Los ciberdelincuentes roban datos y gestionan grandes negocios en torno a ellos. El último informe de Europol sobre la Evaluación de la Amenaza de la Delincuencia Organizada en Internet (IOCTA) revela cómo los datos personales se han convertido en una moneda clave en la economía sumergida.
Los datos son el producto
Los ciberdelincuentes buscan todo tipo de información, desde credenciales de inicio de sesión hasta números de tarjetas de crédito, historiales médicos y cuentas de redes sociales. Los datos que recopilan les permiten acceder a cuentas, suplantar la identidad de usuarios o vender dicho acceso a terceros. Europol enfatiza que el acceso a una cuenta suele ser el primer paso de un ataque más amplio. Una vez dentro, los atacantes pueden moverse lateralmente por la red, robar más datos y realizar estafas utilizando la identidad de la víctima.
La ingeniería social acaba de recibir un impulso
Gran parte de este acceso comienza engañando a las personas. Las tácticas de ingeniería social, como los correos electrónicos de phishing y los sitios web falsos, siguen siendo ampliamente utilizadas. Pero ahora, los LLM y la GenAI están haciendo que estas tácticas sean más convincentes. Los mensajes generados por IA pueden imitar estilos de escritura y peculiaridades del idioma local, haciéndolos más difíciles de detectar. Según el informe , los mensajes de phishing creados por LLM tienen una mayor tasa de éxito que los escritos por humanos.
La IA también se está utilizando para ampliar las operaciones. Por ejemplo, los delincuentes pueden usar chatbots y medios sintéticos para dirigirse a varias víctimas a la vez, en varios idiomas. Los deepfakes de voz se están utilizando en estafas de vulneración de correos electrónicos empresariales para engañar a los empleados y conseguir que entreguen dinero o credenciales.
El malware está en todas partes
Una vez que alguien hace clic en un enlace o descarga un archivo, el malware se encarga del resto. Los ladrones de información son un tipo de malware diseñado para extraer datos personales de los dispositivos infectados, como nombres de usuario, contraseñas e historial de navegación. Una de estas herramientas, Lumma, infectó más de 394.000 dispositivos Windows en todo el mundo antes de ser desmantelada por las fuerzas del orden en 2025.
Los delincuentes distribuyen programas de robo de información mediante correos electrónicos de phishing, anuncios de búsqueda e incluso tiendas de aplicaciones. Algunas campañas utilizan ventanas emergentes falsas, conocidas como trampas «ClickFix», que engañan a los usuarios para que ejecuten malware en sus propios equipos.
Vender acceso es un gran negocio
Los intermediarios de acceso inicial (IAB) se especializan en la venta de puntos de entrada a sistemas comprometidos. Estos intermediarios suelen usar phishing o explotar vulnerabilidades de software para obtener acceso. Posteriormente, revenden esas credenciales a otros delincuentes, como grupos de ransomware.
El mercado de este tipo de acceso está creciendo rápidamente. Europol cita un estudio de CrowdStrike que muestra un aumento del 50 % en los precios de acceso anunciados en 2024. Los delincuentes también venden credenciales robadas al por mayor en plataformas como Russian Market o a través de aplicaciones de mensajería cifrada.
Una vez vendido, el acceso puede reutilizarse. Europol advierte que diferentes atacantes podrían explotar la misma brecha, aumentando el daño a las víctimas.
Los mercados de datos prosperan en la clandestinidad
Las filtraciones de datos suelen ir seguidas de ventas en foros de la dark web o plataformas cifradas. Estos mercados albergan desde credenciales de inicio de sesión e identificaciones robadas hasta kits de phishing y suscripciones a malware.
Algunos sitios, como BreachForums o los foros Nulled y Cracked, recientemente desmantelados, se convirtieron en centros de actividad masivos. Solo Nulled contaba con más de cinco millones de usuarios. Muchas de estas plataformas se basan en sistemas de reputación, insignias y reseñas de pares. Esto ayuda a los delincuentes a generar confianza y a realizar negocios sin ser detectados.
A medida que las fuerzas del orden desmantelan foros importantes, surgen canales más pequeños y especializados. Las aplicaciones cifradas dificultan a las autoridades el seguimiento de estas actividades.
La IA abre nuevas vías de ataque
Además de mejorar el phishing, los delincuentes utilizan la IA para crear identidades falsas, falsificar huellas digitales y eludir los controles de seguridad. También explotan las vulnerabilidades creadas por la propia IA. Una táctica, denominada «slopsquatting», consiste en engañar a los asistentes de código de IA para que sugieran bibliotecas de software falsas. Los atacantes crean paquetes maliciosos con esos nombres y los suben a repositorios públicos. Los desarrolladores que confían en las sugerencias de la IA pueden acabar instalando malware en sus propios sistemas.
Fuente y redacción: helpnetsecurity.com
