Llegamos a ustedes gracias a:



Reportajes y análisis

¿Está usted en riesgo?

Lo que los ciber delincuentes hacen con sus datos personales

[21/02/2012] Cuando Zappos notificó a sus clientes que sus nombres, direcciones de correo electrónico, direcciones de facturación y envío, números de teléfono y los últimos cuatro dígitos de su número de tarjeta de crédito pueden haber estado expuestos durante una violación de datos a principios del mes pasado, la línea minorista de calzado destacó que "los datos críticos de la tarjeta de crédito y otros datos de pago no se vieron afectados".
Eso es definitivamente un alivio. Esto significa que los 24 millones de clientes cuya información podría haber sido comprometida en la brecha, no tienen que preocuparse por cargos misteriosos en sus declaraciones de tarjeta de crédito al final del mes.
Entonces, ¿de qué tienen de qué preocuparse? Según los expertos, los riesgos de seguridad más probables para los usuarios, están en el rango de los molestos (más spam en sus bandejas de entrada de correo electrónico) a los potencialmente peligrosos correos electrónicos de "phishing", donde el remitente se hace pasar por una persona de confianza o de la organización con el fin de engañar al receptor para que haga clic en un enlace que descarga malware en su computadora, o para que el remitente revele información confidencial, como una contraseña, número de tarjeta de crédito o de seguro social.
Los hackers que se infiltraron en las bases de datos de Zappos "sin duda tienen acceso a un paquete de información. Otras infracciones, como algunos ataques a los servidores web perpetrados por hacktivistas, exponen solo los nombres y direcciones de correo electrónico. Sean grandes o pequeñas, estas infracciones plantean una serie de preguntas:
* ¿Por qué esta información es valiosa para los delincuentes?
* ¿Cuál es el valor real, monetario, de esta información?
* ¿Cuál es la cantidad mínima de información que los ciber delincuentes necesitan para cometer sus fechorías?
* Cuando una empresa es atacada, ¿Cuánto tiempo pasa antes de que los ciber criminales empiecen a explotar la información que obtienen?
* ¿Cuál es el riesgo para los consumidores cuando los estafadores obtienen esta información?
* ¿Cuáles son las probabilidades de que esos riesgos se produzcan?
¿Por qué es información valiosa para los delincuentes?
La información personal es la moneda de la economía en el mercado negro. Es, literalmente, con lo que comercian los ciber criminales. Los hackers que obtienen estos datos pueden venderlos a una gran variedad de compradores, incluidos los ladrones de identidad, ejes del crimen organizado, spammers y los operadores botnet, que utilizan los datos para hacer aún más dinero.
Los spammers, por ejemplo, podrían obtener una nueva lista de direcciones de correo electrónico a la que pueden enviar ofertas de Viagra y Cialis. Ellos hacen dinero (por ejemplo, un dólar por clic) frente a las tasas de respuesta o impresiones de anuncios en el sitio web/pop-up. Mientras tanto, los ladrones de identidad pueden usar direcciones de correo electrónico para crear un esquema de phishing diseñado para engañar a la gente a renunciar a su cuenta bancaria o tarjeta de crédito.
Rod Rasmussen, presidente y CTO de Internet Identity, una empresa de seguridad de Internet, señala que los ciber criminales comercian esta información entre sí para crear una imagen más completa de un individuo. "La idea es poner más información sobre la gente para que pueda hacer más daño. Usted recibe su nombre, número de tarjeta de crédito, número de identificación personal, dirección de correo electrónico, número de teléfono de diferentes fuentes para obtener su información completa".
¿Cuál es el real valor monetario de esta información?
Un nombre o dirección de correo electrónico tiene un valor en cualquier lugar de entre fracciones de un centavo a un dólar por cada registro, dependiendo de la calidad y la frescura de los datos, señalan los expertos en seguridad de la información.
"No hay tantos datos que fluyan alrededor, usted tiene que tener muchos para poder conseguir dinero en el mercado negro", agrega Rasmussen. "Incluso los números de tarjetas de crédito cuestan menos de un dólar".
Eso no puede sonar como un golpe de suerte, pero cuando se multiplica por millones de registros, rápidamente se van sumando. Tome la violación Zappos como ejemplo: Si los hackers, de hecho, obtuvieron datos sobre 24 millones de clientes, incluso si solo venden cinco millones de direcciones de correo electrónico a cinco centavos de dólar por el pop-up, acaban de hacer 250 mil dólares de un hachazo.
Los operadores de botnets hacen aún más dinero. Digamos que usted es dueño de una botnet que se compone de 100 mil computadoras. Puede alquilarlas a los spammers por mil dólares por hora, señala Stu Sjouwerman, fundador y CEO de KnowB4, un proveedor de formación de conciencia de seguridad en Internet. Si alquila o compra los 24 millones de registros de Zappos "para que pueda enviar malware a las direcciones de correo electrónico, aunque oólo el 20% se infecte con el malware y que éste tome control de su computadora, usted ha agrandado la red de bots en alrededor de cinco millones de computadoras con muy poco trabajo, añade.
"Ahora se puede cobrar cinco mil dólares por hora en lugar de mil dólares la hora por cinco millones de bots que envían spam", agrega Sjouwerman. "Estos chicos hacen dinero a manos llenas". Por supuesto, su actividad ilegal también implica cargos penales, prisión y la restitución financiera.
¿Cuál es la cantidad mínima de información que necesitan los ciber delincuentes para cometer sus fechorías?
Sjouwerman comenta que lo que todos los ciber delincuentes necesitan para empezar a hacer daño es la dirección de correo electrónico de un individuo. Con esto, pueden inundar las bandejas de entrada de las víctimas con el spam.
Para robar la identidad de las personas o cometer fraude de tarjetas de crédito, los ciber delincuentes necesitan una contraseña, la tarjeta de crédito o número de seguro social, señala Rasmussen. Si tienen direcciones de correo electrónico de la gente, a veces pueden obtener los datos más sensibles mediante el envío de correos electrónicos de phishing o de difusión de software malicioso a través de correo electrónico, añade Sjouwerman. Algunos malware instalan software de key loggin que graban los nombres de usuario y las contraseñas cuando se conecta a sus distintas cuentas en línea, añade. Si una de esas cuentas es una cuenta bancaria, los ciber criminales pueden vaciarla rápidamente.
Si los ciber delincuentes obtienen solo los últimos cuatro dígitos de su tarjeta de crédito o de débito, pueden ser capaces de usarlos para restablecer su contraseña en un sitio de comercio electrónico, agrega Rasmussen. Algunas empresas utilizan los últimos cuatro dígitos de las tarjetas de crédito de los clientes como un código PIN, y se les puede pedir si necesita restablecer su contraseña, comenta. Así que los criminales cibernéticos pueden utilizarlos para restablecer su contraseña, para que puedan realizar compras a través de su cuenta. Pero lo más probable, añade Rasmussen, "van a vender esa información a otra persona que va a hacer otro tipo de ataque".
Cuando una organización es hackeada, ¿cuánto tiempo pasa antes de que los ciber criminales empiecen a explotar la información que obtienen?
Depende del criminal y de la información obtenida, señala Rasmussen. Si están involucrados los números de tarjetas de crédito, los estafadores empiezan a utilizar esa información de inmediato, comenta. Los criminales cibernéticos que utilizan correos electrónicos para los sistemas de phishing también pueden actuar con rapidez. Para timar a más gente con la descarga de malware en sus computadoras o dar información sensible, los ciber delincuentes pueden enviar una notificación de incumplimiento falsa pidiendo a las víctimas que restablezcan sus contraseñas en un sitio web que parece real, pero es, de hecho, falso, antes de que la empresa que fue hacheada envíe un aviso de prevención, señala Sjouwerman.
Es por eso que es crítico que las organizaciones que han visto comprometida la información de sus clientes envíe notificaciones tan pronto como sepa lo que pasó y que se vio afectada, agrega Rasmussen. Él señala que la Unión Europea está considerando una ley que obligaría a que las empresas notifiquen a los clientes de violaciones dentro de las 24 horas.
¿Cuál es el riesgo para los consumidores cuando los estafadores obtienen esta información?
Si su dirección de correo electrónico se ha visto comprometida en una violación de la seguridad, puede esperar más spam, correos electrónicos de phishing y malware enviados por correo electrónico. El malware podría permitir que los ciber delincuentes tomen el control de su computadora de modo que se convierta parte de una botnet, afirma Sjouwerman. Se les podría permitir activar la webcam o micrófono en su computadora para que puedan espiarlo. Podría descargar la clave del registro de software en su PC para que los delincuentes puedan registrar sus contraseñas o información financiera, añade.
Si los hackers obtienen más información que solo su nombre y dirección de correo electrónico -si consiguen su número de teléfono, dirección postal, los últimos cuatro dígitos de su tarjeta de crédito- pueden crear esquemas de phishing más convincentes y eficaces que en última instancia pueden conducir al robo de identidad y al fraude con tarjetas de crédito.
¿Cuáles son las probabilidades de que esos riesgos se produzcan?
Rasmussen y Sjouwerman están de acuerdo en que puede contar con recibir más spam si su dirección de correo electrónico ha sido expuesta a una violación. También hay que tener cuidado de los correos electrónicos "Phishy". Cuatro de cada 10 personas caerán en un ataque de phishing, basado en la investigación anecdótica de Sjouwerman. El llevó a cabo un experimento con uno de los clientes de KnowB4, un contratista de defensa, en la que KnowB4 enviaba un correo electrónico falso, presuntamente del CEO de la compañía, a cien empleados cuyas direcciones de correo electrónico KnowB4 se encontraban en la web. En el correo electrónico, KnowB4, haciéndose pasar por CEO, pedía a los empleados que realicen cambios en sus beneficios a través de un sitio web falso de KnowB4. 40% de los empleados cayeron en la trampa.
A menos que el número de su tarjeta de crédito o cuenta bancaria se haya visto comprometida en la brecha, no tiene que preocuparse por el fraude financiero, siempre y cuando, por supuesto, no le de esa información a un phisher.
Si los hackers se hacen de números de tarjetas de crédito, puede esperar encontrar cargos fraudulentos en su próxima factura, y debe alertar a las compañías de tarjetas de crédito y a las agencias de informes de crédito de que su información puede estar comprometida en una brecha. Después de la violación a PlayStation Network de Sony el año pasado, algunos usuarios de PlayStation Network comenzaron a reportar cargos fraudulentos en las tarjetas de crédito y débito que se utilizan para acceder al servicio de PlayStation; pero al mismo tiempo, no sabían si el fraude fue el resultado de la violación a Sony o simplemente una coincidencia, de acuerdo con CNET.
Obviamente, no todas las infracciones darán lugar a robos de identidad y fraudes con tarjetas de crédito, o incluso el extra spam y los correos electrónicos de phishing. Recientemente CIO.com contactó a diez personas cuyos nombres, direcciones de correo electrónico y contraseñas fueron publicadas en Pastebin luego que LulzSec hackeó PBS en mayo pasado para averiguar si se vieron afectadas por la violación. De las cuatro personas que respondieron a la pregunta de CIO.com, tres dijeron que la violación no les afectó en modo alguno. El cuarto no quiso hacer comentarios.
Incluso si los piratas informáticos obtienen solamente los nombres de las personas y sus direcciones de correo electrónico, lo que le da más problemas a la gente, señala Rasmussen, "es la sensación de ser víctima: alguien sin su permiso ha publicado algo sobre usted".
Meredith Levinson, CIO