en las esquelas para crear una identidad sintética. Los niños también suelen ser objetivo de los delincuentes por su número de la seguridad social.

CPNs

Los números de la Seguridad Social robados también se reempaquetan y venden como Números de Perfil de Crédito (CPN), números de identificación de nueve dígitos que parecen números de la seguridad social. Las empresas de reparación de crédito venden los CPN a consumidores desprevenidos como una forma de "hacer borrón y cuenta nueva". Estas empresas suelen afirmar, de forma totalmente errónea, que los famosos utilizan los CPN para proteger la privacidad de su número de la SS y que son legales. No revelan que son en realidad números de la Seguridad Social robados y que utilizar un CPN para solicitar un crédito es un delito que puede acarrear pena de cárcel.

UN IMPACTO DEVASTADOR EN LAS VÍCTIMAS 

Este tipo de robo de identidad puede tener un impacto devastador en la vida de las víctimas. Recuperar una identidad robada lleva tiempo, es estresante y conlleva dificultades. Mientras tanto, las víctimas pueden recibir cartas y llamadas de acreedores que les reclaman deudas, facturas por compras que no han realizado o impuestos que no deben. Puede que sus cuentas sean bloqueadas y les desvíen el correo a otras direcciones, lo que dificulta aún más la recuperación de su identidad.

 

IV. Falsificación de carnés y tarjetas de crédito: el kit de identidad perfecto

En Internet se pueden comprar documentos de identidad falsos que son muy útiles para las actividades delictivas. Además, la web oscura ha facilitado a los delincuentes acceder a dichos documentos, lo que causa cada vez más problemas.
 
Los precios varían en función de una serie de factores, como la calidad de la falsificación y el lugar geográfico al que quiera trasladarse el comprador. Se pueden conseguir pasaportes falsos por tan sólo unos 9 €, siendo los estadounidenses los más baratos y los australianos los más caros.
 
DarkTower descubrió licencias y tarjetas de crédito falsificadas que a menudo se venden juntas como un "kit de identidad". Esta combinación proporciona al comprador una tarjeta de crédito operativa con un permiso de conducir y un número de la seguridad social. Se pide a los compradores que envíen fotografías suyas que se utilizan para crear los documentos, que se "envejecen" para que parezcan más auténticos.

Conclusión

Toda la sociedad es susceptible de sufrir un fraude, y con los índices de robo de identidad aumentando, cada vez más personas y organizaciones se convertirán en víctimas.
 
Al compartir información sobre cómo se lleva a cabo la actividad fraudulenta, como qué documentos son los más demandados en la web oscura, y cómo se obtienen, utilizan y venden, podemos trabajar juntos para detectar y prevenir el fraude antes de que se produzca e identificar a los individuos responsables de cometerlo.