¿Cómo es posible que el 44% de los diputados al Parlamento Europeo y el 68% de los parlamentarios británicos dejaran que sus datos personales acabaran circulando por la dark web? La respuesta es más sencilla y posiblemente más alarmante de lo que se piensa: muchos se habrán registrado en cuentas online utilizando su dirección de correo electrónico oficial y habrán introducido información personal identificable (IPI) adicional. Después, se vieron indefensos cuando ciberdelincuentes atacaron a esos proveedores externos y compartieron o vendieron los datos en la dark web.

Por desgracia, esto no es algo que ocurra sólo a políticos u otras personas de relevancia pública, y no es la única forma en que los datos de una persona pueden acabar en los bajos fondos de Internet. Le puede pasar a cualquiera, incluso aunque lo haga todo correctamente. Y a menudo ocurre. Por eso merece la pena vigilar de cerca tu huella digital y los datos que más te importan.

La dark web está prosperando

Lo primero es lo primero: Contrariamente a lo que se suele pensar, la dark web no es ilegal ni está poblada únicamente por ciberdelincuentes. Simplemente se refiere a partes de Internet que no están indexadas por los motores de búsqueda tradicionales: un lugar que se puede navegar de forma anónima utilizando el navegador Tor.

Sin embargo, también es cierto que la economía actual de la ciberdelincuencia se ha construido sobre una próspera dark web, con muchos de los foros y mercados especializados visitados en masa por los ciberdelincuentes mientras permanecen ocultos a las fuerzas de seguridad. Aunque también, algunas de las actividades nefastas se han ido extendiendo cada vez más a conocidas plataformas de medios sociales en los últimos años.

Como facilitadores de una economía delictiva valorada en billones, los sitios web oscuros permiten a los actores de amenazas comprar y vender impunemente datos robados, herramientas de hacking, guías DIY, servicios y más. A pesar de las medidas periódicas de las fuerzas de seguridad, siguen adaptándose para llenar los vacíos que dejan las autoridades cuando desmantelan sus operaciones.

Una investigación de Proton y Constella Intelligence, por ejemplo, mostró que dos quintas partes (40%) de las direcciones de correo electrónico de parlamentarios británicos, europeos y franceses estaban expuestas en la dark web, casi 1.000 de los 2.280 correos electrónicos posibles. Peor aún, 700 de estos correos tenían contraseñas asociadas almacenadas en texto sin formato y expuestas en sitios de la dark web. Cuando se combinan con otra información expuesta, como fechas de nacimiento, domicilios particulares y cuentas de redes sociales, constituyen un tesoro de datos de identidad que pueden utilizarse en posteriores ataques de phishing y suplantación de identidad.

Picture 1
Figura 1. Un cache de credenciales de inicio de sesión robadas y puestas a la venta, descubierto recientemente por nuestro colega Jake Moore

¿Cómo acaban mis datos en la red oscura?

Hay varias formas de que tus datos pueden aparecer en un foro o sitio de la dark web, algunas pueden ser el resultado de una negligencia, mientras que muchas otras no lo son. Algunas de esas formas son:

  • Filtraciones de datos en organizaciones de terceros: Tus datos son robados de una organización con la que has hecho negocios, y que ha recopilado tus datos, en el pasado. En Estados Unidos, 2023 fue un año récord para este tipo de violaciones de datos: más de 3.200 incidentes en organizaciones llevaron a comprometer datos pertenecientes a más de 353 millones de clientes.
  • Ataques de phishing: Un correo electrónico, mensaje directo, mensaje de texto o WhatsApp de apariencia legítima contiene un enlace que puede instalar malware para robar información o engañarle para que introduzca sus datos personales o de inicio de sesión (por ejemplo, una página de inicio de sesión falsa para Microsoft 365).
  • Relleno de credenciales: Tu cuenta se ve comprometida mediante un ataque de fuerza bruta (relleno de credenciales, ataque de diccionario, etc.) en el que los piratas informáticos adivinan tu contraseña o utilizan inicios de sesión previamente violados en otros sitios. Una vez dentro de tu cuenta, roban más información personal almacenada para venderla o utilizarla.
  • Malware de infostealer: Tus datos personales son robados a través de malware de robo de información que puede estar oculto en aplicaciones y archivos de descarga de apariencia legítima (como películas/juegos pirateados), archivos adjuntos de phishing, anuncios maliciosos, sitios web, etc.
Figure 2. PayPal and credit card accounts up for grabs, as spotted by ESET researchers
Figura 2. Cuentas de PayPal y tarjetas de crédito a la vista, según los investigadores de ESET

Sea cual sea la forma en que los ciberdelincuentes obtienen tus datos, una vez compartidos en la dark web, pueden ser entregados o vendidos al mejor postor. Dependiendo del tipo de datos, quienquiera que se haga con ellos probablemente los utilizará para:

  • Secuestrar tus cuentas bancarias para robar más información, incluidos datos bancarios o de tarjetas.
  • Diseñar mensajes de phishing más convincentes que compartan parte de la información personal robada para persuadirte a entregar aun más datos sensibles.
  • Robar tus cuentas de correo electrónico o de redes sociales para enviar spam a tus amigos y contactos de la libreta de direcciones con enlaces maliciosos.
  • Cometer fraude de identidad; por ejemplo, sacar créditos a tu nombre, generar declaraciones juradas falsas para recibir un reembolso o recibir servicios médicos de forma ilegal.
Figure 3. Cybercriminals explaining things step by step
Figura 3. Ciberdelincuentes explicando las cosas paso a paso

¿Cómo puedo comprobarlo?

Si estás suscrito a un servicio de protección de identidad o de vigilancia de la dark web, te debería señalar cualquier IPI u otros datos que encuentre allí. Las empresas tecnológicas, como Google y Mozilla, también te avisarán cuando una contraseña guardada haya sido descubierta en una filtración de datos, o cuando sea necesario actualizarla a una versión más segura y difícil de adivinar.

Y lo que es más importante, la vigilancia de la web oscura suele formar parte de una serie de servicios prestados por proveedores de seguridad, cuyos productos obviamente ofrecen muchas otras ventajas y son un componente esencial de tu pila de seguridad personal.

Otra posibilidad es visitar proactivamente un sitio como HaveIBeenPwned, que ha recopilado grandes listas de direcciones de correo electrónico y contraseñas violadas que pueden consultarse de forma segura.

¿Qué hago si me roban los datos?

Si ocurre lo peor y descubres que tus datos han sido expuestos y están siendo comercializados en la web oscura, considera tomar medidas de emergencia como:

  • Cambia todas tus contraseñas, especialmente las afectadas, por credenciales fuertes y únicas
  • Utiliza un gestor de contraseñas para almacenar y recuperar tus contraseñas y frases de contraseña guardadas
  • Activa la autenticación de doble factor (2FA) en todas las cuentas que la ofrezcan
  • Notifica a las autoridades pertinentes (fuerzas de seguridad, plataforma de redes sociales, etc.)
  • Asegúrate de que todos tus dispositivos tengan instalado software de seguridad de un proveedor acreditado.
  • Congela tus cuentas bancarias y pide nuevas tarjetas, chequea los movimientos bancarios en busca de compras inusuales.
  • Estate atento a otras actividades inusuales en las cuentas online: como imposibilidad de iniciar sesión, cambios en la configuración de seguridad, mensajes/actualizaciones de cuentas que no reconoces o inicios de sesión desde lugares y a horas extrañas.

Seguridad a largo plazo

Para evitar ser víctima de un ataque en el futuro, considera:

  • Ser más precavido a la hora de compartir información en línea.
  • Revisar la configuración de seguridad/privacidad de tus cuentas en las redes sociales.
  • Activar el "modo oculto", es decir, cuando proceda, utilizar opciones como direcciones de correo electrónico desechables para no tener que dar siempre sus datos personales.
  • No responder nunca a correos electrónicos, mensajes o llamadas no solicitados, especialmente los que intentan meterte prisa para que actúes sin pensarlo antes con claridad.
  • Utilizar contraseñas fuertes y únicas en todas las cuentas que lo ofrezcan y habilitar una forma fuerte de 2FA para mayor protección.
  • Invertir en un servicio de vigilancia de la web oscura que te avise de los datos personales recién descubiertos en los bajos fondos de Internet y te permita actuar antes de que los ciberdelincuentes puedan sacar provecho de ellos.