¿Cómo se trafica con nuestros datos en internet? Así es la 'Dark web'

Miguel Ángel recibió lo que parecía una llamada de su banco, ING, alertándole de una supuesta intrusión en su cuenta desde una ubicación y un dispositivo desconocidos, y que desde los servicios de seguridad del banco habían paralizado varios intentos de transferencias sospechosas. "En ese momento nos dicen que difícilmente van a poder seguir parando transferencias sospechosas, y tendríamos que transferir todo el dinero que quisiéramos salvar a una a una cuenta segura", explica Miguel Ángel, que asegura que "en todo momento estuvimos haciéndole preguntas y esta persona sabía respondernos absolutamente, dando incluso información veraz de algunas de nuestras cuentas".

A pesar de esas informaciones, Miguel Ángel, sin estar completamente seguro de que se tratara de un operario, comprobó en internet que el número con el que estaba hablando era el de ING, "y en efecto, estábamos hablando en principio con la sucursal de O'Donnell de aquí en Madrid". En ese momento realizó tres transferencias a la nueva cuenta, de un montante aproximado de 11.000 euros. "Fue al día siguiente cuando me di cuenta de que se trataba de una estafa, al llamar al número que tenía en agenda, esta vez sí, el de la oficina de ING. Sin saberlo, habíamos caído en una estafa que mezclaba phishing con spoofing. Finalmente, ING, devolvió parte del dinero estafado a Miguel Ángel, aunque no saben explicar cómo pudieron llegar esos datos a desde la entidad hasta los estafadores.

En ocasiones las empresas sufren filtraciones de los datos de sus clientes, y estos acaban perdidos en la dark web, a disposición de los estafadores. Esta semana en Código de Barras nos hemos adentrado en ella de la mano de José Jiménez, ingeniero informático y la persona que está detrás de la cuenta @sabuesolinux en X (antes Twitter), para comprobar de primera mano si es tan sencillo como parece conseguir los datos personales de los usuarios de un banco.

Cuenta José que lo más habitual es ceder estos datos por despiste, por ejemplo cuando nos llega un SMS o un correo electrónico en el que nos piden datos aparentemente irrelevantes. Poco a poco descubren "de qué banco eres, saben tu número de cuenta, saben cómo te llamas, y una vez tienen toda esa información, falsificando una llamada es muy sencillo caer". Pero también es posible que nuestros datos hayan terminado de alguna manera en la dark web, la cloaca de internet, donde José recomienda no entrar por los riesgos a los que nos exponemos.

En la visita guiada de José por la dark web, encontramos productos cuya venta en el mercado común es ilegal, como el cannabis, esteroides, estimulantes, ordenadores o incluso pasaportes. En este caso, José destaca que "no sabemos quién está detrás del perfil que vende estos productos", de ahí la peligrosidad y el riesgo de adentrarnos en esta especie de internet paralelo. Con respecto a los datos de usuarios, "se venden en bloques, y el precio depende. Hace poco se filtraron los datos de 5 millones de usuarios españoles, DNI, dirección y nombre, y se vendían en bloques a 10.000 dólares". Los pagos, cuenta José, se realizan en criptomonedas.

¿Quién puede estar interesado en comprar estos datos? Cuenta José que si, por ejemplo, un estafador encuentra un bloque de datos en el que aparece información que asocia una tarjeta de crédito con el número de teléfono de un usuario, puede enviar mensajes de SMS al poseedor de la tarjeta haciéndose pasar por su banco, para así tratar de estafarle utilizando ingeniería social.

Consejos para evitar perder el control de nuestros datos

De cara a evitar caer en estafas de este tipo, José es contundente: "si te llega un SMS con un link, es falso. Si es algo importante te vas a enterar de una manera u otra, no te va a llegar un correo perdido en la carpeta de spam". Sobre las llamadas del banco, José recomienda que seamos nosotros los que llamemos, y no al revés. Por último, con las plataformas del tipo Wallapop, recomienda "no dar nuestro correo ni número de teléfono. La plataforma tiene sus propios pagos, está todo legalizado y registrado".