Entre 3 y 100 euros, lo que gana un hacker por robar los datos de una tarjeta de crédito


Pantalla de sitio web hackeado.Los ciberdelincuentes no son mileuristas, ganan entre 3 y 100 euros por robar los datos de una tarjeta de crédito y las botnets infectadas llegan a venderse por miles de euros, puesto que su precio se cotiza en el mercado negro de los hackers entre los 30 y los 140 dólares. Los kits de malware son los más lucrativos y pueden llegar a ganar hasta 1.500 dólares por su venta. Desde luego, el cibercrimen es un negocio y sus actores se mueven por el lucro económico.


Los ataques dirigidos se focalizan en función de las posibilidades de obtener un mayor beneficio y, tal y como explica Marco Preu, analista senior de virus de Kaspersky Lab, «el malware para smartphones está creciendo de forma considerable. Cuando hablamos de malware nos referimos a un tipo de software que tiene como objetivo infiltrarse o dañar una computadora. El término incluye virus, crimeware, gusanos, troyanos, etc.) La plataforma Android es la más atacada con un 60% de troyanos, de los cuales, un 25% utilizan los mensajes de texto para obtener datos». Por su parte, el mito de la inviolabilidad de los Mac ha quedado desacreditado y en la actualidad encontramos Spyware, antivirus falsos, troyanos y botnets dirigidas a los equipos de la famosa manzana.

Cómo se gana la vida un cibercriminal
Aunque, evidentemente, no existen datos oficiales de los ingresos de estos delincuentes informáticos, las investigaciones de Kaspersky Lab han arrojado interesantes datos sobre cómo transforman los datos robados en dinero contante y sonante. «Los canales de distribución de malware (crimeware, virus, gusanos, troyanos, etc.) son cada vez más eficaces. Se basan en kits ya construidos, por lo que facilita que personas sin conocimientos sobre programación puedan utilizarlos para crear su propio malware», señala Preu.

Los principales ingresos destacados por Kaspersky Lab proceden de la venta de datos de tarjetas de crédito (entre 3 y 100 dólares, dependiendo de la calidad de los datos). Asimismo, una red botnet compuesta por 1.000 ordenadores infectados se vende por 5 dólares, mientras que se pueden llegar a ganar 140 dólares por un pack de 5.000. Por último, aunque no menos lucrativo, los kits de malware (crimeware, virus, gusanos, troyanos, etc.) y exploits pueden llegar a costar hasta 1.500 dólares, siempre dependiendo de su calidad.

Tus contraseñas del banco o de tu tarjeta valen de 1,5 a 520 euros en el mercado negro

A través de contactos personales con los ciberdelincuentes se puede adquirir en el mercado negro datos personales bancarios (tarjetas y credenciales para banca online) desde 2$ (1,49 euros) y hasta 700$ (521,99 euros), con garantía de un saldo mínimo de 80.000$ (59.656 euros) en cuenta. Los hackers han diversificado negocio vendiendo además otros productos: máquinas duplicadoras de tarjetas y cajeros automáticos falsos; tarjetas bancarias ya duplicadas y garantizadas; realización de transferencias bancarias para el blanqueo de dinero; falsas tiendas online, etc.

PandaLabs, el laboratorio antimalware de Panda Security -the Cloud Security Company-, ha descubierto una vasta red de venta de datos bancarios robados así como otro tipo de productos, operada por cibercriminales, que cuenta con hasta 50 tiendas online a las que sólo se puede acceder mediante el contacto previo personal con los hackers encargados de su promoción en foros y chats.

El llamado mercado negro del cibercrimen, que tradicionalmente se centraba en la distribución de números de tarjetas bancarias robadas a usuarios de todo el mundo y credenciales de acceso a banca online, han diversificado su negocio en 2010 ofreciendo todo un abanico de productos y servicios.

Ahora, los datos bancarios van acompañados de una larga ristra de datos personales del titular de la tarjeta o cuenta, con los que, lógicamente, se puede operar de forma más veraz. Todo ello, eso sí, desde un módico precio de 2$ por tarjeta de crédito sin información adicional y sin garantía de saldo. Si el comprador quiere garantía de dinero existente en línea de crédito o en la cuenta online del banco, tendrá que pagar un poco más: desde 80$ para saldos bajos y hasta 700$ por credenciales de acceso a una cuenta con un saldo garantizado de 82.000$.

Estos precios varían si lo que queremos comprar son datos de acceso a cuentas creadas y con historial de tiendas online o a sitios de pasarelas de pago, como PayPal. En este caso, para una cuenta simple sin saldo verificado, tendremos que pagar 10$, cantidad que subirá hasta los 1.500$ dependiendo de la plataforma y la garantía de dinero disponible.

Igualmente, estos ciberdelincuentes ofrecen la venta máquinas duplicadoras de tarjetas físicas (de 200 a 1.000$) y de falsos cajeros automáticos (hasta 3.500$ por unidad y según modelo), o tarjetas bancarias ya duplicadas físicamente listas para ser utilizadas (a partir de 180$).

Además, también ofrecen servicios de blanqueo de dinero (realización de transferencias bancarias o cobro de cheques) a cambio de comisiones que pueden ir desde el 10 hasta el 40% del total de la operación. Y más: si el usuario quiere datos bancarios para comprar cualquier producto online, pero teme ser pillado por la dirección de entrega, estos ciberdelincuentes hacen la compra por él y lo envían a cualquier sitio cobrando entre 30 y 300$ (según el producto elegido).

Y si lo que el usuario quiere es tener su propia tienda online falsa para obtener de esta manera y de forma directa tanto datos de los usuarios que piquen como el dinero de compras de productos, que nunca recibirán (como es el caso de los falsos antivirus), el equipo de «diseño» de los vendedores ofrecen proyectos llave en mano que incluyen el diseño y desarrollo de la tienda completa, su publicación y posicionamiento en buscadores para garantizar tráfico. En este caso, el precio «depende del proyecto».

El alquiler de redes para el envío de spam (a través de ordenadores comprometidos por un bot, por ejemplo) en función del número de ordenadores elegido y la frecuencia de envío, o el tiempo de alquiler, está disponible desde 15%. El precio sube a 20$ si además se quiere alquilar un servidor SMTP o una VPN que garantice el anonimato del emisor.

Productos ofertados y rango de precios
Precios de las contraseñas en el mercado negro.

Como la vida misma
Como si de cualquier otro tipo de negocio se tratara, el mercado negro cuenta con todos los ingredientes que un comprador necesita para confiar en el vendedor. Por ejemplo, existe mucha competencia en el mercado negro, y la ley de la oferta y la demanda les obliga a ajustar los precios y a ofrecer descuentos por volumen.

Muchos de ellos ofrecen datos de acceso a cuentas bancarias o de tarjetas de crédito robadas a modo de prueba, y garantizan su material: si el cliente no queda satisfecho, le devuelven el dinero; o si cualquiera de los datos vendidos no funciona, el vendedor le cambia el artículo por otro que goce de buena salud.

Eso sí, siendo el mercado negro tiene sus peculiaridades: llegar a estos vendedores no es sencillo, suelen utilizar foros escondidos underground que les garantiza el no tener curiosos ajenos al negocio. Así, su oficina es Internet, y en sus reclamos publicitarios hasta publican las horas de atención al público. Los hay más lanzados que tienen cuentas activas en Facebook y Twitter, utilizándolo de escaparate de sus productos.

Además, y lógicamente, el contacto se realiza siempre vía aplicaciones de mensajería instantánea, para garantizar el anonimato, o mediante direcciones de correo electrónico gratuitas genéricas.

Una vez contactados, la transacción puede hacerse directamente o bien el vendedor proporcionará una dirección web con login y password de acceso a una tienda online donde el comprador puede componer a su gusto su «cesta de la compra». Eso sí, el pago siempre se hace por adelantado y utilizando siempre compañías de envío de dinero, como Western Union, Lyberty Reserve, WebMoney o similares.

El mercado negro de Internet ofrece por 300 euros las claves de una tarjeta de crédito

Los datos robados de una tarjeta de crédito tienen un precio de mercado de unos 300 euros en Internet. Un ataque DDoS (del inglés Distributed Denial of Service, un ataque que satura e inutiliza los servidores de las víctimas) de una hora de duración puede costar unos 150 euros. Y se pagan hasta 800 euros por un millón de correos spam. Por eso hay que tener cuidado ante los peligros que puede suponer para un usuario la pérdida de documentos personales, tarjetas de crédito y cualquier información susceptible de ser reutilizada en la red.

DNIs, tarjetas de crédito, ataques informáticos, envíos spam o bases de datos repletas de datos personales o correos electrónicos se venden en los suburbios digitales de la Red. Algunas tiendas ilegales han «profesionalizado» tanto sus servicios que ofrecen descuentos por volumen, se anuncian con banners publicitarios o devuelven el dinero si, por ejemplo, los datos de la tarjeta de crédito que han proporcionado no funcionan.

Estas y otras cifras salen a la luz gracias a las últimas investigaciones de los laboratorios de seguridad de G Data Software centradas en la industria del cibercrimen. El equipo de G Data Software se camufló en los sórdidos círculos de acción de hackers, ladrones de datos y demás delincuentes digitales durante los meses de junio y julio de este año y descubrieron que el «escenario» se ha profesionalizado al máximo dando lugar a una economía perfectamente organizada. Al frente de la organización existen proveedores que ofrecen «hosting a prueba de balas» que permiten la existencia de foros y tiendas online ilegales en las que los ciberdelincuentes ofrecen sus servicios y se ponen en contacto con los posibles compradores.

Los foros ilegales son el centro neurálgico de este ámbito. Allí, quienes se inician en estos bajos fondos digitales se encuentran con sus mentores que, tras cobrar una considerable cantidad de dinero, les enseñan todos los secretos de este oscuro negocio. Aquí también contactan los vendedores y compradores de este mercado negro. Y en las salas privadas de estos foros, de acceso exclusivo para cibercriminales bien conocidos y de prestigio, se intercambian todo tipo de productos y servicios. Los principales acuerdos suelen hacerse fuera de los foros, a menudo a través de ICQ o canales IRC manipulados (dos sistemas de mensajería instantánea).

Precios en el mercado negro

Producto/servicioPrecio mínimoPrecio máximo
Ataque DDoS (por hora)€10.00€40.00
1 millón de correos basura dirigidos a las direcciones especificadas (por ejemplo, las cuentas de gamers)€300.00€800.00
Datos de tarjetas de crédito€2.00€300.00
Cuenta DHL pack station (precios basados en el volumen de datos disponible)€50.00€250.00
DNIs y carnets de conducir falsos (depende de la calidad de la falsificación)€50.00€2,500.00
Bases de datos con información personal (precios basados en el tamaño y el nivel de detalle)€10.00€250.00
Cuentas PayPal€1.00€25.00

Además, cualquiera que prefiera hacer negocios en un entorno todavía más profesional puede recurrir a una de las muchas tiendas online ilegales que existen. Aquí, los compradores pueden beneficiarse de importantes descuentos al adquirir grandes cantidades de datos robados, e incluso se les devuelve el dinero si no quedan satisfechos con el servicio. De tal forma, si los datos de tarjetas de crédito recién adquiridos no fuesen válidos ya -al haber cancelado el usuario legítimo dicha tarjeta-, se pueden reclamar otros datos o la devolución del dinero.

Junto a los datos robados, existen otros servicios también muy populares. Los principiantes suelen solicitar ataques DDoS. Para mantenerse al frente de esta competición, algunos actores de este mercado ofrecen este servicio por la pequeña cantidad de 10 euros por hora de ataque o 50 euros por día. Pero un buen precio no es la única herramienta de marketing a la que recurren los cibercriminales: incluso contratan banners publicitarios para anunciar sus servicios.

Banners encontrados en la Red que ofrecen ataques DDoS
Otro servicio diferente pero también muy demandado lo constituye la denominada «dropzone». Existen tanto en el mundo virtual (un servidor en el que, por ejemplo, pueden depositarse copias ilegales de obras protegidas por la propiedad intelectual o incluso pornografía infantil) como en el mundo real (una dirección para la entrega de productos que han sido comprados con datos de tarjetas de crédito robadas). Si en un caso los hostings a prueba de balas se ocupan de todo, en el otro mucha gente ofrece su dirección para recibir los bienes comprados fraudulentamente -por supuesto, a cambio de una buena tarifa-.

Si quieres leer más noticias como Entre 3 y 100 euros, lo que gana un hacker por robar los datos de una tarjeta de crédito, te recomendamos que entres en la categoría de Ocio - Tecnología.


AUTOR
Javi Navarro es periodista y el creador de CasaCocheCurro.com, un diario con información interesante que publica noticias prácticas para que les saques provecho en tu día a día. Puedes consultar cualquier duda contactando con Javi Navarro en su correo javi@casacochecurro.com. También puedes saber un poco más de su trayectoria profesional como periodista si echas un vistazo a su perfil en LinkedIn.
Logo Red Social

WhatsApp Casacochecurro

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí

ACEPTAR
Aviso de cookies