El llamado ‘mercado clandestino’ o ‘mercado negro’ en Internet representa el sitio ideal donde los cibercriminales compran o venden servicios y datos como: números de tarjetas de crédito robadas, cuentas de redes sociales, malware y direcciones de correo electrónico, entre otros.
Como ejemplo, en el mercado clandestino se pueden comprar 1,000 cuentas de correo electrónico por precios entre 0.50 y 10 dólares, según datos de Symantec.
La información de tarjetas de crédito robadas sigue siendo una mercancía atractiva en el mercado negro. En 2007, este tipo de información se vendía entre 0.40 y 20 dólares por registro; a finales de 2014, los precios eran similares, con una variación de entre 0.50 y 20 dólares. El precio depende de aspectos como la marca de la tarjeta, el país de origen, la cantidad de metadatos contenidos, la cantidad de tarjetas y cómo los datos fueron robados.
No se tiene certeza de cuántas ventas realmente suceden o qué cantidad de compradores pagan el precio más alto de la información robada y comercializada. También resulta cuestionable la calidad de los bienes que se venden en estos sitios, ya que se sabe que algunos de ellos tratan de vender datos viejos o la misma información varias veces para incrementar sus ganancias.
Esto podría explicar por qué se ha producido un auge en la oferta de servicios agregados que verifican que las cuentas estén todavía activas o que las tarjetas de crédito no hayan sido bloqueadas. En algunos sitios del mercado negro, incluso se ofrecen garantías de que los datos que se venden están vigentes y/o de reemplazo de tarjetas de crédito en caso de que ya hayan sido bloqueadas, dentro de los primeros 15 minutos después de la compra.
Las cuentas de correo electrónico y la información bancaria no son los únicos bienes que se ofrecen en el mercado clandestino, pues también se encuentran cuentas de juegos en Internet (con costos de 12 hasta 3,500 dólares) y pasaportes reales escaneados que pueden ser utilizados con fines de robo de identidad (con costos de 1 a 2 dólares)
Otro aspecto que ha crecido en popularidad en los últimos años es la compra-venta de servicios. El hecho de que los atacantes puedan alquilar fácilmente toda la infraestructura necesaria para realizar estafas en Internet, implica que ya no es necesario tener gran capacidad técnica para ejecutar un ataque, sino que se puede realizar con la ayuda de terceros.
El costo de nuestra información personal
[box]
- Tarjetas de crédito: de 0.50 a 20 dólares
- Cuenta de correo: de 0.50 a 10 dólares por cada 1,000 registros
- Pasaportes: de 1 a 2 dólares
- Cuentas en la Nube: de 7 a 8 dólares por hospedaje de servidor C&C
- Juegos en línea: de 10 a 15 dólares por cuenta
- Redes Sociales: de 2 a 12 dólares por cada 1,000 followers
- Vouchers y boletos: 10% del precio real por boletos de avión o tren; del 50% al 60% del valor nominal por tarjetas de regalo en línea
- Kit de herramientas web ‘drive by download’: de 100 a 700 dólares
- 6 meses de renta de SpyEye: de 150 a 1,250 dólares
- Ataques DDoS por día: de 10 a 1,000 dólares
[/box]
