Llevamos una temporada en la que han salido una serie de leaks de diferentes empresas o redes sociales, por un lado, tenemos a Facebook de la cual se obtuvieron 500 millones de cuentas, Facebook quienes se desmarcaron indicando que eran datos antiguos, tenemos también a LinkedIn, también otros 500 millones de usuarios (se ve que es el número estándar de los ciberdelincuentes)
Y otras plataformas como Apolo, una plataforma de marketing francesa de la cual se robaron 11 millones de usuarios.
Es decir, en muy poco tiempo puedes obtener más de 1000 millones de cuentas de usuario; ahora bien, ¿y qué hace un ciberdelincuente con todo esto?
La respuesta es sencilla venderlo, ¿por qué no?, pensad que posiblemente ellos se queden con una parte sustancial de la información, quizá cuentas de usuarios VIP o de alguna empresa que puede ser un siguiente objetivo, pero el resto de los datos no les sirve de mucho, demasiado esfuerzo, no van a ir verificando y comprobando las cuentas una a una, por lo que sale más rentable vender esos datos, ojo que los siguen teniendo por si acaso, no es que se los den y los borren.
¿Y para qué van a comprar toda esa información o quien la va a comprar?
Dependiendo del tipo de información, puedes hacer un estudio de mercado enorme, gustos, edades, perfiles, sexo, … aunque muchos de esos datos ya los tienen las grandes empresas de marketing y telecomunicaciones (¿no lo sabías?, lee con detenimiento las cláusulas que aceptas, te sorprendería) pero, aun así, la información es poder, cuanta más información tenga este tipo de empresas mejor, al menos es su pensamiento, por lo que entra dentro de lo razonable que ellos sean un cliente potencial (no estoy diciendo que los compren, que no queremos líos legales, solo que son clientes potenciales).
Otros posibles clientes son otros ciberdelincuentes, de todo tipo, desde el novato al profesional, pueden estar tratando de acceder a una empresa determinada y esta información puede ser muy útil, si el leak contiene contraseñas, genial, sino, puedes crear un ataque de ingeniería social muy sofisticado para tener mayor tasa de éxito.
Y no nos olvidemos de organismos gubernamentales, por un motivo similar a las grandes corporaciones, la información es poder, tener controlada y monitorizada a la gente es bueno, lo mismo, son clientes potenciales…
Donde comprar/obtener esos datos es más o menos obvio…
Y ahora, vamos a la pregunta inicial, pero, ¿Cuánto valen mis datos?
Pues como diría un gallego, depende, es lógico, ¿Qué información tiene el leak? Si tiene usuario y contraseña o datos bancarios, puede venderse bastante caro, 500/600 €, si solo tiene un nombre y usuario, pues no tanto, menos de 10 €, al menos ese es el precio «medio», ¿realmente cuestan tanto? Si se han obtenido 500 millones de cuentas de Facebook a un precio de 10 € estamos hablando de 5.000 millones, es un negocio muy atractivo, ojo la multa por obtener esos datos de forma ilegal también es muy atractiva, por lo que cuidado si alguna vez os encontráis con un leak u os descargáis los datos, quizá no penséis en hacer el mal, pero las leyes están ahí por un motivo.
Así que tus datos, valen dinero, y bastante, tenlo en cuenta cuando aceptes políticas de seguridad y revisa lo que aceptas al instalar una aplicación en el móvil, vivimos en un mundo en el que no leemos nada.
Y por último, ¿Cómo puedo saber si mis datos han aparecido en esos leaks?
Tenemos muchos servicios que nos verifican si nuestros datos han sido comprometidos, por ejemplo haveibeenpwned cuyo uso es muy sencillo simplemente introducir vuestro mail o número de teléfono en la caja de texto y darle a buscar, si sale verde, todo ok, si sale rojo, significa que en alguna brecha de seguridad han aparecido vuestros datos.
Como recomendación, tened la costumbre de cambiar vuestras contraseñas de vez en cuando, no pongáis contraseñas sencillas (rockyou, los hackers lo entenderán) y utilizar algún gestor de contraseñas también puede ser útil.
Always Learning.
