Cualquiera puede comprar casi cualquier cosa en la Dark Web. La base oculta de Internet es más conocida por sus mercados clandestinos que hacen un comercio enérgico en la venta de drogas, armas, y los detalles e identidades de millones de personas.

Es esta última categoría la que ha tomado un giro interesante, con algunos ciberdelincuentes que ahora se incluyen a sí mismos entre sus vertederos de datos.

Sí, se autodefine. A principios de año, la firma israelí de investigación en la Dark Web Sixgill notó una descarga de datos a la venta en un foro de la dark web, en gran parte en ruso. Lo que distinguió este vertedero de los miles de otros disponibles es que cada registro iba acompañado de una autofoto (selfie) del usuario.

Nos encontramos con un anuncio publicitario en un foro de acceso cerrado que es predominantemente ruso, donde alguien estaba vendiendo 100.000 documentos por 50.000 dólares «, dijo Aled Karlinsky de Sixgill, hablando exclusivamente al TNW. «Estos documentos incluyen su identificación o pasaporte, prueba de domicilio y, de manera inusual, un documento personal.»

Los vertederos de datos que contienen diferentes formas de información no son nada nuevo. Sin embargo, este fue uno de los primeros casos en los que Sixgill se vio a sí mismo en medio de la pelea.

Entonces, ¿cuál es el punto? Las autofotos (selfies), por sí solas, tienen escaso uso para un adversario. Sin embargo, combinados con otras pruebas de información más tradicionales, podrían permitir a un agresor abrir cuentas bancarias y acceder a crédito a nombre de una víctima.

Algunos bancos permiten a los clientes abrir cuentas mediante la carga de escaneos de sus documentos de identificación, junto con una autofoto, con el fin de verificar su identidad. Esto es particularmente común cuando los bancos intentan reemplazar los servicios tradicionales de sucursales con alternativas en línea. Esto es especialmente cierto en el caso de los bancos en línea que han surgido en los últimos años.

Según Sixgill, la persona que vendió el vertedero también lo ofreció en trozos más pequeños y económicos. También identificaron a otro mal actor que vendía identidades de forma fragmentada. Por sólo $70 dólares le darían los documentos de identificación de un individuo, más una autocartera.

Karlinsky no pudo identificar la fuente del vertedero. Lo más fácil de obtener una autofoto es desde teléfonos que han contraído malware «, dijo. «La otra manera sería mantener un sitio web que guarde información privada de la gente, y/o hackear tal sitio web.»

Este último escenario parece probable. Una fuente común para las fugas de documentos son las plataformas de almacenamiento en la nube inadecuadamente aseguradas, como Amazon S3.

A principios de este año, los pasaportes y las identificaciones con foto de 119.000 clientes de FedEx fueron identificados en un servidor de acceso público de Amazon S3. El servidor fue operado por Bongo International, que la empresa de mensajería adquirió en 2014, cambió de marca a FedEx Cross-Border International en 2015, y finalmente se suspendió en 2017.

Investigadores de la firma de seguridad alemana Kromtech encontraron documentos de identidad de países de todo el mundo, incluyendo Estados Unidos, Australia, Canadá y varios países europeos. Estos estaban acompañados de formularios de envío que incluían información de contacto y dirección.

No hay ninguna sugerencia de que un tercero malintencionado haya accedido a los documentos de FedEx. Sin embargo, este ejemplo pone de relieve cómo una infraestructura en la nube mal configurada puede dar lugar a que documentos profundamente sensibles terminen en las manos equivocadas.

A Karlinsky no le preocupa que la gente publique fotos en Instagram con tonos de sepia, pero recomienda encarecidamente que la gente sea más exigente a la hora de demostrar quiénes son en línea. Antes de que usted entregue sus documentos y su fotografía, él recomienda que la gente haga las siguientes preguntas:»¿A quién le está probando su identidad? ¿Vale la pena?»

Yo no llegaría tan lejos como para tomarme autofotos a mí mismo con mi identificación «, agregó. «También me abstendría de tener fotos de su identificación en su teléfono, en caso de que su teléfono contrajera malware.».

Fuente: TNW