¿Mi identidad está en la red oscura?

Los datos también se venden poco a poco. Brett me preguntó el nombre de mi esposa y, en unos momentos, encontró su número del Seguro Social, disponible por $2.99. El sitio web donde lo encontró alega que tiene más de 170 millones de números del Seguro Social y fechas de nacimiento a la venta.

Muchos de esos datos salen a la venta poco después de haber sido robados. Lillian Ablon es una científica de la información de Rand Corp. que recientemente testificó ante el Congreso sobre la monetización de información personal robada. Describió cuatro tipos de ladrones cibernéticos: piratas patrocinados por el estado que roban información o atacan sistemas informáticos por razones políticas; "hacktivistas" que a menudo lo hacen solo por diversión, para demostrar su capacidad o para impulsar una agenda personal; ciberterroristas que buscan generar miedo y caos; y ciberdelincuentes como Brett y Blue, que lo hacen por el dinero.

De todos estos, los ciberdelincuentes son los más propensos a llevar tu información robada a la red oscura. Como dijo Ablon al Subcomité de Terrorismo y Finanzas Ilícitas de la Cámara de Representantes a principios de este año: "Inmediatamente después de una gran filtración, se liberan lotes de tarjetas de crédito en los mercados negros de delitos cibernéticos". Cuando miles de números de tarjetas de crédito, inicios de sesión o números de identificación inundan el mercado, la gran oferta hace bajar los precios, permitiendo a los delincuentes comprar nuestra información más barata.

Blue observó este fenómeno de primera mano. "De hecho, sentí lástima por algunos estafadores que habían invertido mucho en información robada, solo para que una enorme filtración de datos inundara el mercado y redujera los precios", me contó. Ablon señaló que los ladrones astutos han aprendido a liberar datos robados en lotes para evitar depreciar demasiado la información.

Brett no pudo mostrarme cómo son los productos digitales en la red oscura, porque eso requeriría infringir la ley. Pero sí me mostró un sitio donde un pirata estaba abandonando el negocio. Al igual que un traficante de drogas que renuncia y da sus últimas provisiones a un par de adolescentes afortunados del vecindario, este individuo había publicado libremente 47 perfiles "fullz" en un sitio web de la red oscura que Brett estaba investigando. 
Las edades de estos blancos de fraude de identidad iban desde una persona de 36 años de Alaska, hasta un ingeniero retirado de 85 años de Arizona. La edad promedio era de 52 años. Cada perfil tenía al menos ocho datos distintos, entre ellos: dirección, correo electrónico, números de teléfono de casa y del trabajo, fecha de nacimiento, número del Seguro Social, apellido de soltera de la madre, números de tarjetas de crédito, números de cuentas bancarias, e incluso la dirección IP de su computadora, todo ello para que cualquier persona los viera y los utilizara como quisiera.

Decidí tratar de contactar a algunas de estas 47 personas para advertirles que su información personal había sido publicada en internet y para averiguar si alguno de ellos había sido víctima de fraude de identidad. Después de dar con varios números desconectados, me comuniqué con Joan Adams, una veterana del Ejército de 51 años que vive en el suroeste del país. Cuando le dije a Joan (uso un nombre ficticio, para protegerla de más estafas) lo que un ladrón había publicado en internet, hubo una larga pausa, y luego un profundo suspiro. "No me sorprende", contestó.

Resulta que Joan había sido víctima de robo de identidad de manera intermitente durante 17 años. "Comenzó en el año 2000, justo después de que dejé el Ejército", comenzó. "Estaba criando a mis hijos, trabajando duro y pagando mis cuentas, y pensé que todo estaba bien. Hasta que empecé a recibir estos avisos de morosidad diciendo que estaba atrasada en cuentas que nunca supe que tenía". Alguien le había robado la identidad y había abierto varias cuentas a su nombre.

Así que Joan, aseguradora de hipotecas y conocedora del papeleo, tomó cartas en el asunto. Congeló su crédito y puso alertas en todas sus cuentas bancarias y de tarjetas de crédito. Esto paralizó la actividad criminal. O eso pensó. Después de varios años sin problemas de crédito, bajó la guardia y eliminó la congelación de crédito en su cuenta. Por supuesto que volvió a suceder. Más cuentas falsas, múltiples visitas a su expediente de crédito y llamadas interminables de agencias de cobranza sobre deudas en las que no había incurrido. Así que, una vez más, congeló su crédito, puso alertas en todas sus cuentas y se inscribió en un servicio de monitoreo de robo de identidad. Y qué bueno que lo hizo. "No estoy bromeando, recibía de ocho a diez alertas al día diciendo que alguien estaba tratando de usar mi número del Seguro Social para abrir nuevas cuentas. Fue muy estresante".

Finalmente, Joan recibió una carta del Departamento de Justicia de Estados Unidos que decía que acababan de arrestar a un famoso ladrón de identidad y que su nombre estaba entre las víctimas. De hecho, el Departamento de Justicia le dijo a Joan que su información había sido comprada y vendida tantas veces que necesitaba cambiar su número del Seguro Social, lo cual hizo.

Resulta que la mayor parte de la información sobre los "fullz" de Joan que fue publicada por el pirata que se retira estaba obsoleta. Pero incluso sabiendo eso, está tomando medidas activas para protegerse. Como la mayoría de nosotros, Joan tendrá que vigilar su identidad digital como un halcón de ahora en adelante.

Los comerciantes de datos ilegales utilizan muchas de las mismas herramientas de mercadeo y servicio al cliente que los sitios legítimos utilizan en la red superficial; es un negocio de ventas, después de todo, incluso si el producto es ilegal. Por ejemplo: Los vendedores de sitios web de la red oscura alientan las calificaciones de los clientes para que los posibles compradores puedan evaluar la reputación del delincuente a la hora de entregar las identidades robadas según están descritas. Brett me mostró la página web de un estafador llamado "Hackyboy" que tenía una calificación de 299 críticas positivas y 18 quejas. Nada mal. Esto significa esencialmente que 299 de sus clientes han reportado que él entregó la información de crédito robada que dijo que entregaría. Este mismo estafador dijo que tenía 1,500 críticas positivas en unos ocho sitios web de la red oscura.

Blue también describió listados de lo que se conoce como "servicios de llamadas", que se ofrecen a los estafadores que están en proceso de hacerse cargo de las cuentas financieras de alguien. Un servicio de llamadas se pondrá en contacto con los bancos de la víctima, las compañías de tarjetas de crédito o las compañías de control de robo de identidad que se hacen pasar por la persona y hacen los arreglos para cambiar su correo electrónico y número de teléfono. Si estas compañías más tarde sospechan una actividad inapropiada, sus llamadas y correos electrónicos a la persona irán al centro de llamadas, el cual cubrirá al delincuente. Los centros de llamadas suelen estar ubicados en un país extranjero. (Resulta que muchos estafadores se sienten incómodos al hacer o recibir tales llamadas debido a los riesgos; es más seguro que profesionales de otros países lo hagan por ellos). Una vez que se cambia la información de contacto de la víctima, el estafador puede abrir nuevas cuentas, maximizar las cuentas viejas e incluso pedir nuevos préstamos a nombre de la víctima sin que lo sepa.

Después de muchas horas con Brett y Blue, me di cuenta de que, aunque la red oscura tiene sus usos legales, también contiene una colección masiva de sitios de subastas para delincuentes, alimentada por filtraciones de datos que bombean millones de nuevos registros de información personal a este mercado clandestino cada año. Es por eso que Alexandre Cazes, el fundador de AlphaBay, había dicho que su objetivo era convertirlo en "el mayor mercado del inframundo al estilo de eBay".

Es muy probable que ya hayas visto u oído los anuncios: Las empresas "buenas" ofrecen "escanear la red oscura" en busca de tu nombre y datos para asegurarse de que no eres vulnerable al robo de identidad. Utilízalas si lo deseas, pero debes saber que la mayoría de los datos personales en la red oscura están ocultos detrás de paredes de pago en sitios web cuidadosamente custodiados y dirigidos por delincuentes inteligentes. Los escaneos generales pueden detectar la situación ocasional en la que se publica información personal, pero no te dirán si tu información está detrás de una pared de pago a la que solo puede acceder un delincuente con ese URL.

Les pregunté a Brett y a Blue cómo usarían este vasto suministro de información robada para hacer dinero. Estuvieron de acuerdo en que el punto de partida era identificar a una buena víctima y que, por lo general, depende de la edad.

"Los adultos mayores son el blanco perfecto porque es más probable que tengan más dinero y mejor crédito", explicó Brett. Blue coincidió: "Los perfiles robados de los adultos mayores son los más fáciles de adquirir y son los que menos probabilidades tienen de verse afectados, porque la mayoría de las personas mayores no revisan sus cuentas".

Una nueva encuesta de AARP confirma este último punto: Solo una de cada tres personas de 65 años o más tiene acceso a todas sus cuentas bancarias en internet para poder supervisarlas, lo que reduce en gran medida su capacidad para comprobar si existe actividad ilegal.

Una vez que se identifica un blanco, el siguiente paso es establecer un perfil completo. Digamos que el estafador comienza con un perfil básico que incluye nombre, dirección, número del Seguro Social y fecha de nacimiento, que compró en la red oscura. De allí, iría a uno de los muchos sitios web de verificación de antecedentes en la red superficial y averiguaría todo lo que pudiera sobre la persona.

Piensa en estos sitios como un Google en esteroides. Pagué una pequeña tarifa, envié mi nombre y recibí un informe de 92 páginas que contenía todas mis direcciones actuales y anteriores, números de teléfono, sitios de redes sociales y direcciones de correo electrónico. El sitio también proporcionó descripciones de los miembros de mi familia y vecinos, y detalles sobre la propiedad pasada y presente que tuve, incluidos los documentos de la hipoteca y las cantidades. Todo es legal; la información se extrae de documentos públicos. Sin embargo, ver mi historia a la venta para cualquier extraño que la quiera fue una experiencia escalofriante.

Brett también estudiaba la información personal que las personas ponen en sitios de redes sociales, como Facebook o LinkedIn. Si no has modificado la configuración de privacidad para restringir quién puede ver esa información, tipos como Brett y Blue pueden recolectar fácilmente tus datos con fines delictivos. Sin embargo, la encuesta de AARP reveló que solo el 39% de las personas de 65 años o más habían alterado la configuración de privacidad de sus cuentas de Facebook.

Tal vez te preguntes por qué los estafadores necesitan tanta información personal sobre nosotros para cometer un fraude. Brett señala que una de las principales defensas empleadas por las oficinas de crédito y otros para proteger nuestros archivos de crédito es algo llamado preguntas de autenticación basada en el conocimiento (KBA). Estas son preguntas que supuestamente solo tú conoces, como el apellido de soltera de tu madre o el nombre de la mascota de tu escuela. Aunque las KBA son un obstáculo para muchos estafadores, los ciberdelincuentes emprendedores que saben cómo extraer con éxito el entorno rico en datos en la red superficial y en la oscura, a menudo pueden encontrar las respuestas.

Armados con todos estos datos e historia personal, el ataque comienza. Las personas como Brett y Blue pueden infiltrarse en los archivos de la oficina de crédito de las víctimas, cambiar sus números de teléfono y correos electrónicos de contacto, hacerse cargo de sus cuentas bancarias o de inversión, crear nuevas cuentas de tarjetas de crédito y hasta solicitar préstamos personales. Dependiendo de lo que la víctima haya hecho para defenderse de esos ataques, es posible que ni siquiera sepa que el ataque tiene lugar hasta meses después, cuando el daño está hecho y el estafador se ha ido hace mucho tiempo.

Créase o no, esta historia puede tener un final feliz. A pesar de la innegable realidad de que hay más filtraciones de datos —y más víctimas de fraude— que nunca antes, el hecho es que en el 2017, solo un 6.6% de la población adulta sufrió un fraude de identidad. Eso significa que el 93.4% de nosotros no fuimos víctimas. Y hay medidas que podemos tomar para reducir en gran medida las posibilidades de ser víctimas.

Primero, adopta esta actitud: estamos en un mundo posprevención. Simplemente asume que toda tu información ya está disponible en internet de alguna forma u otra. Podemos sentarnos a preocuparnos sin hacer nada o podemos tomar medidas para dificultar que los delincuentes exploten nuestros datos para obtener beneficios materiales. Resulta que hay medidas poderosas que puedes tomar para asegurarte de que los datos robados no puedan utilizarse para estafarte.

Los expertos en ciberseguridad y los expiratas están de acuerdo en las tres medidas que debes tomar para mantenerte seguro: congelar tu crédito, supervisar de cerca todas las cuentas y utilizar un administrador de contraseñas. Estoy completamente de acuerdo y he tomado esas medidas. Pero no te fíes de mí. Joan Adams, la antigua víctima de robo de identidad, también es una gran creyente. "He probado de las dos maneras. Cuando no congelé mi crédito ni hice un monitoreo de mis cuentas, los ladrones de identidad me atacaron a mí y a mi familia sin parar. Una vez que tomé estas medidas y contraté el monitoreo de robo de identidad, el abuso se detuvo. Es así de sencillo".

Las fuerzas de seguridad están haciendo más para detener este tipo de actividad delictiva, expresó Lillian Ablon, de Rand Corp., pero enfrentan un desafío abrumador. "Los policías trabajan de 9 a 5; los ciberdelincuentes trabajan 24 horas al día, siete días a la semana para robar información", recordó. "Es un juego del gato y el ratón. Tan pronto como las fuerzas de seguridad descubren un pequeño truco, los ciberdelincuentes cambian de táctica".

Pero también sabemos que los ciberdelincuentes siguen el camino de la menor resistencia. Así que, si ponemos alguna resistencia, los Brett Johnson y los Blue London del mundo probablemente nos evitarán como la plaga.

"A pesar de que la información personal está en todas partes, si creas uno que otro obstáculo para los estafadores, la gente como yo probablemente seguirá de largo", dijo Brett. "Hay muchas otras marcas por ahí que no hacen nada".    

"El consejo más importante es congelar todas las cuentas con las tres principales agencias de informes de crédito", afirma Paul Stephens, de Privacy Rights Clearinghouse. La razón: Es la mejor manera de evitar que los ladrones de identidad abran nuevas cuentas a tu nombre. Sin embargo, un estudio de AARP descubrió que solo el 14% de los adultos lo han hecho alguna vez.

Regístrate para tener acceso en línea a todas tus cuentas financieras —cuentas bancarias, de tarjetas de crédito, de planes 401(k) y demás—. Verifícalas una vez a la semana. Además, considera configurar alertas en tus cuentas principales para que cada vez que haya actividad, se te envíe un mensaje de texto. La mayoría de las empresas lo hacen gratis y te permiten establecer un umbral en dólares. 

Estos servicios digitales almacenan todas tus contraseñas en una bóveda segura en internet para que nunca más las pierdas. El software genera contraseñas complejas y difíciles de piratear para cada una de tus cuentas y, a menudo, te notificará sobre filtraciones de datos en las empresas con las que tengas cuentas. Esto te permite cambiar con rapidez la contraseña de esa cuenta para proteger tu información.