Si hay algo valioso, lo hackearán

¿Alguna vez te preguntaste qué vale más la pena hackear, si una computadora, un correo electrónico u otras cuentas online? Si bien parece bastante obvio que las cuentas de banco

¿Alguna vez te preguntaste qué vale más la pena hackear, si una computadora, un correo electrónico u otras cuentas online? Si bien parece bastante obvio que las cuentas de banco online o PayPal son las más requeridas, las de Facebook, Skype u otros servicios online también pueden tener cierta información valiosa para los criminales.

value_titleHay al menos dos formas de contabilizar este valor. La primera es financiera y se relaciona con el valor de mercado de una cuenta hackeada. La segunda, es el valor que estas cuentas tienen para los ingenieros sociales, quienes pueden utilizarlas para ataques de phishing que ponen en peligro cosas que a los criminales les interesa.

Por suerte, Brian Krebs, el ex periodista del Washington Post y uno de los más respetados de la industria, publicó un gráfico ilustrando el valor de las máquinas hackeadas años atrás en su propio sitio web, Krebs on Security. Inclusive realizó una evaluación sobre posibles valores de los correos electrónicos y otras cuentas. Siguiendo a Kreb, el Instituto SANS elaboró una lista en diferentes idiomas que podrás ver aquí debajo:

STH-Poster-YouAreATarget-LowResolution

Comencemos con el valor directamente financiero de las cuentas que estimó Kreb, basándose en la venta de cuentas que se realiza en los foros de mercado negro. El periodista asegura que un importante vendedor de estas cosas cobra aproximadamente $8 por cuentas de iTunes, $6 por Fedex.com, Continental.com y United.com; $5 por Groupon; $4 por Godaddy; y un mísero $2.50 por cuentas activas de Facebook y Twitter (considerando que estos precios podrían dispararse si las cuentas pertenecen a blancos importantes, como diplomáticos, gente de negocios, celebridades, funcionarios de defensa y otros). En un ensayo aparte, basado en otro mercado, Krebs encontró que se pagaba entre $1 y $3 por cuentas de retail online como Dell, Overstock, Walmart, Tesco, BestBuy, Target.

Lo interesante del hackeo de cuentas PayPal y otras cuentas de banco online es que su valor no es tan directo como piensas. Digamos que tienes $2000 en una cuenta de banco o en tu tarjeta de crédito o disponibles en PayPal. El valor para esa cuenta sería de dos mil dólares, ¿no? De ninguna manera. Los criminales que atacan estas cuentas lo hacen a un nivel mayorista. Usualmente no son ellos mismos quienes atacan y vacían las cuentas, porque eso es un trabajo sumamente intensivo y peligroso. En cambio, hackean la cuenta y venden el acceso a la misma en los mercados negros.

Un criminal con acceso a tu correo electrónico principal puede restablecer tus contraseñas y tomar control de cada una de tus cuentas

Leí en otras investigaciones que los precios de las actividades de bandas de criminales pueden variar según si es, por ejemplo, una operación de falsa tarjeta de crédito (carding) o si hay que hackear una cuenta PayPal. Los valores varían enormemente, pero la regla general es que los precios suben si la cuente pertenece a norteamericanos o europeos y también considerando el monto de dinero que se tenga almacenado, especialmente en servicios que permitan conectar con cuentas bancarias o tarjetas de crédito vía correo electrónico. Estas cosas aumentan el valor de la cuenta.

Otro popular modo de hacer dinero involucrando cuentas financieras es utilizar “mulas de dinero”. Resumidamente, la “mula” pone anuncios publicitarios ofreciendo dinero fácil a cualquier persona que saque dinero de una cuenta bancaria y lo gire al criminal. Los ladrones, en verdad, no es que ponen anuncios para conseguir una mula, sino para tener gente que acepte estas ofertas y que, sin su consentimiento, actúe como mulas de dinero. Una vez retirado y trasladado el dinero,  se les paga.

Las cuentas de correo electrónico y financieras son más difíciles de evaluar porque parte de su valor depende de sus contenidos y de la identidad de su legítimo dueño, lo cual hace que sean un buen lugar para la transferencia hacia valores no-financieros de las cuentas hackeadas. Las cuentas de correo electrónico son usualmente el núcleo a través del cual otras cuentas son controladas. Cuando olvidas una contraseña, la restauras a través de tu cuenta de correo electrónica. Mis contraseñas son a menudo tan únicas y tan buenas que no tengo opción más que restablecerlas a través de mi correo personal porque -de otra forma- nunca las recordaría.

En mi caso, tengo mis cuentas de correo electrónico bien aseguradas y tú también deberías tenerlas, porque si la cuenta a través de la cual todas las otras se manejan es hackeada, estarías ante un gran, gran problema. Un criminal con acceso a tu correo electrónico principal puede restablecer tus contraseñas y tomar control de cada una de tus cuentas, por eso recomiendo que cambies tus contraseñas cada tres meses y que programes completamente cada característica de seguridad avanzada. Además, puedo restablecer mi contraseña de correo electrónico a través de mi dispositivo móvil y también tengo una cuenta de correo secreto con la cual puedo recuperar mi correo principal en el hipotético caso de que alguien hackee mi cuenta y robe mi teléfono. Lo mismo hago con mi cuenta de banco, que requiere un segundo paso de autentificación y tiene una contraseña complicada.

Finalmente, una cuenta de correo electrónico hackeada es un peligro para cada uno de tus contactos  de correo o de redes sociales. Estas personas confían en ti. Si un link malvado se les aparece en un correo electrónico de phishing de una cuenta desconocida, tus contactos, amigos o conexiones probablemente lo abrirán y eso será tu responsabilidad. Tendrás que vivir con el hecho de que tus descuidadas prácticas de seguridad pueden hundir a otra persona y ¡espero no puedas dormir por eso! Estoy bromeando, sólo espero que apliques una seguridad fuerte y nunca te topes con este tipo de problemas.

Consejos