Cuando hablamos de mercado negro o mercado clandestino nos estamos refiriendo al mercado ilegal de compra y venta de artículos de diversa índole que también se desarrolla en la economía actual sobrepasando el límite de la legalidad. Pero dentro de este mercado negro podemos diferenciar dos tipos:
- El mercado negro en el que se realiza la compra venta de artículos o servicios que están dentro de la ley, pero que no están sujetos a los impuestos correspondientes y por tanto no son ni pagados ni declarados. Ponemos por ejemplo a aquellos trabajos en los que no se declara el IVA.
- Por otro lado tenemos al mercado negro en el que los artículos que intervienen son totalmente ilegales como por ejemplo órganos, armas, drogas etc.
Este tipo de mercados aparece o se intensifica en periodos de crisis o de control gubernamental de la economía cuando se produce una escasez de bienes de primera necesidad, hecho que obliga a los gobiernos a imponer controles de precios o racionamientos de bienes. Este mercado negro no se aplica únicamente a estos casos, ya que en una economía normal también puede producirse la compra y venta de productos prohibidos de manera permanente como pueden ser las drogas.
El Mercado Negro en España
En España, el mercado negro o denominado mercado sumergido representa un 11% del PIB, además de suponer un 1,8 millones de empleos en lo referente a aquellos trabajos que no son declarados. Además, en nuestro país existen numerosas actividades de esta índole tales como la venta de droga, la prostitución, la fabricación y distribución de mercancías falsificadas y la piratería de material sujeto a derechos de propiedad intelectual que se desarrollan de manera normal en nuestra economía y que suponen un alto porcentaje de ingresos no declarados.
En la parte transparente de la red ya se trafica con nuestros datos, así que imagina lo que puede ocurrir en la parte oscura», advierte Ricard Martínez, profesor de Derecho Constitucional en la Universitat de València y Director de su Cátedra Microsoft de Privacidad y Transformación Digital. «Todo lo que es gratis en la Red implica el tratamiento de tu datos. Todo el rastro que dejas en internet es susceptible de ser explotado en un entorno legal, así que en el mercado negro la situación es todavía más complicada».
Según un estudio de la empresa de ciberseguridad Risk Based Security, cerca del 90% de los registros filtrados se pueden atribuir a la exposición o publicación de datos en línea. Sólo una decena de infracciones se bastaron para acceder a más de 100 millones de registros cada una.
«Somos más vulnerables que nunca», alerta Ravi Sen, profesor asociado en Gestión de Operaciones e Información de la Universidad de Texas y experto en ciberseguridad, software de código abierto y comercio electrónico. «La mayoría de las personas ahora están conectadas a internet las 24 horas del día, los siete días de la semana, a través de sus dispositivos móviles. Dependen cada vez más de ellos para realizar transacciones a través de la web y cada vez se descubren nuevas vulnerabilidades y nuevas formas de atacarnos. En definitiva, estamos más expuestos y más amenazados que nunca».
Si nuestros datos se vendieran en un callejón oscuro como los relojes de imitación o las armas de contrabando, en el maletero del coche en cuestión encontraríamos números de tarjetas de crédito, códigos de seguridad, direcciones, nombres completos, fechas de nacimiento, cuentas de correo electrónico, fotos, usuarios, contraseñas, contactos, perfiles, audios...
El Mercado Negro de Datos Personales: El Valor Oculto de Su Información
«Los datos que se venden en la web oscura se pueden utilizar para clonar tarjetas de crédito y realizar transacciones fraudulentas, para suplantar identidades, solicitar un préstamo o incluso presentar falsas declaraciones de la renta, adulterar historiales médicos, pólizas de seguros, diplomas, permisos de conducir...», explica el profesor Sen desde Texas a través de su correo electrónico. «En el mercado negro -continúa- se venden millones de datos robados para campañas de marketing, para lanzar operaciones de spam o de phising o para distribuir virus informáticos».
El maletero del coche sería en realidad cualquier servidor alojado en países con legislaciones digamos laxas en cuanto a ciberseguridad. Normalmente creados y administrador por piratas informáticos. Nos conectamos a internet las 24 horas del día, los siete días de la semana.
Estamos más expuestos y amenazados que nunca», dice Ravi Sen (Universidad de Texas).
Un ejemplo. Rescator, también conocido como Helkern o como ikaikki, es un célebre hacker ucraniano que se especializó en la venta de datos de tarjetas de crédito. Uno de los más peligrosos en todo el mundo. Según la consultora rusa Group-IB, sólo entre diciembre de 2013 y febrero de 2014, el tal Rescator llegó a vender más de cinco millones de tarjetas robadas. Sus webs tenían hasta un buscador por código postal para que los compradores pudieran localizar más fácilmente a sus posibles víctimas. Como si fuera el Wallapop del crimen organizado.
«Hay robos de datos orientados a un usuario concreto del que se quiere extraer información o al que se quiere extorsionar, pero también hay robos a gran escala», cuenta Óscar Maqueda, Jefe de Operaciones de la compañía de ciberseguridad Disruptive Consulting. «Puede que sólo uno de cada cien o de cada mil víctimas tenga información interesante, pero te aseguro que hay gente que se toma el tiempo necesario para encontrarla».
El valor de nuestros datos en la Red depende de su tipología, pero también de la oferta y la demanda. En 2015 hubo tal volumen de información personal robada en internet que el precio cayó de cuatro dólares por perfil a sólo un dólar. Las tarjetas de crédito ya se venden al por mayor y en los últimos años se ha disparado la venta de datos médicos robados y el tráfico de cuentas de Uber.
Hace cinco años la multinacional de software Trend Micro invitó a más de mil personas de todo el mundo a estimar el precio de sus datos. La mayoría consideró que lo más valioso eran sus contraseñas, con un coste medio de unos 60 euros, seguido de los registros médicos (50 euros). El mismo estudio desvelaba después que en el mercado negro los datos generales de identidad se venden por un dólar (menos de un euro), los pasaportes escaneados, permisos de conducir o facturas por unos 15 euros, las credenciales para banca electrónica por entre 150 y 400 euros, y las cuentas de PayPal o eBay por cerca de 250 euros.
Más gangas. Una cuenta de Instagram pirateada cuesta 40 euros; una suscripción de Netflix, 30 euros; y un pasaporte, unos 3.000.
«Vender datos robados en estos mercados no es tan sencillo como abrir una cuenta en eBay o Amazon», explica Ravi Sen. «El vendedor tiene que configurar su navegador en la dark web para que sea difícil rastrear las transacciones y cualquier tarifa se paga en bitcoins. Los compradores siguen un procedimiento similar. Usan navegadores especiales que protegen su identidad, visitan el mercado, buscan lo que necesitan y completan la transacción con bitcoins».
En 2019 un hacker puso a la venta 617 millones de datos de cuentas robadas. Su precio, unos 16.000 euros en bitcoins.
Ahora vuelva a echar un ojo a su teléfono. Según los datos (privados) del autor de este reportaje, en un iPhone con unas 100 aplicaciones instaladas, al menos una decena le piden acceso a sus contactos, unas 20 quieren ver sus fotos, y otras 15 necesitan escuchar su micrófono.
«Somos tan vulnerables como lo sea nuestra cultura sobre ciberseguridad», apunta Ricard Martínez. «Y la gran mayoría somos analfabetos sometidos a un riesgo invisible. Le abrimos la puerta de nuestra casa a los hackers. La puerta, las ventanas y las persianas. Nos molesta más el esfuerzo de protegernos que el riesgo que corremos».
El último Estudio sobre la ciberseguridad y confianza del ciudadano en la Red dice que apenas la mitad de los internautas españoles cree que sus acciones online tienen consecuencias en su seguridad y el 46% admite que para disfrutar de internet «hay que asumir ciertos riesgos».
«La sociedad es cada vez más consciente de que los datos son poder, pero a la vez cada vez tiene menos alternativas. Y la pandemia sólo ha agravado la situación», alerta Liliana Arroyo, investigadora del Instituto de Innovación Social de ESADE y experta en impacto social de la tecnología. «Puedes aceptar las política de privacidad sin leerlas, perder media vida intentando entenderlas o no aceptar y quedarte sin alternativas».
Según la Universidad Carnegie Mellon, el estadounidense medio tendría que dedicar 76 días a leer las políticas de privacidad de las tecnológicas de las que echa mano regularmente. «No tendríamos por qué asumir qué riesgos son mejores o peores en internet», subraya Arroyo. «Yo cuando voy al mercado, entiendo que las autoridades velan para que no haya productos venenosos. Pues en el mercado digital también necesitamos encontrar la manera de poder consumir de forma confiada».
Según la consultora SOCradar, en los foros y mercados de la dark web se pueden comprar los datos de tarjetas de crédito europeas por 10 dólares, y por 11,40 los de las tarjetas estadounidenses, porque suelen tener límites de crédito más altos.
Francisco Valencia, director general de la consultora Secure&IT lamenta que “muchas veces los hackers obtienen esos datos porque se los damos nosotros mismos: crean falsas tiendas online, o páginas web que suplantan a empresas legítimas.
“Muchos hackers son lo que diríamos ‘autónomos’ -explica Valencia-, informáticos que viven en países muy pobres como Yemen, Etiopía, Pakistán o incluso Gaza que idean maneras de sacarnos esos datos y luego los venden a tanto la pieza. En la dark web hay foros, parecidos a nuestro MilAnuncios, páginas como Fish and Pal, donde los ofrecen al mejor postor”.
Otras veces los hackers consiguen los datos bancarios de los clientes atacando a tiendas legítimas: en los últimos meses las principales tiendas del mundo han sido blanco de ciberataques, entre otras El Corte Inglés, Marks & Spencer, Alcampo, Co-op, Harrods y muchas marcas de lujo como Cartier, Louis Vuitton o Christian Dior.
La única manera de evitar ser la próxima víctima es prevenir, explica Recio. “Hay que mirar bien en qué web entramos, que sea la legítima de la tienda que buscamos, y no las muchas falsas que las imitan para robar nuestros datos.
Romper el doble factor de identificación
El peligro ha aumentado porque ahora ya hay estrategias para superar el doble factor de identificación. Valencia explica, por ejemplo, que miembros de las bandas se dedican a llamar por teléfono a las personas con altos saldos bancarios o de las que tienen indicios de tener gran poder adquisitivo. “En la llamada aseguran ser agentes de una compañía de la que somos clientes y nos dan todos nuestros datos, y todos son correctos, porque los han robado y nos dicen que ha habido un problema informático y que necesitan que autoricemos el pago de la última compra o de la suscripción. Y lo hacemos”.
Francisco Valencia señala que la vía más efectiva para evitar ser víctima de una ciberestafa es mantener nuestros datos personales y sobre todo bancarios fuera de Internet. Así, recomienda tener una cuenta de correo “B” para registrarse en todas las webs que lo exigen para acceder a sus servicios.
Y, sobre todo, “usar una tarjeta de crédito virtual. Ahora las tienen todas las entidades financieras. Son prepago, es decir las cargas con el importe de la transacción que vas a realizar, y de un solo uso. Otra precaución clave es tener contraseñas de un solo uso.
“A veces en las bases de datos robadas no está nuestra contraseña. Pero los hackers la obtienen porque acceden a otras bases de datos donde sí la hemos puesto, y en muchos casos es la misma”, explica Valencia. “Mucha gente tiene solo dos contraseñas: la difícil, que le exigen en el trabajo, y la fácil, que usa para todo lo demás.
Un mercado negro es, por definición, imposible de medir. Pero existen datos que sirven para estimar su dimensión o su actividad. La información de la Agencia Española del Medicamento y Productos Sanitarios (AEMPS), que presentó la semana pasada la memoria de actividad de 2011, no puede ser más clara: entre los años 2010 y 2011 el número de análisis practicados ha crecido un 93%, al pasar de 2.041 a un total de 3.936.
Este fenómeno lo alimenta básicamente el comercio paralelo que permite Internet, así como la dificultad de controlarlo, como destaca la directora de la AEMPS, Belén Crespo. «Es ilegal comprar cualquier tipo de fármaco por la Red, ya sea con prescripción o sin prescripción», advierte. Crespo recuerda que un medicamento ilegal es el que no ha sido aprobado por la AEMPS, por lo que «no cumple las condiciones de calidad, seguridad y eficacia».
Ello comprende un amplio rango de fármacos. Desde aquellos adquiridos en el extranjero, las dosis sobrantes que se revenden de segunda mano o los falsificados (las copias de preparados legales). Junto al incremento de la actividad del mercado negro, hay otra causa que explica el aumento de medicamentos ilegales analizados, según la AEMPS, un organismo dependiente del Ministerio de Sanidad.
Se trata del incremento de recursos destinado a controlar este negocio en la Red, tanto por la propia agencia como por las autoridades policiales y judiciales. La memoria presentada arroja otro dato muy ilustrativo de la situación por la que atraviesa la industria farmacéutica. El año pasado se aprobaron 1.934 medicamentos (un 40% más que en 2010). Pero lo más relevante es, sin embargo, que de esa cantidad, el 70% correspondió a medicamentos genéricos.
Mercado negro de certificados de vacunación
La picaresca en torno a la vacunación da para escribir un libro. El último capitulo viene de la mano de Check Point. Desde el mes de marzo, este fabricante de dispositivos y software de ciberseguridad ha observado un aumento del 257% en el número de vendedores que utilizan Telegram para anunciar tarjetas de vacunación falsas a aquellos «que no quieren vacunarse». A medida que aumenta la presión para vacunarse con la variante Delta, que se está extendiendo rápidamente, crece el mercado negro de estos certificados.
Por tan solo 100 dólares, cualquiera puede comprar certificados falsos de los CDC, del NHS y del COVID digital de la UE, entre otros. Los ciberdelincuentes están organizando sus servicios en grupos en Telegram, con algunos grupos que superan los 450.000 seguidores, ya que los vendedores consideran que Telegram es un medio mucho más eficiente para escalar la distribución.
Se pueden comprar certificados de vacunación para casi todos los países. La mayoría de los certificados fraudulentos se venden en países europeos. En marzo de 2021, el área de investigación de Check Point publicó un informe que detallaba por primera vez la tendencia de los «pasaportes de vacunas» falsos que se vendían online en la darknet. Desde entonces, los investigadores han seguido vigilando el mercado negro en busca de actividad en torno a supuestos servicios de coronavirus.
Los anuncios están destinados específicamente a las personas «que no quieren recibir la vacuna». Uno de las publicidades analizadas decía «estamos aquí para salvar al mundo de esta venenosa vacuna». Estos reclamos realzan la capacidad de viajar y trabajar libremente como beneficios de su producto. Además, los argumentos publicitarios afirman que sus tarjetas de vacunación están registradas y verificadas en el sistema del NHS y de los CDC online, así como en la base de datos de la UE.
Para realizar el pago, los ciberdelincuentes aceptan mayoritariamente pagos a través de PayPal y de criptodivisas (Bitcoin, Monero, Dogecoin, Litecoin, Ethereum y otras). En algunos casos, se aceptan tarjetas de regalo de Steam, Amazon y ebay. Ahora, Check Point ha detectado que la mayor parte de la actividad del mercado negro se centra en Telegram.
Los investigadores sospechan que el cambio a Telegram ha ayudado a los ciberdelincuentes a escalar sus esfuerzos de distribución, llegando a más consumidores y más rápido. «Llevamos todo el año estudiando la darknet y la aplicación Telegram en busca de servicios relacionados con el coronavirus. Ahora mismo, se pueden comprar tarjetas de vacunación falsas para casi todos los países. Lo único que hay que hacer es indicar el país del que se es y lo que se quiere.
Los vendedores están optando por anunciarse y hacer negocios en Telegram porque escala su distribución. El uso de Telegram es menos técnico en comparación con la red oscura y puede llegar a una cantidad desmesurada de personas, rápidamente. Creemos que el aumento del mercado se debe a la rápida propagación de la variante Delta y a la urgencia de que todo el mundo se vacune”, alerta Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point Software.
“En efecto, hay personas que no quieren vacunarse, pero que quieren las libertades que conlleva su certificado y estas recurren cada vez más a la darknet y a Telegram. Desde marzo, los precios de las tarjetas de vacunación falsas han bajado a la mitad y los grupos online de estos servicios fraudulentos contra el coronavirus cuentan con cientos de miles de seguidores.
El colapso de la Seguridad Social ha desembocado en un mercado negro de citas. Uno de sus principales reclamos son las citas para gestionar la pensión de jubilación."Yo no me puedo creer que no sepan solucionarme si tengo derecho a jubilarme o no", advierte Teresa, una mujer que lleva semanas esperando para una cita. Además, advierte que el día a día de la Seguridad Social es el de los teléfonos colapsados y las colas interminables.
A raíz de esto, surge un mercado paralelo que en su mayoría se encuentra en locutorios o por Internet. Estos se ofrecen a buscar citas por los jubilados a cambio de un precio que puede llegar hasta los 50 euros. En apenas unos segundos, estos profesionales logran sacar una cita que, pese a ser gratuita, en muchas ocasiones es prácticamente imposible de conseguir.