La economía sumergida de las contraseñas robadas

Justo hace poco, una filtración en Roku comprometió supuestamente más de 15 000 cuentas de usuario en un ataque de robo de credenciales. En un incidente posterior, Roku reveló que los hackers habían accedido a unas 576 000 cuentas adicionales.

Pero, ¿cómo se roban exactamente estos datos en primer lugar? ¿Y qué ocurre con ellos una vez que caen en manos de los ciberdelincuentes? Veámoslo con más detalle.

Cómo se roban las contraseñas y los datos personales

Hay varias formas populares que usan los ciberdelincuentes para robar contraseñas e información personal:

Stealers

Los stealers son un tipo de malware diseñado específicamente para recopilar contraseñas, números de tarjetas de crédito, claves de criptocarteras y otros datos valiosos de los ordenadores infectados. A menudo se propagan a través de correos electrónicos de phishing que engañan a los usuarios para que descarguen archivos adjuntos maliciosos, o a través de sitios web comprometidos que instalan secretamente el malware cuando se visitan. Una vez que el stealer infecta un sistema, analiza minuciosamente los navegadores, archivos y aplicaciones de la víctima, en busca de cualquier información sensible que pueda encontrar. A continuación, estos datos se transmiten silenciosamente de vuelta a los servidores del atacante, donde se recopilan y organizan para su venta en foros y redes de ciberdelincuentes.

Malware

Además de los stealers, también se pueden utilizar otros tipos de malware como troyanos, programas espía y keyloggers para robar contraseñas y datos personales. Estos programas maliciosos normalmente se hacen pasar por software legítimo, engañando así a los usuarios para que los instalen a través de falsas actualizaciones o convincentes estafas de ingeniería social. Una vez en un sistema, este malware se ejecuta silenciosamente en segundo plano, registrando cada pulsación de tecla que la víctima teclea, realizando capturas de pantalla periódicas e incluso desviando archivos y datos a medida que se accede a ellos. Con el tiempo, el atacante puede acumular un perfil completo de las actividades online de la víctima y de su información sensible, todo esto sin su conocimiento.

Bases de datos

Otra forma habitual de robo de datos es a través de bases de datos no seguras y repositorios de código expuestos públicamente en Internet. Muchas empresas configuran mal su almacenamiento en la nube o dejan instalados controles de acceso por defecto sin darse cuenta, lo que permite a cualquiera que se tropiece con la base de datos ver y descargar su contenido.

Los atacantes rastrean periódicamente Internet en busca de estos activos expuestos, acaparando cualquier dato sensible que puedan encontrar. En algunos casos, estas bases de datos no seguras contienen enormes cantidades de contraseñas de usuario, datos personales e incluso información financiera, lista para ser robada.

Si echas un vistazo arriba, verás un sitio web que te permite explorar y asegurar repositorios expuestos públicamente. Esta plataforma proporciona una interfaz completa para identificar y gestionar cubos de almacenamiento de acceso público, utilizados a menudo en servicios en la nube como AWS S3, Google Cloud Storage y Azure Blob Storage.

La economía sumergida de los datos robados

Entonces, ¿qué ocurre cuando se roban las contraseñas y la información personal mediante una filtración de datos? No tardan en llegar a la dark web y a los foros de ciberdelincuencia, donde existe una economía sumergida para comerciar con datos robados.

Si navegaras por estas redes ilícitas, encontrarías secciones enteras dedicadas a las filtraciones de datos, donde los ciberdelincuentes compran, venden y comparten contraseñas y registros personales robados cada hora.

Las bases de datos recién hackeadas suelen subastarse al mejor postor o venderse por un precio fijo por registro, según el valor percibido de los datos. Una base de datos con información financiera detallada o perfiles de identidad completos, por ejemplo, alcanzaría un precio mucho mayor que una simple lista de direcciones de correo electrónico y contraseñas.

Algunos ciberdelincuentes ingeniosos incluso regalan bases de datos robadas, usándolas como una especie de «gancho» para forjarse una reputación y notoriedad en los foros. Estas secciones de «regalos» están llenas de mensajes de hackers que quieren demostrar sus habilidades y ganar influencia entre sus colegas. Para ellos, el prestigio y la credibilidad callejera valen más que todo el dinero que podrían haber ganado vendiendo los datos.

Pero más allá de las filtraciones individuales para la venta, también existen recopilaciones masivas que agregan datos filtrados de varias filtraciones en bases de datos cómodas y con capacidad de búsqueda. Los ciberdelincuentes podrían comprar créditos para realizar consultas específicas, buscando información sobre personas concretas en todos los datos filtrados que el servicio ha recopilado. Esto podría permitir a los delincuentes crear perfiles sorprendentemente detallados sobre posibles objetivos, correlacionando datos de docenas de filtraciones diferentes para formar un expediente exhaustivo. Algunos ejemplos de estos servicios de recopilación de bases de datos incluyen*:

1. DeHashed

Un conocido servicio de recopilación de bases de datos que presume de tener más de 14 000 millones de registros obtenidos de miles de filtraciones. DeHashed ofrece una interfaz de búsqueda fácil de usar que podría permitir a los delincuentes buscar rápidamente a personas concretas y ver todos los datos robados asociados a ellas, incluyendo contraseñas, direcciones, números de teléfono y mucho más.

2. Leaked.Domains

Leaked.Domains, un recién llegado al ámbito de la recopilación de bases de datos, adopta un enfoque ligeramente diferente al organizar sus datos en torno a filtraciones específicas de sitios web. Los delincuentes podrían buscar un dominio concreto y ver todos los datos asociados que se han filtrado desde ese sitio, lo que facilitaría atacar a los usuarios de servicios específicos.

Cómo los datos robados comprometen a las empresas

Ahora que comprendemos el ciclo de vida de los datos robados, quizá te preguntes: ¿cómo se puede aprovechar un montón de contraseñas hackeadas e información personal para comprometer a una empresa? Veamos un ejemplo hipotético.

Supongamos que somos un hacker que quiere atacar a una gran empresa de telecomunicaciones de la lista Fortune 500. Lo primero que podríamos hacer es buscar cuentas relacionadas en varios servicios de recopilación de bases de datos. Tras gastar unos pocos créditos, descubrimos cientos de miles de resultados: direcciones de correo electrónico, contraseñas y otros datos personales asociados a sus empleados y usuarios.

Podríamos tomar todos estos datos y cargarlos en una hoja de cálculo para analizarlos y ver si podrían utilizarse en un ataque. En muchos casos, la empresa afectada por la filtración puede que ni siquiera se dé cuenta de que esta información confidencial está en manos de terceros, lo que nos da una ventaja significativa.

Una táctica obvia sería simplemente probar las contraseñas expuestas y ver si alguna de ellas nos permite iniciar sesión en cuentas reales de empleados. Los seres humanos son criaturas de hábitos y, a pesar de saber que no es recomendable, muchas personas reutilizan las mismas contraseñas en múltiples servicios. Solo hace falta que un empleado haga esto para que podamos introducirnos en la empresa.

Pero incluso si ninguna de las contraseñas funciona, seguimos teniendo a nuestro alcance una gran cantidad de información que podría resultar útil. Quizás veamos la dirección IP o el número de teléfono de un empleado en los datos filtrados. Podríamos buscar esa misma información en todas las demás bases de datos robados y buscar cualquier otra cuenta asociada a esos datos personales.

Por ejemplo, si encontramos la dirección particular de un empleado vinculada a una cuenta en un foro aleatorio y ese foro también ha sufrido una filtración, ahora podríamos tener acceso a otro conjunto de contraseñas para intentar acceder a la cuenta del empleado. O podríamos utilizar los datos que hemos recopilado para crear un correo electrónico de phishing o una estafa de ingeniería social muy convincente y engañar al empleado para que nos dé acceso directamente.

Poco a poco, podemos crear perfiles y expedientes sobre nuestros objetivos dentro de la empresa, lo que nos permitirá ganar terreno dentro de la misma y ampliar nuestro acceso. A partir de aquí, podríamos lanzar más ataques para comprometer servidores, robar código fuente o instalar malware en toda la red de la empresa. Y todo comenzó con una colección de contraseñas y datos personales robados.

Prevenir la reutilización de contraseñas y proteger las cuentas

Una vez que tu contraseña se filtra en la dark web, queda comprometida para siempre. Y con los servicios de compilación de bases de datos, los hackers pueden obtener fácilmente grandes cantidades de información de identificación personal para atacar a sus víctimas. La clave para protegerte a ti mismo y a tu empresa es utilizar contraseñas seguras y únicas para cada una de tus cuentas.

Pero crear y recordar contraseñas complejas para docenas de cuentas puede ser una tarea abrumadora. Ahí es donde entra en juego un gestor de contraseñas. Un gestor de contraseñas genera, almacena y rellena automáticamente contraseñas seguras, lo que te permite utilizar credenciales únicas y difíciles de descifrar para cada inicio de sesión.

Uno de los mejores gestores de contraseñas del mercado es NordPass, creado por el equipo de confianza detrás de NordVPN. NordPass ofrece una serie de funciones que lo convierten en la opción ideal para proteger tus cuentas, como la generación de contraseñas seguras, el cifrado seguro y una función de autocompletar fácil de usar.

Al utilizar un gestor de contraseñas como este, puedes asegurarte de que todas tus cuentas estén protegidas con una contraseña segura y única. Incluso si una de tus contraseñas se filtra en un caso de filtración de datos, el resto de tus cuentas permanecerán seguras.

NordPass también supervisa las bases de datos filtradas y te avisa si detecta alguno de tus datos. Esta función de supervisión de filtraciones es una parte integral del Escáner de Filtración de Datos, diseñado para supervisar de forma proactiva las direcciones de correo electrónico y los datos de tarjetas de crédito almacenados en tu cuenta de NordPass. La aplicación envía notificaciones precisas cuando alguno de tus elementos guardados aparece en una filtración de datos.

Un último consejo para identificar posibles fugas de datos es utilizar alias de correo electrónico únicos al registrarte en servicios online. Al añadir la etiqueta «+servicio» a tu dirección de correo electrónico (por ejemplo, [email protected]), puedes crear un identificador diferente para cada cuenta. Si ese alias específico comienza a recibir spam o aparece en una base de datos de filtraciones, sabrás exactamente qué servicio se ha visto comprometido.

Ten en cuenta que no todos los sitios web permiten estas direcciones de correo electrónico con alias, y un atacante experto podría identificar el correo electrónico principal eliminando la parte «+servicio». Pero sigue siendo un truco útil para rastrear cuáles de tus cuentas pueden haber filtrado datos.

Como propietario de un negocio, puedes exigir el uso de un gestor de contraseñas. Para obtener una prueba gratuita de 3 meses de NordPass Business, haz clic aquí para empezar hoy mismo. Utiliza el código «danielk»; no es necesario tener tarjeta de crédito.

Consigue una prueba gratis de 3 meses de NordPass Business

No necesitas una tarjeta de crédito. Usa el código DANIELK

Prueba gratis ahora

*Los ejemplos se proporcionan únicamente con fines informativos y educativos. NordPass no respalda, promueve ni apoya su uso y no tiene ninguna afiliación con ellos. Se recomienda encarecidamente a los lectores que cumplan todas las leyes y normativas aplicables. Todas las marcas comerciales mencionadas son propiedad de sus respectivos propietarios.