La venta ilegal de datos personales de usuarios en internet es un problema común. En la actualidad, cada persona tiene una identidad digital que incluye no solo un nombre de usuario y contraseña, sino también un comportamiento en línea que puede ser utilizado para identificarla. Genesis Market era una tienda en la Dark Web que desde 2018 traficaba con identidades digitales de usuarios reales.
Sede de Europol en La Haya, donde se coordinó la operación contra Genesis Market.
¿Cómo funcionaba Genesis Market?
Este mercado ofrecía bots que se utilizaban para robar datos de usuarios a través de malware que infectaba los dispositivos o mediante ataques que daban acceso a las cuentas de servicios digitales. Así, proporcionaban las bases de datos robadas y las herramientas para el uso de los bots. Los usuarios podían buscar bots útiles en función de varios criterios, como el país donde se encontraba el dispositivo infectado o los servicios en línea a los que querían acceder.
Todo esto era posible por un precio que oscilaba entre los 0,70 centavos de dólar y varios cientos de dólares, dependiendo de la cantidad y la naturaleza de los datos de la víctima filtrados, haciendo que la compra de bots útiles fuera accesible para cualquier persona. Al comprar un bot, los delincuentes obtenían acceso a datos como huellas dactilares, cookies, inicios de sesión guardados y datos de auto-completado de formularios.
Además, a diferencia de otros mercados delictivos, Genesis Market era accesible en la web abierta, aunque oculto a las fuerzas de seguridad tras un velo de solo invitación.
🔐¿Cómo proteger tu identidad digital?🔐 Gestión de la huella digital.
Aviso en el sitio web de Genesis Market tras su desmantelamiento.
El Desmantelamiento de Genesis Market
Una operación policial sin precedentes en la que han participado 17 países ha dado como resultado el desmantelamiento de Genesis Market, uno de los mercados más peligrosos de venta de credenciales de cuentas robadas a piratas informáticos de todo el mundo. Agentes de la Policía Nacional y de la Guardia Civil han participado en esta operación apoyada por EUROPOL.
La plataforma fue desactivada el 4 de abril, coincidiendo con la detención de los usuarios que habrían utilizado la información facilitada para acceder de forma fraudulenta a diversos servicios online, suplantando la identidad de sus víctimas. A resultas de la operación se ha detenido a 119 personas y practicado 208 registros.
La investigación ha sido encabezada por el FBI y la Policía Holandesa, y ha contado con el apoyo de Europol, que estableció un Centro de Control en sus instalaciones de La Haya para centralizar y agilizar las comunicaciones entre las naciones participantes. Debido a los diversos horarios de huso que tuvo que cumplir cada uno de los países que han participado en esta investigación, la dispersión geográfica de las naciones participantes ha planteado un tremendo desafío de coordinación.
Datos Clave de Genesis Market
Para dar una idea de la magnitud del mercado de credenciales clausurado, basta decir que los datos a la venta ascendían a más de 1,5 millones de bots, que incluían información de más de 2 millones de identidades a nivel mundial.
| Característica | Descripción |
|---|---|
| Inicio de Operaciones | 2018 |
| Número de Bots | Más de 1.5 millones |
| Identidades Comprometidas | Más de 2 millones a nivel mundial |
| Precio por Bot | Entre 0.70 USD y varios cientos de dólares |
| Países Participantes en el Desmantelamiento | 17, incluyendo España |
| Detenciones | 119 personas |
| Registros | 208 |
Técnicas y Amenazas Similares
La información recopilada hasta el momento sugiere que, aunque Genesis Market fue eliminado en abril de 2023, puede haber indicios de que algunas de sus técnicas y herramientas se están utilizando nuevamente en ataques posteriores. Se detectaron operaciones maliciosas utilizando técnicas similares a las empleadas por Genesis Market. El actor de amenazas detrás de estas operaciones abusó de Node.js como plataforma para la puerta trasera, firmas de código de validación extendida (EV) para evadir defensas, y posiblemente Google Colab para alojar sitios de descarga optimizados para motores de búsqueda.
La atención especial se debe prestar a los archivos ejecutables y a las extensiones de archivo inusuales para prevenir ataques de malware.