Cuenta valiosa, cuenta hackeada

¿Alguna vez os habéis preguntado qué valor tiene un ordenador hackeado, las direcciones de email o las cuentas online? Es bastante evidente que comprometer una cuenta bancaria o de PayPal

Cuenta hackeada

¿Alguna vez os habéis preguntado qué valor tiene un ordenador hackeado, las direcciones de email o las cuentas online? Es bastante evidente que comprometer una cuenta bancaria o de PayPal aporta beneficios interesantes a un cibercriminal. Sin embargo ¿podemos decir lo mismo de un perfil de Facebook, de Skype u otros servicios web?

Valor de las cuentas hackeadas

Por lo menos, hay dos formas de medir su valor. La primera es la económica: ¿cuál es el valor de mercado de una cuenta hackeada? Éstas son muy apreciadas especialmente para las campañas de ingeniería social. De hecho, se suelen utilizar en ataques de phishing, que forman parte de ataques mayores contra otras entidades.

Afortunadamente, Brian Krebs, reportero del Washington Post y uno de los periodistas del sector más respetables, publicó en su web Krebs on Security, un gráfico donde se indica el valor que tiene cada equipo hackeado. Siguiendo la idea de Krebs, el Instituto SANS elaboró un esquema parecido en diferentes idiomas:

Valor de cuentas hackeadas

Empecemos por el valor económico de diferentes cuentas según las estimaciones que calculó Krebs tras rastrear  los foros del mercado negro donde se suelen vender estos bienes. El experto afirma que se puede vender una cuenta de iTunes por 6 €; una cuenta Fedex.co, Continental.com, United.com y Groupon por 4/5 €; o una cuenta activa de Facebook o de Twitter por 1,5 €. Estoy seguro de que los precios  de estas cuentas aumentarán si pertenecen a un usuario importante  como diplomáticos, ejecutivos, celebridades o empresarios. Además, Krebs ha observado que Dell, Overstock, Waltmart, Tesco BestBuy, Target y otras cuentas de distribución online pueden valer entre 1 ó 2 €.

Lo más curioso es que las cuentas de PayPal y las cuentas bancarias online no tiene un valor tan alto como se podría pensar.  Por ejemplo, supongamos que tenemos una cuenta bancaria o una tarjeta de crédito asociada a un saldo en PayPal de 2.000 €. ¿Creéis que tiene mucho valor? Pues no. Los criminales que hackean estas cuentas lo hacen al por mayor y el objetivo de sus ataques no es apoderarse de los ahorros de la víctimas -que es un trabajo muy duro y demasiado peligroso- sino comprometer la cuenta para venderla en el mercado negro.

He leído varias sentencias e investigaciones, donde se detalla el precio que ponen los cibercriminales a las piezas robadas en estafas de tarjetas de crédito o en asaltos a cuentas de PayPal. El valor  varía mucho, pero, en general, el precio aumenta si pertenece a un ciudadano estadounidense o europeo; dependiendo, además, del dinero que contenga. El valor se incrementará, a su vez, si la cuenta permite la verificación vía email. A este respecto, Dancho Danchev, un importante investigador de seguridad TI, escribió en febrero un excelente artículo sobre cómo afecta este tipo de factores  al valor de una cuenta de PayPal hackeada.

Otro modo conocido para ganar dinero con una cuenta hackeada son las mulas. En estos casos, la cuenta en sí vale mucho más de lo que contiene. En resumidas cuentas, se publica un anuncio donde se ofrece la posibilidad de ganar ‘dinero fácil’, realizando transacciones económicas de una cuenta bancaria a otra, propiedad del cibercriminal. Los ladrones que organizan estas estafas no publican anuncios que buscan explícitamente mulas, pero la gente que acepta dichas ofertas, se convierten, sin darse cuenta, en parte de este peligroso juego.

Las cuentas de email o bancarias son más difíciles de valorar, porque dependen de su contenido y de la identidad del propietario. El correo electrónico es, muchas veces,  la llave con la que se gestiona otras muchas cuentas. Cuando olvidamos una contraseña, solemos restablecerla a través de nuestra cuenta de email.  Por ejemplo, las claves que yo uso son muy complejas y, a menudo, no tengo otra opción que restablecerlas  porque no las he borrado de mi memoria.

Yo siempre tengo en cuenta la seguridad informática y os aconsejo  seguir mi ejemplo porque si  os hackean una cuenta que gestiona otras cuentas diferentes, podéis estar en un buen lío. Por eso, os recomiendo que cambiéis la contraseña regularmente e instaléis cualquier implementación de seguridad que esté disponible. Tanto los sistemas de verificación doble o través de SMS son totalmente imprescindibles. Yo, por ejemplo, puedo restablecer mi correo a través del móvil y, además, tengo una cuenta de email secreta para recuperar mi email principal en el caso de que alguien hackee mi cuenta o robe mi teléfono. Esto mismo sucede con mi cuenta bancaria, que dispone del sistema de doble verificación y tiene una clave realmente complicada.

Así, podemos afirmar que  una cuenta o un perfil hackeado de redes sociales  es un peligro para todos nuestros contactos. Nuestro círculo confía en nosotros. Si un amigo, o incluso nosotros, recibe desde una cuenta de email conocida un correo de phishing con un enlace peligroso, lo más probable es que lo abra.  Por lo tanto, debéis saber que un nivel de seguridad bajo puede afectar a vuestro entorno. Tenedlo siempre en mente y prestad la máxima atención para no caer en las trampas de los cibercriminales.

Consejos