Nuestros datos sanitarios digitales se han convertido en uno de los productos más codiciados para los piratas informáticos que operan en el mercado negro. Y no porque ciertas compañías estén dispuestas a comprarlos por precios desorbitados, cantidades que superan hasta en 10 veces las cifras por las que se adquieren los datos de tarjetas de crédito; sino también porque cualquier institución está dispuesta a pagar altas sumas de dinero a modo de “rescate” ante posibles apropiaciones ilegales de información que afecte de lleno a sus pacientes.
Esto, unido a que los sistemas de seguridad con los que cuentan los hospitales españoles, las compañías farmacéuticas asentadas en nuestro país y las aseguradoras que operan en nuestro suelo son, según expertos en informática, “débiles” e “insuficientes”, ha provocado que aumenten considerablemente los ciberataques dirigidos hacia aquellas corporaciones que manejan bases de datos con gran volumen de información sobre salud. En concreto, según un estudio llevado a cabo por ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, el 48% de las organizaciones sanitarias ha sufrido algún incidente relacionado con la pérdida o la filtración de información sobre pacientes en el año 2015.
Para evitar un fatídico desenlace, el sector sanitario ha invertido cerca de 5,6 millardos de dólares en 2015. Para que nos entendamos: 5,6 mil millones de dólares para proteger los informes médicos. Pero el hecho de reforzar la seguridad informática no ha mermado las ansias de los piratas informáticos por encontrar brechas o fisuras que dejen expuestos datos de millones de pacientes y de sus familiares, pues de ello dependen sus oportunidades para hacer dinero. Pero ¿de qué cantidades estamos hablando? ¿Qué precio están dispuestos a pagar por nuestros datos sanitarios los cibernautas que navegan en este lado oscuro o submundo de la web donde a diario se mueven cifras millonarias del mercado de datos?
El precio de un informe médico en el mercado negro
En Estados Unidos, los datos de los pacientes que incluyen el número de la seguridad social tienen una gran demanda. Cada expediente médico puede ser vendido por un precio que oscila entre los 10 y los 50 dólares. Si lo comparamos con los precios que alcanzan los números de tarjetas de crédito robadas o con los precios por obtener las credenciales de inicio de sesión de una cuenta online, podemos hacernos una idea del negocio que se genera en el mercado negro con los datos sanitarios.
Pero no es la información personal de los estadounidenses la que más alto cotiza en Internet. Los datos privados de los ciudadanos de la Unión Europea es la más codiciada en el mercado negro. Así, por ejemplo, mientras que el precio que suele pagarse por una tarjeta obtenida de forma aleatoria en una base de datos pirateada en Estados Unidos pocas veces supera los 5 euros, en Europa puede llegar a los 30 euros. Imaginemos, pues, el dinero que podrán llegar a ofrecer a cambio de información sanitaria.
Pero para tener una visión más amplia del asunto, tenemos en cuenta los precios medios de la información de las cuentas asociadas a tarjetas de crédito que se acaban de publicar en el informe “El comercio clandestino de datos”, con el que McAfee Labs pretende dejar clara a las autoridades pertinentes la amenaza a la que nos exponemos. “Cuando leemos sobre las fugas de datos, el mercado de la ciberdelincuencia parece tan alejado de nuestra vida diaria que resulta tentador ignorar el mensaje. Sin embargo, la ciberdelincuencia no es más que una evolución de la delincuencia tradicional. Debemos superar nuestra apatía y prestar atención a las recomendaciones para luchar contra el malware y otras amenazas. Si no lo hacemos, la información sobre nuestras vidas digitales puede terminar a la venta a disposición de todo aquel que tenga de una conexión a Internet”, concluye el informe.
El comercio clandestino de datos
McAfee Labs acaba de publicar el informe donde, además de alertar de que el mercado de la información digital robada puede afectar a todos las categorías y servicios, proporciona una evaluación general del estado de la economía del cibercrimen con ejemplos de los principales tipos y precios de los datos con los que se comercia en el mercado negro. Para ello, McAfee Labs ha trabajado con los proveedores de tecnología de seguridad, autoridades y otros para identificar y evaluar numerosas páginas web, chats y otras plataformas, comunidades y mercados online en los que se venden y compran datos robados.
Hacerse con un perfil de vendedor con una reputación online intachable en páginas de subastas online del tipo eBay es el líder indiscutible de este negocio oscuro, con un precio de algo menos de 1.400 euros. Pero existen otros productos que copan los primeros puestos en el ranking de precios de información digital en el mercado negro: Partidos de fútbol, tarjetas de fidelidad y hasta cómics
Cuentas de servicios de pago online. Los precios de los datos de las cuentas de pago online parecen estar determinados por el saldo que tenga la cuenta en el momento del hackeo. Se estima que el coste de los datos de acceso a cuentas con saldos de entre 400 y 1.000 dólares está entre 20 y 50 dólares, mientras que si la cuenta tiene un saldo de entre 5.000 y 8.000 dólares el precio va de 200 a 300 dólares.
Datos de acceso a cuentas bancarias. Los cibercriminales pueden comprar datos de acceso a cuentas y servicios bancarios permitiéndoles transferir fondos robados de forma opaca de un país a otro. McAfee Labs ha encontrado datos de acceso a cuentas con un saldo medio de 2.200 dólares a la venta por 190 dólares. Los datos de acceso a cuentas bancarias junto con la capacidad para transferir fondos de forma opaca a bancos de Estados Unidos con un saldo medio de 6.000 dólares se venden por 500 dólares, y los de cuentas con un saldo de 20.000 dólares por 1.200 dólares. Las transferencias a Reino Unido van desde los 700 dólares para saldos de 10.000 dólares a los de 900 para cuentas con 16.000 dólares de saldo.
Las tarjetas de débito o crédito tampoco se salvan. En estos casos, McAfee Labs reconoce que la casuística es tan grande como tarjetas hay en el mercado, lo que repercute en los precios finales. La información que está a la venta online se ofrece en paquetes muy diversos que van desde las tarjetas conseguidas de forma aleatoria (en cuanto al banco y al tipo de documento) con el CVV2 (los tres dígitos que aparecen en la parte posterior y que suelen ser pedidos para hacer pagos online como medida de seguridad) hasta aquellas que cuentan con todos los detalles tanto de la propia tarjeta como del propietario de la misma (nombre y apellidos, DNI y fecha de nacimiento). Los precios entre unas y otras pueden llegar a ser del doble, aunque los más caros ni siquiera alcanzan los 50 euros.
Servicios de contenido premium online. El informe también evalúa los precios en el mercado negro para datos de acceso a servicios de contenido premium como vídeo en streaming (de 0,55 a 1 dólar), televisión por cable (7,5 dólares), o acceso a canales deportivos (15 dólares). Así, se pueden encontrar fácilmente en la Red piratas que, por menos de 10 euros, ofrecen accesos premium e ilimitado a servicios tan populares como HBO o Netflix, mientras que quien prefiera contratar un canal de deportes puede quedarse con la cuenta de otro usuario por menos de 15 euros. Estos precios relativamente bajos sugieren que los cibercriminales han iniciado operaciones de robo automatizadas y a gran escala para hacer rentable los modelos de negocio de ciberdelincuencia.
Cuentas de fidelización. Algunos servicios online, como los datos de acceso a programas de fidelización del sector hotelero y a las cuentas de subastas online podrían parecer objetivos de poco valor, pero los investigadores han descubierto que también están a la venta en el mercado negro. Al parecer, estos permiten a los cibercriminales realizar compras online usurpando la identidad de sus víctimas. Los investigadores de McAfee Labs descubrieron, por ejemplo, que una cuenta de fidelización a un importante grupo hotelero con 100.000 puntos, estaba a la venta por 20 dólares, y una cuenta de una comunidad de subastas online de gran reputación tenía un precio de 1.400 dólares.
Seguiremos informando…