France Travail, la marca Boulanger, el Fondo de Seguros de Vejez o, más recientemente, el operador Free han sido pirateados desde principios de 2024.
¿Qué pasa con los millones de datos personales robados de esta forma?
Los piratas informáticos ofrecen sus conocimientos a TF1.
Sigue la cobertura completa
Las 8 p.m.
Marie-Madeleine Sabbi, suscriptora de Free, lo entendió rápidamente. “¿Te das cuenta de la ansiedad que vivimos? Tener miedo de abrir un email, una llamada telefónica… Es lo desconocido. Tienes a alguien rondando por ahí con todos tus datos de contacto, pero no sabes quién”describe el jubilado al micrófono de TF1, en el informativo de las 20.00 horas visible al principio de este artículo. Desde la semana pasada y el mensaje enviado por la operadora, ella y su marido están convencidos de que forman parte de los 19,2 millones de clientes cuyos datos personales han sido robados. Último ciberataque de una larga serie, que afectó a France Travail, a la marca Boulanger e incluso al Fondo de Seguros de Vejez sólo en 2024.
Pero en realidad, ¿qué pasa con esta información después de haber sido robada? El autor del hackeo al grupo Iliad, propietario de Free, ya ha indicado que había revendido todos estos datos por 160.000 euros. Clément Domingo, alias SaxX, sólo tardará unos minutos en encontrar 100.000 de ellos, de libre acceso en Internet. “La información más crítica son los datos bancarios, incluidos Iban y el famoso BIC, que se utilizan para toda una serie de operaciones”indica el autoproclamado “hacker amable”, un experto en ciberseguridad y TI que ayuda a piratear ONG humanitarias.
-
Leer también
Robo de datos gratis: la información personal de los clientes (ya) se vende, anuncia el hacker
Frente a su pantalla y frente a nuestra cámara, demuestra que efectivamente se pueden realizar retiros fraudulentos de su cuenta bancaria solo con estos datos: “Proporcionamos diversa información, como aquí con el número de Iban, y luego, todo lo que queda por hacer es pagar. Mira, se ha emitido una cantidad”.
Tiphaine Romand-Latapie, otro experto en ciberseguridad, en este caso en nombre de la empresa especializada Synacktiv, recomienda, en tal caso, alertar inmediatamente a su asesor bancario: “Lo único que puedes hacer es estar atentoexplica. Esto significa monitorear su cuenta para verificar que no haya retiros no autorizados. Monitoreando todo, incluso pequeñas cantidades. Es importante. Durante trece meses podrás oponerte y el dinero te será devuelto a tu cuenta.”
Generalmente son otros piratas quienes compran los datos robados, para rentabilizar ellos mismos la inversión explotando su contenido. “A la vista del precio de compra anunciado por el autor del ciberataque contra Free, es probable que la persona que compró el archivo informático lo conserve por un tiempoespecifica a TF1info Baptiste Robert, alias fs0c131y, investigador de ciberseguridad y ‘simpático hacker’. Luego, el hacker los venderá al por menor a otros hackers, quienes luego los revenderán a otros”. Si ya se puede acceder a 100.000 de estos datos recién robados es porque probablemente se han filtrado en el pasado, lo que les ha hecho perder su valor en este mercado negro 2.0.
-
Leer también
Fuga masiva de datos en Free: ¿cómo reaccionar si te ves afectado?
Todos están destinados a ser utilizados para intentos de fraude, generalmente mediante robo de identidad o como parte de campañas de phishing. “Los piratas informáticos utilizarán la información bancaria para personalizar y hacer que sus intentos de estafa sean más convincentes.continúa Baptiste Robert. Las personas afectadas por una filtración de datos recibirán correos electrónicos y mensajes de texto invitándoles a hacer clic en un enlace fraudulento, con el objetivo de recuperar sus nombres de usuario y contraseñas, u otros datos bancarios. Tendremos que estar más atentos”.
Si el Banque de France garantiza que las RIB (incluidos, en particular, el Iban y el BIC) “no es riesgoso en sí mismo”debido a que debe firmar un mandato de domiciliación bancaria para que alguien pueda retirar dinero de su cuenta, tenga en cuenta que un estafador puede registrarse como emisor de domiciliación bancaria en un proveedor de servicios de pago, para luego falsificar mandatos de domiciliación bancaria con Iban obtenidos ilegalmente. El estafador también puede contratar suscripciones y servicios pagados mediante domiciliación bancaria. En cualquier caso, la vigilancia también vale la pena en estos casos: todo el mundo dispone de un plazo de ocho semanas para impugnar cualquier domiciliación bancaria, incluso después de haber utilizado un mandato de domiciliación bancaria, y así obtener el reembolso. “incondicionalmente”subraya el Observatorio de la seguridad de los medios de pago (OSMP).
