![\"Un](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/12\/30171702\/what-happens-to-data-after-phishing-1.png\")
<\/a>Un sitio web falso de DHL. Se solicita al usuario que introduzca el nombre de usuario y la contrase\u00f1a de su cuenta real de DHL<\/p><\/div>\n
Los datos robados generalmente se transmiten de una de estas tres maneras, o usando una combinaci\u00f3n de ellas:<\/p>\n
- \n
- Correo electr\u00f3nico<\/strong> Este m\u00e9todo no es tan com\u00fan en la actualidad debido a los posibles retrasos o bloqueos.<\/li>\n
- Bots de Telegram.<\/strong> Los atacantes reciben la informaci\u00f3n al instante. La mayor\u00eda de estos bots se eliminan, lo que hace que sea dif\u00edcil rastrearlos.<\/li>\n
- Paneles de administraci\u00f3n.<\/strong> Los ciberdelincuentes pueden usar software especializado para recopilar y clasificar datos, ver estad\u00edsticas e incluso verificar autom\u00e1ticamente la informaci\u00f3n que robaron.<\/li>\n<\/ul>\n
\u00bfQu\u00e9 tipo de datos buscan los autores de phishing?<\/h2>\n
La variedad de datos que buscan los ciberdelincuentes es bastante amplia.<\/p>\n
- \n
- Datos personales<\/strong>: n\u00fameros de tel\u00e9fono, nombres completos, correos electr\u00f3nicos, direcciones de registro y residenciales. Esta informaci\u00f3n se puede utilizar para crear ataques dirigidos. Las personas suelen caer en estafas precisamente porque los atacantes poseen una gran cantidad de informaci\u00f3n personal: se dirigen a ellas por su nombre, saben d\u00f3nde viven y qu\u00e9 servicios utilizan.<\/li>\n
- Documentos<\/strong>: datos y escaneos de tarjetas de la seguridad social, licencias de conducir, n\u00fameros de seguro y de identificaci\u00f3n fiscal, etc. Los delincuentes los utilizan para el robo de identidad, la solicitud de pr\u00e9stamos y la verificaci\u00f3n de identidad al iniciar sesi\u00f3n en bancos o portales de gobierno electr\u00f3nico.<\/li>\n
- Credenciales<\/strong>: inicios de sesi\u00f3n, contrase\u00f1as y c\u00f3digos 2FA de un solo uso.<\/li>\n
- Biometr\u00eda<\/strong>: escaneos faciales, huellas digitales y muestras de voz que se utilizan para generar deepfakes u omitir la autenticaci\u00f3n de dos factores.<\/li>\n
- Informaci\u00f3n de pago<\/strong>: datos de la tarjeta bancaria y de carteras de criptomonedas.<\/li>\n
- Y muchos m\u00e1s.<\/li>\n<\/ul>\n
Seg\u00fan nuestra investigaci\u00f3n, la gran mayor\u00eda (88,5\u00a0%) de los ataques de phishing realizados entre enero y septiembre de 2025 estuvieron dirigidos a credenciales de cuentas en l\u00ednea y el 9,5\u00a0% fueron intentos de obtener datos personales de los usuarios, como nombres, direcciones y fechas. Por \u00faltimo, el 2\u00a0% de los ataques de phishing se centraron en el robo de datos de tarjetas bancarias.<\/p>\n
![\"Distribuci\u00f3n](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/12\/30171811\/what-happens-to-data-after-phishing-2-EN.png\")
<\/a>Distribuci\u00f3n de ataques seg\u00fan el tipo de datos atacado, entre enero y septiembre de 2025<\/p><\/div>\n
\u00bfQu\u00e9 sucede luego con los datos robados?<\/h2>\n
Los atacantes no utilizan directamente todos los datos robados para transferir dinero a sus propias cuentas. De hecho, los datos rara vez se utilizan al instante. Lo m\u00e1s com\u00fan es que terminen en el mercado paralelo y lleguen a los analistas y agentes de datos. El viaje t\u00edpico es algo as\u00ed:<\/p>\n
1.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Venta masiva de datos<\/h4>\n
Los conjuntos de datos sin procesar se agrupan en archivos masivos y se ofrecen al por mayor en foros de la red oscura. Estos volcados suelen contener informaci\u00f3n basura o desactualizada, por lo que son relativamente baratos, a partir de unos 50\u00a0USD.<\/p>\n
2.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Clasificaci\u00f3n y verificaci\u00f3n de datos<\/h4>\n
Estos archivos los compran piratas inform\u00e1ticos que hacen de analistas. Clasifican los conjuntos y verifican la validez de los datos. Para esto \u00faltimo, comprueban si las credenciales de inicio de sesi\u00f3n funcionan para los servicios especificados, si se reutilizan en otros sitios y si coinciden con datos de filtraciones pasadas. Para los ataques dirigidos, los delincuentes crean un dosier digital. Almacena la informaci\u00f3n recopilada de ataques recientes y antiguos: b\u00e1sicamente, es una hoja de c\u00e1lculo de datos lista para usarse en pirateos.<\/p>\n
3.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Reventa de datos verificados<\/h4>\n
Los conjuntos de datos clasificados se vuelven a ofrecer a la venta, ahora a un precio m\u00e1s alto (y no solo en la red oscura sino tambi\u00e9n en una plataforma m\u00e1s conocida: Telegram).<\/p>\n
![\"Un](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/12\/30171901\/what-happens-to-data-after-phishing-3.png\")
<\/a>Un anuncio de venta de credenciales de una cuenta de redes sociales en Telegram<\/p><\/div>\n
Seg\u00fan Kaspersky Digital Footprint Intelligence, los precios de las cuentas dependen de una gran cantidad de factores: la antig\u00fcedad de la cuenta, la autenticaci\u00f3n 2FA, las tarjetas bancarias vinculadas y la base de usuarios de servicio. No es de extra\u00f1ar que el producto m\u00e1s caro y solicitado en este mercado sea el acceso a cuentas bancarias y carteras criptogr\u00e1ficas.<\/p>\n
- Documentos<\/strong>: datos y escaneos de tarjetas de la seguridad social, licencias de conducir, n\u00fameros de seguro y de identificaci\u00f3n fiscal, etc. Los delincuentes los utilizan para el robo de identidad, la solicitud de pr\u00e9stamos y la verificaci\u00f3n de identidad al iniciar sesi\u00f3n en bancos o portales de gobierno electr\u00f3nico.<\/li>\n
- Bots de Telegram.<\/strong> Los atacantes reciben la informaci\u00f3n al instante. La mayor\u00eda de estos bots se eliminan, lo que hace que sea dif\u00edcil rastrearlos.<\/li>\n