Skip to content
 

¿Mi identidad está en la red oscura?

En las profundidades de internet existe un lugar secreto donde los delincuentes compran y venden tus datos privados.

Un ratón de computador encima de una telaraña en un fondo negro degradado a verde

GREG REID, ESTILISTA DE ACCESORIOS: BRIAN BYRNE/AARP

In English | BRETT JOHNSON ES UN EXCONVICTO imponente y carismático que el Servicio Secreto de EE.UU. alguna vez apodó el padrino original de internet. ¿Su golpe maestro en el mundo del crimen? Es el creador de Shadowcrew, uno de los primeros foros en internet donde las personas malas podían comprar armas, tarjetas de crédito robadas, números del Seguro Social y todas las drogas imaginables. Pero los agentes federales lo cerraron en el 2004 y, por casi una década, Brett entró y salió de prisión varias veces. En un momento dado, fue prófugo de la ley durante cuatro meses, financiado por unos $500,000 que robó de los cajeros automáticos. Eso lo puso en la lista de los delincuentes más buscados del Servicio Secreto.


Recibe contenido similar, suscríbete a nuestro Boletín


Él es el chico bueno de nuestra historia.

Igual que Blue London. Delgado, de unos 20 años, con el pelo hasta la cintura y una actitud que hace juego, Blue se declaró recientemente culpable de delitos relacionados con su papel como pirata de algunos de los mayores sitios ilegales de internet. Fue su primer trabajo y, con una inminente sentencia de prisión, podría ser el último por un tiempo. Para protegerlo de represalias, acordamos no usar su nombre real; nos pidió que usáramos "Blue London".

Brett y Blue han visto la luz. Hoy en día, ambos están dispuestos a compartir en detalle cómo los delincuentes utilizan internet para robar tu dinero. Brett, debido a su nuevo empleo: ahora es consultor y ayuda a las fuerzas del orden a atrapar ciberdelincuentes. Blue, debido a que quiere reducir su sentencia en prisión.

Su oferta es oportuna. Las filtraciones masivas de datos logran grandes titulares, pero muchas más ocurren con poca fanfarria. En el 2017, se produjeron 829 filtraciones de datos en Estados Unidos, lo que puso al descubierto más de 2,000 millones (2 billion) de registros individuales, según Paul Stephens, de Privacy Rights Clearinghouse. El fraude de identidad —definido como el uso de información de identificación personal para robar dinero a las víctimas— está en su punto más alto de todos los tiempos: 16.7 millones de personas de todo el país perdieron casi $17,000 millones ($17 billion) en el 2017, según Javelin Strategy & Research. Brett y Blue saben por qué estas cifras siguen creciendo, ya que contribuyeron a ello. Y la verdad es que fue bastante fácil.

Hace poco, los dos me dieron un tutorial sobre cómo los criminales roban las identidades de las personas y convierten esos datos en dinero. La clase tuvo lugar principalmente en la "red oscura", un lugar secreto de internet donde ladrones y estafadores compran y venden sus mercancías bajo el manto protector del anonimato. Y esto es lo que descubrí.


Para obtener más información sobre cómo protegerte, visita la Red contra el Fraude, de AARP


Un viaje a la red oscura

Piensa en internet como si fuera un océano. En la parte superior se encuentra la "red superficial" y sus ocupantes familiares como Google, CNN, Amazon, Yahoo y miles de otros sitios web públicos. La red superficial es donde la gran mayoría de la gente pasa su tiempo en internet. Todo es público, se pueden hacer búsquedas de todo, y todo es (en su mayoría) amigable.

Ve un poco más profundo, donde la luz del sol comienza a desvanecerse, y ahí está la "red profunda". Es mucho más grande que la red superficial, pero solo pueden accederla las personas que tienen cuentas en las bases de datos y sitios web que se encuentran aquí. La mayor parte de la actividad es perfectamente legal; no es tan fácil de ver para la gente común y corriente como nosotros. Algunos de los sitios más grandes aquí incluyen las bases de datos de la NASA, la NOAA (Administración Nacional Oceánica y Atmosférica), la Oficina de Patentes de Estados Unidos y bases de datos privadas como LexisNexis y Westlaw. Los motores de búsqueda tradicionales no pueden encontrar estas páginas porque no están indexadas como las páginas de la red superficial; para entrar, necesitas saber tu destino y tener una contraseña autorizada.

Desciende aún más profundo, donde no hay luz y muchos menos habitantes, y está la red oscura (también llamada "darknet"), una parte de la red profunda a la que solo pueden acceder aquellos que usan un software llamado TOR o "The Onion Router". Irónicamente, la Marina de EE.UU. desarrolló el software TOR en los noventa como una manera de permitir a los agentes de inteligencia que operan en el extranjero comunicarse anónimamente con sus colegas aquí en Estados Unidos. Fue lanzado al público como un software gratis y abierto en el 2003, y el Gobierno continuó financiando su mantenimiento y crecimiento.

The Onion Router recibió su nombre porque todas las transmisiones a través de él son anónimas: los mensajes se envían a múltiples servidores de todo el mundo para disfrazar al remitente, casi como las capas de una cebolla. Busca información usando TOR, y te tomará varios segundos cargarla, porque tu solicitud viaja decenas de miles de millas entre todos esos servidores antes de regresar a ti. Es perfecto para preservar el anonimato de los disidentes políticos, periodistas, espías y —como es de esperar— delincuentes. TOR es gratuito y está disponible para cualquiera que desee descargar el software adecuado en su computadora.

Los delincuentes han acudido en masa a la red oscura porque permite la compra y venta de productos ilícitos con total anonimato. El navegador TOR oculta las direcciones IP de los usuarios, y las transacciones se realizan normalmente en una criptomoneda como bitcoin para hacerlas no rastreables.

¿Qué tan grande es la red oscura? Nadie lo sabe exactamente. Pero considera AlphaBay, un sitio en la red oscura que el FBI abatió en julio del 2017. En su apogeo, AlphaBay tenía más de 200,000 usuarios y ganaba entre $600,000 y $800,000 al día. El fundador del sitio, Alexandre Cazes, fue arrestado; ocho días después, lo encontraron muerto en su celda por un aparente suicidio.

Aunque la mayor parte del tráfico ilegal en AlphaBay estaba relacionado con las drogas, también se vendía un gran volumen de los llamados "productos digitales". El FBI estimó que, al momento de la redada, en AlphaBay había listados de 4,488 identificaciones personales robadas; 28,800 números de tarjetas de crédito robados y 3,586 herramientas de piratería. El fiscal general Jeff Sessions dijo que fue "la redada más grande de la historia en el mercado de la red oscura".

Un mercado rico

Pero hay muchos otros habitantes de la red oscura deseosos por llenar el espacio que dejó AlphaBay. Brett y Blue me mostraron varios sitios web de la red oscura que vendían una gama de productos digitales robados: números de tarjetas de crédito de lujo, nombres de usuario y contraseñas, informes de crédito individuales y lo que se conoce como "fullz", un paquete completo de todo lo necesario para cometer un robo de identidad: número del Seguro Social, fecha de nacimiento, nombre de soltera de la madre, dirección, números de teléfono, número de licencia de conducir y más.

Blue me contó que en los sitios web de la red oscura para los que trabajaba, los "fullz" eran, por mucho, los artículos digitales más vistos y comprados. Cada "fullz" puede venderse por $20 a $130 dependiendo de la edad de la víctima y su puntuación de crédito, así como de la amplitud de la información proporcionada. Los perfiles "fullz" más solicitados, según nuestros expertos, son los de las personas mayores.

Los datos también se venden poco a poco. Brett me preguntó el nombre de mi esposa y, en unos momentos, encontró su número del Seguro Social, disponible por $2.99. El sitio web donde lo encontró alega que tiene más de 170 millones de números del Seguro Social y fechas de nacimiento a la venta.

¿Te sorprende? No es de extrañarse. Un estudio reciente encontró que los números del Seguro Social representaron el 35% de las filtraciones de datos en el 2017, superando a las tarjetas de crédito (30%) como la principal información personal en peligro.

Muchos de esos datos salen a la venta poco después de haber sido robados. Lillian Ablon es una científica de la información de Rand Corp. que recientemente testificó ante el Congreso sobre la monetización de información personal robada. Describió cuatro tipos de ladrones cibernéticos: piratas patrocinados por el estado que roban información o atacan sistemas informáticos por razones políticas; "hacktivistas" que a menudo lo hacen solo por diversión, para demostrar su capacidad o para impulsar una agenda personal; ciberterroristas que buscan generar miedo y caos; y ciberdelincuentes como Brett y Blue, que lo hacen por el dinero.

De todos estos, los ciberdelincuentes son los más propensos a llevar tu información robada a la red oscura. Como dijo Ablon al Subcomité de Terrorismo y Finanzas Ilícitas de la Cámara de Representantes a principios de este año: "Inmediatamente después de una gran filtración, se liberan lotes de tarjetas de crédito en los mercados negros de delitos cibernéticos". Cuando miles de números de tarjetas de crédito, inicios de sesión o números de identificación inundan el mercado, la gran oferta hace bajar los precios, permitiendo a los delincuentes comprar nuestra información más barata.

Blue observó este fenómeno de primera mano. "De hecho, sentí lástima por algunos estafadores que habían invertido mucho en información robada, solo para que una enorme filtración de datos inundara el mercado y redujera los precios", me contó. Ablon señaló que los ladrones astutos han aprendido a liberar datos robados en lotes para evitar depreciar demasiado la información.

Brett no pudo mostrarme cómo son los productos digitales en la red oscura, porque eso requeriría infringir la ley. Pero sí me mostró un sitio donde un pirata estaba abandonando el negocio. Al igual que un traficante de drogas que renuncia y da sus últimas provisiones a un par de adolescentes afortunados del vecindario, este individuo había publicado libremente 47 perfiles "fullz" en un sitio web de la red oscura que Brett estaba investigando. 
Las edades de estos blancos de fraude de identidad iban desde una persona de 36 años de Alaska, hasta un ingeniero retirado de 85 años de Arizona. La edad promedio era de 52 años. Cada perfil tenía al menos ocho datos distintos, entre ellos: dirección, correo electrónico, números de teléfono de casa y del trabajo, fecha de nacimiento, número del Seguro Social, apellido de soltera de la madre, números de tarjetas de crédito, números de cuentas bancarias, e incluso la dirección IP de su computadora, todo ello para que cualquier persona los viera y los utilizara como quisiera.

Una eterna víctima

Decidí tratar de contactar a algunas de estas 47 personas para advertirles que su información personal había sido publicada en internet y para averiguar si alguno de ellos había sido víctima de fraude de identidad. Después de dar con varios números desconectados, me comuniqué con Joan Adams, una veterana del Ejército de 51 años que vive en el suroeste del país. Cuando le dije a Joan (uso un nombre ficticio, para protegerla de más estafas) lo que un ladrón había publicado en internet, hubo una larga pausa, y luego un profundo suspiro. "No me sorprende", contestó.

Resulta que Joan había sido víctima de robo de identidad de manera intermitente durante 17 años. "Comenzó en el año 2000, justo después de que dejé el Ejército", comenzó. "Estaba criando a mis hijos, trabajando duro y pagando mis cuentas, y pensé que todo estaba bien. Hasta que empecé a recibir estos avisos de morosidad diciendo que estaba atrasada en cuentas que nunca supe que tenía". Alguien le había robado la identidad y había abierto varias cuentas a su nombre.

Así que Joan, aseguradora de hipotecas y conocedora del papeleo, tomó cartas en el asunto. Congeló su crédito y puso alertas en todas sus cuentas bancarias y de tarjetas de crédito. Esto paralizó la actividad criminal. O eso pensó. Después de varios años sin problemas de crédito, bajó la guardia y eliminó la congelación de crédito en su cuenta. Por supuesto que volvió a suceder. Más cuentas falsas, múltiples visitas a su expediente de crédito y llamadas interminables de agencias de cobranza sobre deudas en las que no había incurrido. Así que, una vez más, congeló su crédito, puso alertas en todas sus cuentas y se inscribió en un servicio de monitoreo de robo de identidad. Y qué bueno que lo hizo. "No estoy bromeando, recibía de ocho a diez alertas al día diciendo que alguien estaba tratando de usar mi número del Seguro Social para abrir nuevas cuentas. Fue muy estresante".

Finalmente, Joan recibió una carta del Departamento de Justicia de Estados Unidos que decía que acababan de arrestar a un famoso ladrón de identidad y que su nombre estaba entre las víctimas. De hecho, el Departamento de Justicia le dijo a Joan que su información había sido comprada y vendida tantas veces que necesitaba cambiar su número del Seguro Social, lo cual hizo.

Resulta que la mayor parte de la información sobre los "fullz" de Joan que fue publicada por el pirata que se retira estaba obsoleta. Pero incluso sabiendo eso, está tomando medidas activas para protegerse. Como la mayoría de nosotros, Joan tendrá que vigilar su identidad digital como un halcón de ahora en adelante.

Los comerciantes de datos ilegales utilizan muchas de las mismas herramientas de mercadeo y servicio al cliente que los sitios legítimos utilizan en la red superficial; es un negocio de ventas, después de todo, incluso si el producto es ilegal. Por ejemplo: Los vendedores de sitios web de la red oscura alientan las calificaciones de los clientes para que los posibles compradores puedan evaluar la reputación del delincuente a la hora de entregar las identidades robadas según están descritas. Brett me mostró la página web de un estafador llamado "Hackyboy" que tenía una calificación de 299 críticas positivas y 18 quejas. Nada mal. Esto significa esencialmente que 299 de sus clientes han reportado que él entregó la información de crédito robada que dijo que entregaría. Este mismo estafador dijo que tenía 1,500 críticas positivas en unos ocho sitios web de la red oscura.

Blue también describió listados de lo que se conoce como "servicios de llamadas", que se ofrecen a los estafadores que están en proceso de hacerse cargo de las cuentas financieras de alguien. Un servicio de llamadas se pondrá en contacto con los bancos de la víctima, las compañías de tarjetas de crédito o las compañías de control de robo de identidad que se hacen pasar por la persona y hacen los arreglos para cambiar su correo electrónico y número de teléfono. Si estas compañías más tarde sospechan una actividad inapropiada, sus llamadas y correos electrónicos a la persona irán al centro de llamadas, el cual cubrirá al delincuente. Los centros de llamadas suelen estar ubicados en un país extranjero. (Resulta que muchos estafadores se sienten incómodos al hacer o recibir tales llamadas debido a los riesgos; es más seguro que profesionales de otros países lo hagan por ellos). Una vez que se cambia la información de contacto de la víctima, el estafador puede abrir nuevas cuentas, maximizar las cuentas viejas e incluso pedir nuevos préstamos a nombre de la víctima sin que lo sepa.

Después de muchas horas con Brett y Blue, me di cuenta de que, aunque la red oscura tiene sus usos legales, también contiene una colección masiva de sitios de subastas para delincuentes, alimentada por filtraciones de datos que bombean millones de nuevos registros de información personal a este mercado clandestino cada año. Es por eso que Alexandre Cazes, el fundador de AlphaBay, había dicho que su objetivo era convertirlo en "el mayor mercado del inframundo al estilo de eBay".

Cómo tramar un fraude

Les pregunté a Brett y a Blue cómo usarían este vasto suministro de información robada para hacer dinero. Estuvieron de acuerdo en que el punto de partida era identificar a una buena víctima y que, por lo general, depende de la edad.

"Los adultos mayores son el blanco perfecto porque es más probable que tengan más dinero y mejor crédito", explicó Brett. Blue coincidió: "Los perfiles robados de los adultos mayores son los más fáciles de adquirir y son los que menos probabilidades tienen de verse afectados, porque la mayoría de las personas mayores no revisan sus cuentas".

Una nueva encuesta de AARP confirma este último punto: Solo una de cada tres personas de 65 años o más tiene acceso a todas sus cuentas bancarias en internet para poder supervisarlas, lo que reduce en gran medida su capacidad para comprobar si existe actividad ilegal.

Una vez que se identifica un blanco, el siguiente paso es establecer un perfil completo. Digamos que el estafador comienza con un perfil básico que incluye nombre, dirección, número del Seguro Social y fecha de nacimiento, que compró en la red oscura. De allí, iría a uno de los muchos sitios web de verificación de antecedentes en la red superficial y averiguaría todo lo que pudiera sobre la persona.

Piensa en estos sitios como un Google en esteroides. Pagué una pequeña tarifa, envié mi nombre y recibí un informe de 92 páginas que contenía todas mis direcciones actuales y anteriores, números de teléfono, sitios de redes sociales y direcciones de correo electrónico. El sitio también proporcionó descripciones de los miembros de mi familia y vecinos, y detalles sobre la propiedad pasada y presente que tuve, incluidos los documentos de la hipoteca y las cantidades. Todo es legal; la información se extrae de documentos públicos. Sin embargo, ver mi historia a la venta para cualquier extraño que la quiera fue una experiencia escalofriante.

No te dejes engañar por una estafa de protección en la red oscura

Es muy probable que ya hayas visto u oído los anuncios: Las empresas "buenas" ofrecen "escanear la red oscura" en busca de tu nombre y datos para asegurarse de que no eres vulnerable al robo de identidad. Utilízalas si lo deseas, pero debes saber que la mayoría de los datos personales en la red oscura están ocultos detrás de paredes de pago en sitios web cuidadosamente custodiados y dirigidos por delincuentes inteligentes. Los escaneos generales pueden detectar la situación ocasional en la que se publica información personal, pero no te dirán si tu información está detrás de una pared de pago a la que solo puede acceder un delincuente con ese URL.

Brett también estudiaba la información personal que las personas ponen en sitios de redes sociales, como Facebook o LinkedIn. Si no has modificado la configuración de privacidad para restringir quién puede ver esa información, tipos como Brett y Blue pueden recolectar fácilmente tus datos con fines delictivos. Sin embargo, la encuesta de AARP reveló que solo el 39% de las personas de 65 años o más habían alterado la configuración de privacidad de sus cuentas de Facebook.

Tal vez te preguntes por qué los estafadores necesitan tanta información personal sobre nosotros para cometer un fraude. Brett señala que una de las principales defensas empleadas por las oficinas de crédito y otros para proteger nuestros archivos de crédito es algo llamado preguntas de autenticación basada en el conocimiento (KBA). Estas son preguntas que supuestamente solo tú conoces, como el apellido de soltera de tu madre o el nombre de la mascota de tu escuela. Aunque las KBA son un obstáculo para muchos estafadores, los ciberdelincuentes emprendedores que saben cómo extraer con éxito el entorno rico en datos en la red superficial y en la oscura, a menudo pueden encontrar las respuestas.

Armados con todos estos datos e historia personal, el ataque comienza. Las personas como Brett y Blue pueden infiltrarse en los archivos de la oficina de crédito de las víctimas, cambiar sus números de teléfono y correos electrónicos de contacto, hacerse cargo de sus cuentas bancarias o de inversión, crear nuevas cuentas de tarjetas de crédito y hasta solicitar préstamos personales. Dependiendo de lo que la víctima haya hecho para defenderse de esos ataques, es posible que ni siquiera sepa que el ataque tiene lugar hasta meses después, cuando el daño está hecho y el estafador se ha ido hace mucho tiempo.

Una visión realista

Créase o no, esta historia puede tener un final feliz. A pesar de la innegable realidad de que hay más filtraciones de datos —y más víctimas de fraude— que nunca antes, el hecho es que en el 2017, solo un 6.6% de la población adulta sufrió un fraude de identidad. Eso significa que el 93.4% de nosotros no fuimos víctimas. Y hay medidas que podemos tomar para reducir en gran medida las posibilidades de ser víctimas.

Primero, adopta esta actitud: estamos en un mundo posprevención. Simplemente asume que toda tu información ya está disponible en internet de alguna forma u otra. Podemos sentarnos a preocuparnos sin hacer nada o podemos tomar medidas para dificultar que los delincuentes exploten nuestros datos para obtener beneficios materiales. Resulta que hay medidas poderosas que puedes tomar para asegurarte de que los datos robados no puedan utilizarse para estafarte.

Los expertos en ciberseguridad y los expiratas están de acuerdo en las tres medidas que debes tomar para mantenerte seguro: congelar tu crédito, supervisar de cerca todas las cuentas y utilizar un administrador de contraseñas. Estoy completamente de acuerdo y he tomado esas medidas. Pero no te fíes de mí. Joan Adams, la antigua víctima de robo de identidad, también es una gran creyente. "He probado de las dos maneras. Cuando no congelé mi crédito ni hice un monitoreo de mis cuentas, los ladrones de identidad me atacaron a mí y a mi familia sin parar. Una vez que tomé estas medidas y contraté el monitoreo de robo de identidad, el abuso se detuvo. Es así de sencillo".

Las fuerzas de seguridad están haciendo más para detener este tipo de actividad delictiva, expresó Lillian Ablon, de Rand Corp., pero enfrentan un desafío abrumador. "Los policías trabajan de 9 a 5; los ciberdelincuentes trabajan 24 horas al día, siete días a la semana para robar información", recordó. "Es un juego del gato y el ratón. Tan pronto como las fuerzas de seguridad descubren un pequeño truco, los ciberdelincuentes cambian de táctica".

Pero también sabemos que los ciberdelincuentes siguen el camino de la menor resistencia. Así que, si ponemos alguna resistencia, los Brett Johnson y los Blue London del mundo probablemente nos evitarán como la plaga.

"A pesar de que la información personal está en todas partes, si creas uno que otro obstáculo para los estafadores, la gente como yo probablemente seguirá de largo", dijo Brett. "Hay muchas otras marcas por ahí que no hacen nada".    

Protege tu identidad con estas medidas

Billetera con un candado alrededor

Congela tu crédito

"El consejo más importante es congelar todas las cuentas con las tres principales agencias de informes de crédito", afirma Paul Stephens, de Privacy Rights Clearinghouse. La razón: Es la mejor manera de evitar que los ladrones de identidad abran nuevas cuentas a tu nombre. Sin embargo, un estudio de AARP descubrió que solo el 14% de los adultos lo han hecho alguna vez.

Pareja mayor frente a una computadora y con papel y lápiz

Controla tus cuentas

Regístrate para tener acceso en línea a todas tus cuentas financieras —cuentas bancarias, de tarjetas de crédito, de planes 401(k) y demás—. Verifícalas una vez a la semana. Además, considera configurar alertas en tus cuentas principales para que cada vez que haya actividad, se te envíe un mensaje de texto. La mayoría de las empresas lo hacen gratis y te permiten establecer un umbral en dólares. 

Ojo detrás de una pantalla que muestra una base de datos

Administrador de contraseñas

Estos servicios digitales almacenan todas tus contraseñas en una bóveda segura en internet para que nunca más las pierdas. El software genera contraseñas complejas y difíciles de piratear para cada una de tus cuentas y, a menudo, te notificará sobre filtraciones de datos en las empresas con las que tengas cuentas. Esto te permite cambiar con rapidez la contraseña de esa cuenta para proteger tu información.

¿Qué

0 | Add Yours

Deje su comentario en el campo de abajo.

Debe registrarse para comentar.