“Yo me he visto ya en seis bases de datos”: dónde acaba la información que ‘hackean’ a empresas españolas

La Policía ha detenido a un joven de 19 años de Igualada (Barcelona) por acceder a empresas y robar datos personales de miles o millones de españoles. Los robos de información privada son una práctica habitual y creciente. A menudo se cree que ocurre desde lugares remotos. Pero no siempre. Este ciberdelincuente español, según fuentes de la investigación, ha robado los datos a empresas y organismos públicos españolas y a una francesa: “Yo me he visto ya en seis bases de datos, pero mí no me llama la atención porque ya sé lo que hay”, explica uno de los agentes encargados de la investigación a EL PAÍS. Este periódico ha hablado también con dos investigadores académicos para entender mejor un mundo oscuro pero menos lejano de lo que parece. Estas son las claves:

1. Quién compra esos datos

Estos datos se roban para venderlos al mejor postor, sea quien sea. Los datos de ciudadanos españoles se venden bien porque son de un país occidental, pero hay algo más sorprendente: “Al final el comprador suele ser español también”, dicen fuentes de la investigación.

El uso más claro de estos datos es para estafas, a través de sms por ejemplo. Pero tienen otros usos: “Se pueden vender para hacer campañas de marketing”, dice una fuente policial. “También hemos detectado que últimamente se están haciendo ya a un precio más caro perfilados de personas”, añaden, en referencia a que puede incluir varios datos personales como lugar de residencia, renta o hábitos de un individuo, entre otros. Hay programas que reúnen datos de la misma persona que provienen de distintas fuentes: “Así saben si tengo por ejemplo un seguro con una empresa, que tengo un coche, que vivo en una dirección concreta o que trabajo en un sitio específico”, dicen fuentes de la investigación, que también han detectado que grupos criminales muy especializados los compran para buscar información de una sola persona que les interesa como objetivo por algún motivo.

“Es típico usar estas filtraciones para obtener toda la información posible sobre una víctima”, dice Sergio Pastrana, profesor de Informática de la Universidad Carlos III (Madrid), “con el fin de hacer algún tipo de ataque de ingeniería social avanzado, estos ataques dirigidos consisten en obtener toda la información posible sobre una persona para poder adaptar el mensaje, y los datos robados tienen gran valor aquí”, añade.

Estas bases de datos ilegales pueden tener como clientes empresas de la competencia, aunque es por ahora “un mito”, según fuentes de la Policía, que añaden que conseguir esos datos sirve para conocer a la clientela de otros y poder hacer contra ofertas.

Hay más posibles compradores locales de este tipo de bases de datos robadas: “Empresas de inteligencia de ciberamenazas que las compran para ver si sus clientes han sido afectados por un robo, incluidos bancos que descubren si la tarjeta de crédito de uno de sus clientes ha sido robada”, dice Guillermo Suárez-Tangil, investigador del instituto Imdea Networks (Madrid), “hasta empresas que sacan un beneficio económico directo, como por ejemplo conseguir que hagamos la portabilidad de nuestro número de teléfono a otra compañía”, añade.

Suárez-Tangil sí tiene evidencia de que hay empresas que podrían usar datos de la competencia: “Puedo confirmar que lo he visto. Hace poco me llamaron personalmente, en teoría, de mi operador de telefonía móvil. Sabían cuál era mi número de teléfono, mi compañía y mi nombre, claramente por un perfilado con datos robados. Luego llegó la segunda llamada de otra presunta compañía”, explica. No está claro que la segunda compañía sea una real o simplemente unos estafadores tratando de conseguir datos bancarios de la víctima.

2. Quiénes son los ‘hackers’

El joven de Igualada de 19 años “se aburría” mientras estudiaba una FP de informática y se entretenía robando. La Policía se ha encontrado con varios jóvenes de un perfil similar: “Tenemos al menos ya cuatro o cinco detenidos en España y alguno más que nos quedará por hacer seguro”, dicen fuentes de la investigación. “Todos son chavales jóvenes que empezaron muy jóvenes, con 14, 15, 16 años, con lo típico, a meterse por internet a investigar. Tienen sus propios foros, se comparten scripts [pequeños programas], vulnerabilidades. Incluso a veces se juntan para realizar un ataque”, añaden.

Otros compiten entre sí y se ponen sus medallas: “Hay alguno que cuando lo hemos detenido ha colgado en Instagram la hoja de información de derechos”, dice fuentes de la investigación. “Es como decir: ‘ya soy malote, ya tengo el pedigrí de una detención”.

3. Por qué lo hacen

El motivo evidente para robar es el dinero: “Es muy rentable. Hemos visto billeteras frías [dispositivos para guardar criptoactivos fuera de internet] de un par de millones de euros. El mayor caso que detectamos fue de cinco millones de euros”, dicen fuentes de la investigación. Esas cifras no son de una sola venta, sino de la suma de mucho trabajo: “He visto cómo se venden bases de datos robadas por mucho dinero”, dice Suárez-Tangil. “Pero no se anuncia el precio de venta en los foros abiertamente. Suele ser algo que se ofrece y negocia a puerta cerrada”, añade.

Se trata de infracciones con penas “muy bajas”, señalan las citadas fuentes policiales, que explican que se trata de delitos contra la propiedad, daños informáticos y contra la intimidad, con castigos de 2 a 4 años.

Además, una vez encontradas las vulnerabilidades y el objetivo, el trabajo no es de ocho horas diarias: “Lo hacen es viernes por la tarde, viernes noche, sábado noche, cuando saben que las empresas están vacías y nadie se va a dar cuenta”.

4. Qué puede hacer cada usuario

“Hay que concienciar de que no se den datos a cualquier empresa, así de fácil”, dice uno de los encargados de la operación. “Y vigilar con las contraseñas: hemos visto que hay gente que usa la contraseña del trabajo en Netflix y en el gimnasio”. Las empresas también deben invertir algo más en ciberseguridad. Pero a veces el problema viene de una sucursal o una filial. A veces un eslabón débil (un ordenador viejo con una versión pasada de Windows) es suficiente para adentrarse en profundidad.