Tu cuenta podría estar siendo vendida en la dark web: revelando toda la cadena del robo de datos

Cada vez que ingresas tu cuenta y contraseña en una página de phishing, esa información puede ser vendida en la dark web por menos de cien dólares. Esto no es alarmismo, sino que el crimen en línea ya ha construido toda una cadena industrial completa. Este artículo rastrea todo el proceso, desde la recopilación y circulación de los datos robados hasta su uso final, revelando el negocio oscuro que hay detrás del comercio de datos en la dark web.

¿Cómo se roban los datos?

Antes de que comience un ataque de phishing, los atacantes necesitan establecer primero un “dispositivo” para recopilar datos. Nuestro análisis de páginas de phishing reales revela que los ciberdelincuentes utilizan principalmente tres métodos para obtener la información que ingresas en sitios falsificados:

Primero: reenvío de correos electrónicos (en desuso)

Tras que la víctima ingresa datos en el formulario de la phishing, esta información se envía automáticamente a un correo controlado por el atacante mediante un script PHP. Es la forma más tradicional, pero también presenta fallos críticos: retrasos en la entrega, fácil interceptación y bloqueo del servidor de envío. Por ello, este método está siendo reemplazado progresivamente por técnicas más discretas.

Hemos analizado un kit de phishing dirigido a usuarios de DHL. Su script automáticamente reenvía la dirección de correo y la contraseña de la víctima a un correo específico, pero debido a las limitaciones del email, este método ya está en desuso.

Segundo: bots de Telegram (cada vez más popular)

A diferencia del email, los atacantes que usan bots de Telegram insertan en su código un enlace API que incluye el token del bot y el ID del chat. Cuando la víctima envía información, los datos se envían en tiempo real al bot, y el operador recibe la notificación inmediatamente.

¿Por qué es más popular? Porque los bots de Telegram son más difíciles de rastrear y bloquear, además de que su rendimiento no depende de la calidad del hosting de la página de phishing. Los atacantes incluso pueden usar bots desechables, reduciendo mucho el riesgo de ser capturados.

Tercero: paneles de gestión automatizados (los más profesionales)

Grupos delictivos más experimentados compran o alquilan frameworks de phishing especializados, como BulletProofLink o Caffeine, plataformas comerciales que ofrecen un panel web —todos los datos robados se consolidan en una base de datos unificada.

Estos paneles suelen tener funciones potentes: estadísticas por país y tiempo, validación automática de la validez de los datos robados, exportación en múltiples formatos. Para organizaciones criminales estructuradas, son herramientas clave para aumentar la eficiencia. Es importante notar que una misma campaña de phishing suele usar varias técnicas de recopilación simultáneamente.

¿Qué tipos de datos se filtran? ¿Cuál es su valor?

No todos los datos robados tienen el mismo valor. En manos de los delincuentes, estos datos se clasifican en diferentes niveles, con distintos precios y usos.

Según análisis estadísticos del último año, la distribución de objetivos en ataques de phishing es:

• Credenciales de cuentas en línea (88.5%): usuario y contraseña. Es la información más común de ser robada, porque incluso solo un email o número de teléfono tiene valor para los atacantes — pueden usarlo para ataques de recuperación de cuenta o futuros phishing.

• Información personal (9.5%): nombre, dirección, fecha de nacimiento, etc. Este tipo de datos se usa en ataques de ingeniería social o combinados con otros datos para fraudes precisos.

• Información bancaria (2%): número de tarjeta, fecha de vencimiento, CVV, etc. Aunque representa la menor proporción, su valor es el mayor, por lo que se protege con mucho cuidado.

El valor específico de los datos también depende de atributos adicionales de la cuenta: antigüedad, saldo, si tiene habilitada la doble autenticación, métodos de pago vinculados, etc. Una cuenta recién creada, con saldo cero y sin 2FA, casi no vale nada, pero una cuenta de diez años, con muchas compras y vinculada a una tarjeta real, puede valer cientos de dólares.

El negocio en el mercado de la dark web: ¿cómo pasa de “robar” a “vender”?

Los datos robados terminan en la dark web. ¿Qué sucede allí? Sigamos la cadena oculta:

Primer paso: empaquetado y venta en lote

Los datos no se usan inmediatamente tras ser recopilados, sino que se empaquetan en archivos comprimidos —que suelen contener millones de registros de diferentes incidentes de phishing y filtraciones. Estos “paquetes de datos” se venden en foros de la dark web a precios bajos, algunos por solo 50 dólares.

¿Quién compra estos datos? No son solo hackers que hacen fraudes, sino analistas de datos en la dark web — intermediarios en la cadena de suministro.

Segundo paso: clasificación, validación y creación de archivos

Los analistas procesan los datos adquiridos. Los clasifican por tipo (email, teléfono, banco, etc.) y ejecutan scripts automáticos para verificar su validez — por ejemplo, si la contraseña de Facebook también funciona para ingresar a Steam o Gmail.

Este paso es crucial, porque los usuarios tienden a usar la misma o similar contraseña en varias plataformas. Datos antiguos filtrados hace años aún pueden abrir puertas a otras cuentas hoy. Las cuentas validadas y aún accesibles se venden a precios más altos.

Además, los analistas relacionan y consolidan datos de diferentes ataques: una vieja filtración de redes sociales, credenciales obtenidas en un formulario de phishing, un número de teléfono dejado en un sitio de estafas — fragmentos aparentemente sin relación que se unen en un perfil completo de un usuario específico.

Tercer paso: venta profesional en el mercado de la dark web

Los datos validados y procesados se publican en foros o canales de Telegram — “tiendas en línea” que muestran precios, descripciones y valoraciones, como en cualquier comercio electrónico.

El precio de una cuenta varía mucho. Una cuenta de red social ya verificada puede valer solo 1-5 dólares, pero una cuenta bancaria en línea con largo historial, vinculada a una tarjeta real y con 2FA habilitado, puede valer varios cientos de dólares. El precio depende de múltiples factores: antigüedad, saldo, métodos de pago vinculados, estado de 2FA y la plataforma.

Cuarto paso: cazar objetivos de alto valor con precisión

Los datos en la dark web no solo sirven para fraudes masivos, sino también para ataques dirigidos — “whale phishing”— contra ejecutivos, contadores o administradores de sistemas IT.

Imagina: una filtración en la empresa A revela datos de un empleado que ahora trabaja en la empresa B. Los atacantes usan inteligencia OSINT para confirmar su cargo y email actual. Luego, envían un email de phishing que parece provenir del CEO de B, citando detalles del pasado laboral del objetivo — todos datos adquiridos en la dark web. Así, reducen mucho la alerta del destinatario y aumentan las probabilidades de éxito en la intrusión.

Este tipo de ataques no se limitan a empresas. También apuntan a personas con saldo alto en cuentas bancarias o con documentos importantes (como solicitudes de préstamos).

La aterradora realidad de los datos robados

Los datos robados son como mercancía que nunca se destruye — se acumulan, se integran, se reempaquetan y se reutilizan una y otra vez. Una vez que tus datos entran en la dark web, pueden ser utilizados meses o incluso años después para ataques dirigidos, extorsiones o robo de identidad.

No es alarmismo. Es la realidad del entorno digital actual.

Medidas de protección que debes tomar ahora

Si aún no has protegido tus cuentas, es momento de empezar:

Actúa ya (para evitar filtraciones):

1. Usa contraseñas únicas para cada cuenta. Es lo más básico y efectivo. Si se filtra en un sitio, no afectará a tus otras cuentas.
2. Habilita la autenticación en dos pasos (MFA/2FA). En todos los servicios que puedas, esto evita que un atacante que tenga tu contraseña pueda acceder.
3. Revisa periódicamente si tus datos han sido filtrados. Usa servicios como Have I Been Pwned para verificar si tu email aparece en filtraciones conocidas.

En caso de ser víctima:

1. Si se filtra tu información bancaria, llama inmediatamente al banco para bloquear y congelar la tarjeta.
2. Cambia de inmediato las contraseñas de las cuentas comprometidas y de todas las que usen la misma clave.
3. Revisa el historial de accesos y termina sesiones sospechosas.
4. Si tus cuentas en redes sociales o mensajería son hackeadas, informa a tus contactos para que estén alertas ante posibles fraudes en tu nombre.
5. Mantente atento a correos, llamadas o promociones sospechosas — aunque parezcan confiables, podrían ser intentos de fraude usando tus datos filtrados en la dark web.

El mercado en la dark web ha cambiado las reglas del juego del crimen digital. Los datos ya no son un botín de una sola vez, sino un producto que puede ser reutilizado cuantas veces se quiera. La mejor protección es actuar ahora, antes de que te ataquen, y no lamentarlo después.