¿Para qué quieren tus datos los ciberdelincuentes?
Los datos privados de los usuarios son el gran tesoro del ciberespacio, la moneda de cambio favorita de los ciberdelincuentes. El robo de información personal tiene propósitos muy diversos, desde su venta al mejor postor hasta su uso en ciberataques. ¿Te suenan esas llamadas telefónicas en las que una empresa que no conoces sabe tu nombre y dirección? ¿Te preguntas de dónde habrán sacado la información? Tal vez alguien vendió tus datos sin que seas consciente de ello.
Las fugas masivas de información personal dejan expuesta la identidad digital de los ciudadanos en manos de delincuentes en un ciberespacio que recopila, manipula y no olvida.
En octubre de 2021, una filtración masiva de datos personales puso en jaque las identidades de 45 millones de argentinos en el llamado DNI Gate, cuando un supuesto cibercriminal afirmó haber robado información sensible de las bases de datos del Renaper (Registro Nacional de las Personas). Como prueba, el atacante publicó en internet una muestra de 60.000 registros y fotos de los documentos de identidad de más de 40 personas, entre ellas políticos, funcionarios y personajes públicos de la talla de Lionel Messi.
También fueron víctimas de esta filtración ciudadanos anónimos que alguna vez habrán dicho aquello de “si yo no soy nadie, ¿para qué van a querer mis datos?”. De entrada, para ganar dinero: toda la información sustraída del Renaper se puso a la venta en un foro online por 17.000 dólares. Por su parte, el Renaper afirmó que el incidente se debió a un acceso no autorizado a sus sistemas, que no hubo ciberataque ni vulneración de bases de datos. Sea cual sea la causa, parece evidente que la información pudo estar mejor protegida.
Quien tiene tus datos, tiene un tesoro
El ejemplo anterior demuestra que las brechas de seguridad ponen en peligro datos personales muy valiosos para un ciberdelincuente, como el nombre completo, número del documento de identidad, código de identificación laboral, fecha de nacimiento, dirección postal, fotografía o el número de móvil. Información más que suficiente para cometer, por ejemplo, ataques basados en la suplantación de identidad.
Según cuáles sean los datos sustraídos, los ciberdelincuentes pueden usarlos para fines como estos:
- Suplantación de identidad: consiste en hacerse pasar por otra persona para obtener un beneficio, normalmente económico. Se suele robar la identidad para cometer fraudes que van desde contratar servicios de pago hasta conseguir una hipoteca, préstamo o subsidio, pasando por abrir cuentas en bancos o plataformas financieras o hacer compras en tiendas físicas o digitales. El ciudadano medio es su blanco perfecto, ya que podemos llegar a ser muy descuidados con nuestra información personal. La Agencia Española de Protección de Datos (AEPD) y el Ministerio de Consumo recomiendan seguir una serie de consejos para prevenir y denunciar la suplantación, tipificada como delito en varios países.
- Creación de perfiles falsos en sitios web y redes sociales. Una táctica habitual de los delincuentes es usar las fotos y los datos de una persona sin su permiso expreso, crear un perfil en Twitter o en LinkedIn y usar esta cuenta para espiar, insultar, acosar o perjudicar a personas y empresas, robar datos bancarios y otras ilegalidades. Un caso típico son las aplicaciones de búsqueda de pareja, en las que cualquiera puede suplantar a un pretendiente y manipular a otra persona para que realice alguna acción. Otro caso real es el de numerosas cuentas de Instagram y OnlyFans que han sido suplantadas para estafar a seguidores.
- Realización de ataques de ingeniería social usando los datos robados. Una táctica habitual es la de contactar con el empleado de una empresa haciéndose pasar por alguien de confianza (compañero, superior, proveedor…), e intentar que la víctima proporcione información o acceso a la organización. La ingeniería social manipula la naturaleza humana para lograr su objetivo, que es engañar a las personas, no a las máquinas.
- Realización de ataques personalizados usando nuestros datos, como falsos secuestros virtuales, ‘sextorsión’, falsos avisos de accidentes de un familiar o estafas varias en nuestro nombre.
- Venta de los datos a terceros, que cometerán los ataques. Esta actividad forma parte del denominado cibercrimen como servicio o ‘Cybercrime as a Service’ (CaaS).
Mis datos se han filtrado: ¿qué hago?
“¿Por qué a mí? ¡Si yo no soy nadie!” Como decíamos, esta suele ser la primera e incrédula reflexión de quienes ven su privacidad expuesta o sus datos usados en un fraude. Es cierto que los personajes públicos son víctimas habituales del robo de identidad, pero no solo les pasa a ellos. Para empezar a proteger nuestra información personal hay que cambiar el chip en dos sentidos.
En primer lugar, la pregunta correcta debería ser “¿y por qué no a mí?”. Tus datos son tan valiosos como los de cualquiera para cometer un ciberdelito. Y en segundo lugar, hay que tener en cuenta que no se trata de un tema personal. El ciberdelincuente no va a por ti, va a por todos, y busca datos agregados, grandes volúmenes de información alojada en bases de datos (por ejemplo, en una red social a la que perteneces), roba a lo grande para luego explotar los datos según necesite.
Estas son algunas medidas para proteger mejor nuestros datos:
- Navegación segura:
- Revisar el navegador y la dirección URL de las páginas que visitamos, comprobar que empiecen por HTTPS.
- Verificar las direcciones de enlaces, anuncios y otros elementos que aparezcan en la navegación.
- No revelar información ni hacer pagos en sitios sospechosos.
- No usar redes wifi públicas cuando necesitemos hacer compras, descargar aplicaciones o tratar datos personales.
- Tener los dispositivos actualizados y el antivirus activado (sí, también en el móvil).
- Comportamiento seguro:
- En redes sociales, activar siempre tu desconfianza y cuenta hasta diez antes de compartir algo.
- Configurar adecuadamente los ajustes de privacidad, con la mínima exposición.
- No agregar a desconocidos, confirmar que nuestros contactos son quienes dicen ser.
- En internet, no proporcionar información excesiva sobre quiénes somos y qué hacemos (cuidado con textos, fotos y vídeos).
- Vigilar la huella digital, la información que internet tiene de nosotros. Debemos ser muy conscientes de esa huella y examinarla periódicamente para proteger nuestros datos. Cada cierto tiempo hay que hacer ‘egosurfing’ y buscarnos en internet, a ver qué sale.
- Alerta ante la ingeniería social: Cuidado con las estafas de 'phishing', un ataque de ingeniería social que puede esquivar antivirus y cortafuegos porque engaña a las personas. Por correo electrónico, por SMS o mediante una llamada telefónica, siempre hay que estar alerta y no dar ninguna información.
- Denunciar o reportar siempre:
- Si sospechamos, contactar con la entidad local de ayuda en ciberseguridad. En España, por ejemplo, existe el teléfono 017, la Línea de Ayuda en Ciberseguridad del INCIBE o la Agencia Española de Protección de Datos.
- Si se confirma el delito, denunciarlo ante la autoridad local pertinente (Policía, Guardia Civil, fiscalía…).
- Denunciar el robo de identidad en el banco.
- Recopilar todas las pruebas que se pueda para la investigación.
Todas estas medidas son fundamentales para anticiparse a los ciberdelincuentes y dificultar sus ataques. Conocerlos no va a impedir que sigan desarrollando nuevas formas de ataque, pero sí puede ayudar a estar más protegidos y preparados para los ciberataques.