600 millones de cuentas hackeadas, a la venta en la dark web
Alberto Iglesias Fraga
2019 no ha empezado nada bien en el terreno de la ciberseguridad, con notorias y preocupantes exposiciones de datos en apenas dos meses. En enero, fueron 773 millones de e-mails y 22 millones de contraseñas robadas las que salieron a la luz en la que ya está considerada una las mayores violaciones de datos de la historia. Y, ahora, otros 600 millones de cuentas pirateadas han sido puestas a la venta en la 'dark web'.
Un sujeto que opera en esos lares de la Red, que se hace llamar 'gnosticplayers', trafica con 617 millones de cuentas extraídas de 16 sites tan populares como la plataforma de fotografía 500px, el servicio de genealogía MyHeritage, MyFitnessPal o Animoto.
Aunque se desconocen los detalles de los datos expuestos, se habla tanto de direcciones de correo electrónico como de contraseñas, información de geolocalización y tokens de autenticación mediante redes sociales, entre otros. Por suerte, parece que no hay datos de pago o tarjetas bancarias entre la información disponible en este particular comercio.
Esta violación de datos, desvelada por The Register, refleja además la enorme facilidad con que se comercia en las alcantarillas de Internet con la información personal robada. "Siéntase libre de enviarme un mensaje aquí en Dream Market [una tienda accesible a través de la red Tor] para decirme qué tipo de datos está buscando y los incluiré aquí para su venta inmediatamente", llega a decir el vendedor, como si de un vendedor de fruta a granel se tratase, que apuntilla: "Dado que tengo una gran reserva de datos nuevos, probablemente tenga lo que necesita".
En concreto, los servicios de los que se habrían obtenido estos datos confidenciales son Dubsmash (162 millones de cuentas expuestas), MyFitnessPal (151 millones), MyHeritage (92 millones), ShareThis (41 millones), HauteLook (28 millones), Animoto (25 millones), EyeEm (22 millones), 8fit (20 millones), Whitepages ( 18 millones), Fotolog (16 millones), 500px (15 millones), Armor Games (11 millones), BookMate (8 millones), CoffeeMeetsBagel (6 millones), Artsy (1 millón) y DataCamp (700.000).
¿El precio por tan valiosa mercancía? Entre 0,189 y 0,549 bitcoins, en función de la información deseada. En total, por menos de 20.000 euros, cualquier ciberdelincuente puede hacerse con toda la información obtenida en 16 filtraciones distintas. Y, como ha confirmado el medio británico, los datos parecen ser legítimos y relativamente actualizados, aunque algunos de los materiales -como las contraseñas- se encuentran cifradas.
Algunas de las empresas afectadas por esta particular subasta ya habían notificado violaciones de datos o ciberataques en los últimos meses, de los cuales podrían proceder todos estos datos expuestos. Es el caso de MyHeritage, MyFitnessPal o Animoto. Otras firmas, como 500px o EyeEm han confirmado también que la información en cuestión ha sido obtenida ilegítimamente de sus servidores y puestos a la venta esta misma semana.
¿Lo peor? El vendedor presume de tener hasta 20 bases de datos para colgar en la 'dark web', además de mantener algunas otras para su uso privado. En declaraciones a The Register, la persona o personas detrás de 'gnosticplayers' asegura haber robado alrededor de 1.000 millones de cuentas entre 2012 y la actualidad.
Conoce cómo trabajamos en Computerhoy.