Logo Vodafone

Compartir en:

Tu información financiera vale menos de 2 euros

Una vez que tu ordenador ha sido *hackeado*, que se ha convertido en un *bot* para envío indiscriminado de spam y se convierte en un zombie para hacer ataques DDoS, tu información financiera es captada, clasificada y vendida en webs **por menos de 2 euros**.

Es parte de la conclusión de una [investigación hecha por **Brian Krebs**](http://krebsonsecurity.com/2012/12/exploring-the-market-for-stolen-passwords) en que muestra una compleja pero efectiva red de compra/venta de datos para efectuar fraudes a escala masiva. Funciona de la siguiente manera: una persona o un grupo de programadores escribe un *malware* que es comprado por alguien que tiene webs populares o que ha hackeado un grupo de webs para distribuirlo a todas las personas que visiten dichas webs. Se extraen todos los usuarios y contraseñas de los ordenadores donde se ha instalado el *malware* en cuestión y se envían a una base de datos.

Esa base de datos se accede por un tercero que obtiene toda esta información y la vuelve a vender a personas o «compañías» que operan fuera de la ley los cuales crean webs para vender esta información a precios bajos, entre 2 y 5 dólares (entre 1,5 y 3,8 euros).

Un ejemplo de estas webs que venden accesos de comercio electrónico es «Freshtools» que vende usuarios/contraseñas de un gran grupo de tienes online, incluyendo: amazon.com, apple.com, autotrader.co.uk, bestbuy.com, bloomgingdales.com, bol.com, cdw.com, drugstore.com, ebay.co.uk, ebay.com, facebook.com, gamestop.com, gumtree.com, kohls.com, logmein.com, lowes.com, macys.com, mylikes.com, newegg.com, next.co.uk.com, okpay.com, paypal.com, payza.com, runescape.com, sephora.com, skype.com, target.com, toysrus.com, ukash.com, verizon.com, walmart.com, xoom.com y zappos.com. **No significa que estas webs han sido hackeadas**, significa que personas que tienen cuenta en estos sitios **sí** han sido *hackeados*.

El valor de un usuario/contraseña varía en base a la verificación de la información, a qué web se tiene acceso y si la cuenta está relacionada a una dirección de email. Por ejemplo, usuarios de sitios como FedEx o UPS pueden llegar a costar 5 dólares (3,8 euros) porque su acceso permite cometer aún más fraudes, por otro lado la venta de bases de datos completas o datos «en crudo» para ser estructurados y vendidos como bases de datos a terceros también es parte de la operación. Un archivo de 6 gigabytes de información se vendía, según Krebs **por 126 dálares o 95 euros**.

Al final, es lo de siempre, tener muchísimo cuidado. Saber en qué webs pones tus datos de pago, saber que no hay sistema perfectamente seguro y que siempre es buena idea cambiar regularmente contraseñas de tus cuentas y que es posible poner verificación de dos pasos en algunos proveedores de email (como Gmail).

Compartir en: