Por Candid Wueest, Investigador de Amenazas Symantec
En los últimos años, la amenaza de la ciberdelincuencia ha cobrado mucha importancia durante la temporada de vacaciones, teniendo como objetivo tarjetas de crédito e información online en ordenadores de escritorio, portátiles y teléfonos inteligentes.
Si es tan valioso para nosotros nuestros datos personales como empresariales, podría decirse que es aún más valioso en manos de los ciberdelincuentes. Los métodos utilizados por los ciberdelincuentes están en constante en evolución y cada vez son más eficientes, y los hackers tienen ahora la posibilidad de optimizar el alcance de sus ataques, así como maximizar la cantidad de datos que se pueden obtener a través de estos ataques.
¿Cuánto valen tus datos?
La ciberdelincuencia es un negocio lucrativo. Los ciberdelincuentes pueden recoger datos robados y cuentas comprometidas por menos de un dólar. Prestaciones más amplias, tales como la infraestructura de ataque, se pueden comprar por entre cien a unos pocos miles de dólares.
En 2007, las cuentas de correo electrónico robadas estaban valoradas entre 4 y 30$. Hoy en día, se puede conseguir 1.000 cuentas de correo electrónico robadas por entre 50¢ y 10$.
El precios de los datos de tarjetas de crédito también se han reducido, pero sólo ligeramente. El coste depende de factores como la marca de la tarjeta, el país de donde viene, la cantidad de metadatos de la tarjeta, y cuán recientes sean los datos de la tarjeta fue robada. En 2008, el precio medio de venta de datos de la tarjeta de crédito fue de entre 6¢ y 30$ por pieza. Hoy en día, los precios de la información de tarjeta de crédito robada están entre 50¢ a 20$.
Otros bienes y servicios en venta en mercados clandestinos:
Los atacantes pueden alquilar fácilmente toda la infraestructura necesaria para que un botnet o estafa online. Este Crimeware-como-servicio hace que la ciberdelincuencia sea fácilmente accesible para ciertos criminales que no tienen la capacidad técnica para ejecutar una campaña de ataque por su cuenta.
Un set de herramientas (web toolkit) descargable desde la web, que incluye actualizaciones y soporte 24/7, se puede alquilar por 100 a 700$ por semana. El software malicioso SpyEye banca en línea (como Trojan.Spyeye) se ofrece en un contrato de arrendamiento de seis meses por entre 150 y 1250 dólares, y los ataques de denegación de servicio (DDoS) se pueden pedir por esntre de 10 y 1000$ al día.
Hacer caja con tickets y cupones fraudulentos
Los cibercriminales siempre están desarrollando nuevas estrategias. Los vales y tarjetas de regalo online ahora están en alza, debido a que se pueden negociar o vender facilmente online. Los atacantes usan tarjetas de crédito robadas, o las generan desde pequeñas cuentas secuestradas. Luego venden los bonos y tarjetas de regalo online por entre un 50 y un 65 por ciento de su valor nominal.
Los atacantes también han dado una vuelta de tuerca al viejo método de uso de la información de tarjeta de crédito robada con proveedores de artículos que envien a apartados de correos anónimos. Ahora la mayoría de las tiendas ya no envian a apartados de correos, por lo que los atacantes ahora ordenan artículos online con la tarjeta de crédito robada, y luego entran descaradamente a la tienda a recoger la mercancía.
Cómo proteger tus datos
Las empresas tienen que asegurarse de que la información del cliente está protegida durante su ciclo de vida completo, y que sólo aquellos que necesitan acceso hacen, acceden a ella, por las razones correctas. Esto incluye la supervisión con las soluciones DLP y la protección en el almacenamiento de datos. Sin embargo, un error común es que la información se almacena sin protección o sin cifrar en un servidor de base de datos interna, erróneamente creyendo que es seguro, ya que está dentro de la empresa. Un atacante que compromete solo el portátil de uno de los trabajadores tiene acceso a todas las joyas de la corona.
Algunas directrices báasicas de seguridad:
El adagio, "si parece demasiado bueno para ser verdad, entonces probablemente lo sea", es especialmente cierto cuando se trata de delitos cibernéticos.
Traducción del original en forbes.com
En los últimos años, la amenaza de la ciberdelincuencia ha cobrado mucha importancia durante la temporada de vacaciones, teniendo como objetivo tarjetas de crédito e información online en ordenadores de escritorio, portátiles y teléfonos inteligentes.
Si es tan valioso para nosotros nuestros datos personales como empresariales, podría decirse que es aún más valioso en manos de los ciberdelincuentes. Los métodos utilizados por los ciberdelincuentes están en constante en evolución y cada vez son más eficientes, y los hackers tienen ahora la posibilidad de optimizar el alcance de sus ataques, así como maximizar la cantidad de datos que se pueden obtener a través de estos ataques.
¿Cuánto valen tus datos?
La ciberdelincuencia es un negocio lucrativo. Los ciberdelincuentes pueden recoger datos robados y cuentas comprometidas por menos de un dólar. Prestaciones más amplias, tales como la infraestructura de ataque, se pueden comprar por entre cien a unos pocos miles de dólares.
En 2007, las cuentas de correo electrónico robadas estaban valoradas entre 4 y 30$. Hoy en día, se puede conseguir 1.000 cuentas de correo electrónico robadas por entre 50¢ y 10$.
El precios de los datos de tarjetas de crédito también se han reducido, pero sólo ligeramente. El coste depende de factores como la marca de la tarjeta, el país de donde viene, la cantidad de metadatos de la tarjeta, y cuán recientes sean los datos de la tarjeta fue robada. En 2008, el precio medio de venta de datos de la tarjeta de crédito fue de entre 6¢ y 30$ por pieza. Hoy en día, los precios de la información de tarjeta de crédito robada están entre 50¢ a 20$.
Otros bienes y servicios en venta en mercados clandestinos:
- Copias de pasaportes reales utilizados para el robo de identidad - 1 a 2$
- Listas de 1000 seguidores en las redes sociales - 2 a 12$
- Cuentas de videojuegos robadas, conteniendo valiosos objetos virtuales - 10 a 15$
- Mandar spam a un millon de cuentas de correo electronico verificadas - 70 a 150$
- Malware a medida para robar Bitcoins desviando los pagos a los atacantes - 12 a 3500$
Los atacantes pueden alquilar fácilmente toda la infraestructura necesaria para que un botnet o estafa online. Este Crimeware-como-servicio hace que la ciberdelincuencia sea fácilmente accesible para ciertos criminales que no tienen la capacidad técnica para ejecutar una campaña de ataque por su cuenta.
Un set de herramientas (web toolkit) descargable desde la web, que incluye actualizaciones y soporte 24/7, se puede alquilar por 100 a 700$ por semana. El software malicioso SpyEye banca en línea (como Trojan.Spyeye) se ofrece en un contrato de arrendamiento de seis meses por entre 150 y 1250 dólares, y los ataques de denegación de servicio (DDoS) se pueden pedir por esntre de 10 y 1000$ al día.
Hacer caja con tickets y cupones fraudulentos
Los cibercriminales siempre están desarrollando nuevas estrategias. Los vales y tarjetas de regalo online ahora están en alza, debido a que se pueden negociar o vender facilmente online. Los atacantes usan tarjetas de crédito robadas, o las generan desde pequeñas cuentas secuestradas. Luego venden los bonos y tarjetas de regalo online por entre un 50 y un 65 por ciento de su valor nominal.
Los atacantes también han dado una vuelta de tuerca al viejo método de uso de la información de tarjeta de crédito robada con proveedores de artículos que envien a apartados de correos anónimos. Ahora la mayoría de las tiendas ya no envian a apartados de correos, por lo que los atacantes ahora ordenan artículos online con la tarjeta de crédito robada, y luego entran descaradamente a la tienda a recoger la mercancía.
Cómo proteger tus datos
Las empresas tienen que asegurarse de que la información del cliente está protegida durante su ciclo de vida completo, y que sólo aquellos que necesitan acceso hacen, acceden a ella, por las razones correctas. Esto incluye la supervisión con las soluciones DLP y la protección en el almacenamiento de datos. Sin embargo, un error común es que la información se almacena sin protección o sin cifrar en un servidor de base de datos interna, erróneamente creyendo que es seguro, ya que está dentro de la empresa. Un atacante que compromete solo el portátil de uno de los trabajadores tiene acceso a todas las joyas de la corona.
Algunas directrices báasicas de seguridad:
- Utilice siempre contraseñas seguras, y nunca reutilizarlas en otros sitios web
- Actualice el software en todos los dispositivos con regularidad para evitar que los atacantes exploten vulnerabilidades conocidas
- Al introducir información personal o financiera, asegurese que la página web se cifra con una capa de sockets seguros (SSL)
- Utilice software de seguridad integral para proteger los datos contra los ciberdelincuentes
- Tenga cuidado al hacer clic en enlaces tentadores enviados a través de correos electrónicos o publicados en las redes sociales
El adagio, "si parece demasiado bueno para ser verdad, entonces probablemente lo sea", es especialmente cierto cuando se trata de delitos cibernéticos.
Traducción del original en forbes.com
