Tu información personal en manos de criminales

¿Qué pasa cuando un cibercriminal tiene en sus manos tu información personal?

En noviembre publicamos una entrada en el blog sobre ataques phishing brasileños en que se mostraban los números de CPF (Registro Natural de Personas, equivalente al DNI español) de las víctimas (el equivalente al Número de Seguro Social estadounidense), que el gobierno brasileño utiliza para identificar a sus ciudadanos. El CPF es el documento más importante de cualquier ciudadano brasileño. Es un requisito para realizar todo tipo de trámites, incluyendo abrir cuentas bancarias, renovar licencias de conducir, comprar y vender bienes raíces, recibir préstamos, solicitar trabajos (en especial los públicos), conseguir un pasaporte y tarjetas de crédito, etc.

Pero este incidente sólo fue una parte muy pequeña del problema.

Como vigilamos constantemente las actividades maliciosas, descubrimos que algunos de los cibercriminales ofrecían acceso a una base de datos con la información de todos los ciudadanos brasileños que tienen CPF. Lo único que necesitas es llamar a un número y el sistema te entregará los datos personales completos de una víctima potencial. La base de datos es muy completa, y contiene los datos de todos los ciudadanos brasileños, incluyendo los míos.

Los resultados de la búsqueda muestran el nombre completo de la víctima, su fecha de nacimiento, dirección, afiliaciones, ciudad, código zip, etc.; todos estos datos están al alcance de usuarios maliciosos.

Encontramos 3 espejos de este sitio, en los que se ofrecía este “servicio” a los criminales brasileños, que denominamos C2C (Cibercriminal a Cibercriminal).

Estos datos permiten que un cibercriminal robe la identidad de su víctima y se haga pasar por ella para acceder a sus bienes, sacar créditos bancarios o recibir otros beneficios en su nombre. Entre otros usos maliciosos, el criminal puede acceder a su cuenta bancaria. Si estás realizando una operación bancaria en línea, lo más probable es que tu banco te pida información personal para confirmar tu identidad. El tener acceso a esta información facilita a los cibercriminales la tarea de lanzar un ataque dirigido utilizando los datos de su víctima.

Seguro que te preguntas cómo consiguieron esta información los cibercriminales. En esencia, fue el resultado de una serie de incidentes de filtrado de datos. No sólo de oficinas del gobierno, sino también de entidades de comercio en línea y otras empresas que fueron víctimas de ataques virtuales en los que se robaron sus datos personales.

Hoy en día vemos que el proteger la información privada no es solo una responsabilidad de los usuarios, también lo es de los gobiernos y empresas. Brasil no es el único país del mundo que tiene este problema. Con el tiempo se ha visto que gobiernos y empresas han admitido que sufrieron ataques en los que se filtraron bases de datos con información sobre ciudadanos y empleados.

Las autoridades brasileñas están investigando este incidente.