Home Más actualidad Los estafadores piratearon su teléfono y robaron miles de libras

Los estafadores piratearon su teléfono y robaron miles de libras

By
Elvira Zavala
-
26

que es genialCorresponsal cibernético, BBC World Service

BBC Sue, una mujer sonriente con una gorra de béisbol, está junto a un caballo. El caballo está muy cerca de la cámara, y junto a ella sólo se ven su ojo y su frente.bbc

Sue vio su vida digital secuestrada por estafadores

Las violaciones de datos se están volviendo tan comunes que puede resultar difícil saber cómo reaccionar cuando le suceden a usted. A menudo es fácil apagarlos, pero existe un riesgo.

Ser víctima de una violación de datos aumenta las posibilidades de ser blanco de delincuentes y estafadores.

Sue le contó a la BBC cómo la siguieron los estafadores. Encontramos sus detalles filtrados en línea.

Ella fue víctima de lo que se conoce como un ataque de intercambio de SIM, donde los estafadores engañan a un operador de red haciéndole creer que es el titular de la cuenta para obtener una nueva tarjeta SIM para un dispositivo móvil.

Usaron su teléfono para hacerse cargo de casi todas las cuentas en línea. Dijo que la experiencia fue “aterradora”.

“Los estafadores se apoderaron de mi cuenta de Gmail y luego me bloquearon el acceso a mi cuenta bancaria porque no pasaron el control de seguridad”, dijo.

A Sue también le abrieron una tarjeta de crédito a su nombre y los delincuentes compraron más de £ 3,000 en vales.

Fueron necesarias varias visitas a las sucursales de su banco y al proveedor de telefonía móvil para recuperar sus cuentas.

Y los ladrones no habían terminado.

“Los delincuentes también hicieron algo terrible después de acceder a mi WhatsApp”, dijo. “Avisaron a los grupos ecuestres que yo estaba advirtiendo que había gente en camino para apuñalar a los caballos”.

Buscamos en bases de datos de piratas informáticos utilizando herramientas en línea como haveibeenpwned.com y Constella Intelligence para ver si los detalles de Sue habían sido comprometidos antes.

Su número de teléfono, dirección de correo electrónico, fecha de nacimiento y dirección física quedaron expuestos en violaciones de datos en la plataforma PaddyPower en 2010 y en la herramienta de verificación de correo electrónico Verifications.io en 2019. Otras compilaciones de registros pirateados también incluyeron sus detalles.

Hannah Baumgartner, de la empresa cibernética Silobreaker, dijo que los atacantes pueden haber utilizado datos personales filtrados en violaciones anteriores para llevar a cabo ataques de intercambio de SIM.

“Una vez que tuvieron acceso al número de teléfono de Sue, pudieron interceptar los códigos de seguridad enviados a su cuenta de Gmail para verificar su identidad”, dijo.

Netflix secuestrado

Pero los estafadores no siempre buscan grandes pagos.

Fran, de Brasil, le dijo a la BBC que descubrió que un usuario se había registrado en su cuenta de Netflix y extendió su suscripción mensual.

“Se cargaron 9,90 dólares (7,50 libras) en mi tarjeta de pago a pesar de que no hice la compra”, dijo.

“Inmediatamente me comuniqué con mi familia para saber si alguien había agregado otro perfil a la cuenta que compartimos, pero todos dijeron que no”.

Fran fue víctima de una estafa común en la que un aprovechador secuestró su cuenta de Netflix.

No se sabe exactamente cómo llegó a su cuenta, y el turbio mundo del cibercrimen significa que es difícil determinar si una sola violación de datos llevó a que alguien fuera estafado.

Pero descubrimos que la dirección de correo electrónico de Fran quedó expuesta en al menos cuatro violaciones de datos, incluidas Internet Archive (2024), Trelove (2024), Descomplica (2021) y Wattpad (2020), según el sitio web haveibeenpwned.com.

La contraseña que utilizó para su cuenta de Netflix puede que no esté en una base de datos conocida públicamente, sino en otras.

“Existe un mercado enorme para las cuentas pirateadas de Netflix, Disney y Spotify”, dijo Elon Gall, cofundador de la empresa de ciberseguridad Hudson’s Rock.

“Es un punto de entrada de baja barrera para el cibercrimen, convirtiendo la filtración de datos de una sola empresa en un abuso generalizado y continuo”.

Anuncio en Marketplace que vende cuentas crackeadas de Hudson RockRoca Hudson

Los foros permiten a las personas vender cuentas de servicios de suscripción crackeadas a bajo precio sin el conocimiento de los propietarios.

Los estafadores suelen combinar información privada robada con información pública.

Leah, que no quiso dar su nombre real, dirige una pequeña empresa que utiliza anuncios de Facebook y recientemente fue objeto de una estafa de larga duración, aparentemente fuera de Vietnam.

“Recibí un correo electrónico de phishing de ‘notificaciones@facebookmail.com’ diciendo que debía un reembolso. Hice clic en el enlace e ingresé mis datos en una metapágina falsa y, aunque tenía autenticación de dos factores, el estafador pudo apoderarse de mi cuenta comercial.

“Luego publicaron videos de abuso sexual infantil bajo mi nombre, lo que hizo que me bloquearan. También se me prohibió usar Messenger para informar a Meta”.

En los tres días que Leah tardó en recuperar su cuenta comercial, los estafadores publicaron anuncios por valor de cientos de libras para ella. Finalmente recuperó su dinero.

Alberto Casares de Constella Intelligence buscó en la base de datos de piratas informáticos y encontró la dirección de correo electrónico de Leah y otros detalles obtenidos en violaciones de datos en Gravatar (2020) y Qantas de este año (violación de terceros).

“Parece que los atacantes utilizaron una técnica común de vincular la dirección de correo electrónico privada robada de Leah con su número comercial que figura públicamente para lanzar un ataque de phishing dirigido a la cuenta de correo electrónico”.

Podrían haberlo hecho ellos mismos o utilizar un intermediario de datos para pagar por múltiples objetivos potenciales.

Una filtración masiva de datos

Las filtraciones masivas de datos están alimentando escándalos y ataques secundarios en todo el mundo, y muchos ataques de alto perfil se producirán sólo en 2025.

Según el Observatorio de violaciones de datos de Proton Mail, 794 violaciones verificadas de fuentes identificables expusieron más de 300 millones de registros personales en lo que va de 2025.

“Los delincuentes pagan precios elevados por los datos robados, ya que constantemente obtienen ganancias mediante fraude, extorsión y ataques cibernéticos”, afirmó Eamonn Maguire, de la empresa.

Aparte de notificar a los consumidores y a los reguladores sobre las infracciones, no existen reglas estrictas y rápidas sobre lo que las empresas deben hacer por las víctimas.

Ofrecer seguimiento crediticio gratuito, por ejemplo, era común.

Ticketmaster el año pasado (que vio a 500 millones de personas afectadas por la infracción) ofreció esto a algunas personas.

Pero este año menos empresas lo están haciendo. Por ejemplo, Marks and Spencer y Qantas no ofrecieron estos servicios a los clientes.

La cooperativa optó por dar a las víctimas vales de £10, si gastaban £40 en sus tiendas.

Con una tendencia creciente de demandas colectivas, algunos buscan compensación en los tribunales, aunque son notoriamente difíciles de ganar porque es difícil demostrar cómo se han visto afectados los individuos.

Pero algunos lo han logrado.

T-Mobile ha comenzado a pagar a los clientes afectados por una filtración masiva de datos en 2021 que afectó a 76 millones de clientes.

La empresa acordó pagar 350 millones de dólares, pagos que, según se informa, oscilaban entre 50 y 300 dólares.

Una pancarta delgada y gris que promociona el periódico News Daily. A la derecha, hay un gráfico de una esfera naranja con dos formas de media luna concéntricas en un degradado rojo anaranjado como una onda sonora. La pancarta dice:

Reciba nuestro boletín principal con todos los titulares que necesita para comenzar el día. Regístrese aquí.

Enlace fuente

RELATED ARTICLESMORE FROM AUTHOR