joe ordenadoCibercorresponsal, BBC World Service

BBC Sue, una mujer sonriente con una gorra de béisbol, está junto a un caballo. El caballo está más cerca de la cámara, y al lado sólo se ven sus ojos y su frente.bbc

Sue vio su vida digital secuestrada por estafadores

Las violaciones de datos se están volviendo tan comunes que puede resultar difícil saber cómo reaccionar cuando le sucede a usted. A menudo es fácil ignorarlo, pero existe un riesgo.

Ser víctima de una violación de datos aumenta las posibilidades de ser blanco de delincuentes y estafadores.

Sue le contó a la BBC cómo los estafadores la persiguieron. Descubrimos que sus datos se habían filtrado en línea.

Fue víctima de lo que se conoce como un ataque de intercambio de SIM, en el que los estafadores engañan a un operador de red haciéndole creer que es el titular de la cuenta para obtener una nueva tarjeta SIM para un dispositivo móvil.

Lo usaron para hacerse cargo de casi todas sus cuentas en línea a través de su teléfono. Dijo que la experiencia fue “horrible”.

«Los estafadores se apoderaron de mi cuenta de Gmail y luego me bloquearon el acceso a mis cuentas bancarias porque no pasaron los controles de seguridad», dijo.

A Sue también le abrieron una tarjeta de crédito a su nombre y los delincuentes compraron más de £ 3,000 en vales.

Le llevó varios viajes a las sucursales de su banco y a su operador de telefonía móvil para recuperar sus cuentas.

Y los ladrones no habían terminado.

«Los delincuentes también hicieron algo siniestro después de irrumpir en mi WhatsApp», dijo. “Enviaron mensajes a grupos ecuestres advirtiéndoles que había gente a punto de apuñalar a los caballos”.

Buscamos en bases de datos de piratas informáticos utilizando herramientas en línea como haveibeenpwned.com y Constella Intelligence para ver si la información de Sue alguna vez había sido comprometida.

Su número de teléfono, dirección de correo electrónico, fecha de nacimiento y dirección física quedaron expuestos en violaciones de datos en la plataforma de juegos PaddyPower en 2010 y en la herramienta de validación de correo electrónico Verifications.io en 2019. Otras compilaciones de registros pirateados también incluyeron sus datos de contacto.

Hannah Baumgaertner, de la empresa cibernética Silobreaker, dijo que los atacantes probablemente utilizaron datos personales filtrados en violaciones anteriores para llevar a cabo el ataque Sim Swap.

«Una vez que tuvieron acceso al número de teléfono de Sue, pudieron interceptar los códigos de seguridad enviados para verificar su identidad en su cuenta de Gmail», explicó.

Netflix secuestrado

Pero los estafadores no siempre buscan grandes ganancias.

Fran, de Brasil, le dijo a la BBC que descubrió que un usuario se había registrado en su cuenta de Netflix y aumentó su suscripción mensual.

“Me cobraron 9,90 dólares (7,50 libras esterlinas) en mi tarjeta de pago, aunque no había realizado esta compra”, dijo.

“Inmediatamente me comuniqué con mi familia para ver si alguien había agregado otro perfil a la cuenta que compartimos, pero todos dijeron que no”.

Fran fue víctima de una estafa común en la que un parásito pirateó su cuenta de Netflix.

No está claro exactamente cómo accedieron a su cuenta y el turbio mundo del cibercrimen significa que es difícil determinar si una sola violación de datos condujo a una estafa.

Pero descubrimos que la dirección de correo electrónico de Fran había quedado expuesta en al menos cuatro violaciones de datos, incluidos ataques a Internet Archive (2024), Trellov (2024), Descomplica (2021) y Wattpad (2020), según el sitio web haveibeenpwned.com.

La contraseña que usó para su cuenta de Netflix no se encuentra en ninguna base de datos pública, pero puede estar en otras.

«Existe un mercado enorme para las cuentas pirateadas de Netflix, Disney y Spotify», dijo Alon Gal, cofundador de la firma de ciberseguridad Hudson Rock.

«Este es un punto de entrada fácil para el cibercrimen, ya que convierte la filtración de datos de una empresa en un abuso generalizado y continuo».

Anuncio de Hudson Rock Marketplace que vende cuentas pirateadasRoca Hudson

Los foros permiten a las personas vender cuentas de servicios de suscripción pirateadas a bajo precio sin que los propietarios lo sepan

Los estafadores suelen combinar información privada robada con información pública.

Leah, que no quiso dar su nombre real, dirige una pequeña empresa que utiliza anuncios de Facebook y recientemente fue blanco de una estafa de larga duración que aparentemente se originó en Vietnam.

«Recibí un correo electrónico de phishing de ‘notificaciones@facebookmail.com’ diciendo que me debían un reembolso. Hice clic en el enlace e ingresé mis datos en la página Meta falsa y los estafadores pudieron tomar el control de mi cuenta comercial a pesar de que tenía autenticación de dos factores.

«Luego publicaron videos de abuso sexual infantil bajo mi nombre, lo que hizo que me bloquearan. Incluso me prohibieron usar Messenger para quejarme ante Meta».

En los tres días que le tomó a Leah recuperar su cuenta comercial, los estafadores habían publicado anuncios por valor de cientos de dólares pagados por ella. Finalmente recuperó el dinero.

Alberto Casares de Consstella Intelligence buscó en bases de datos de piratas informáticos y descubrió que la dirección de correo electrónico de Leah y otros detalles se obtuvieron durante las violaciones de datos en Gravatar (2020) y Qantas de este año (violación de terceros).

«Parece que los atacantes utilizaron una técnica común de vincular la dirección de correo electrónico privada robada de Leah con su número de trabajo que figura públicamente para lanzar un ataque de phishing dirigido contra la cuenta de correo electrónico».

Podrían haberlo hecho ellos mismos o utilizar un intermediario de datos para pagar a varios objetivos potenciales, dijo.

Violaciones masivas de datos

Las filtraciones masivas de datos están alimentando estafas y ataques secundarios en todo el mundo, y solo en 2025 se producirán varios ataques de alto perfil.

Según el Observatorio de violaciones de datos de Proton Mail, hasta ahora en 2025 se han descubierto 794 violaciones verificadas de fuentes identificables, con más de 300 millones de registros individuales expuestos.

«Los delincuentes pagan un alto precio por los datos robados porque constantemente generan ganancias mediante fraude, extorsión y ataques cibernéticos», afirmó Eamonn Maguire, de la empresa.

Aparte de notificar a los clientes y a los reguladores sobre las infracciones, no existen reglas estrictas y rápidas sobre lo que las empresas deben hacer por las víctimas.

Ofrecer seguimiento crediticio gratuito, por ejemplo, alguna vez fue común.

El año pasado, Ticketmaster (que vio a 500 millones de personas afectadas por una infracción) sugirió esto a algunas personas.

Pero este año, menos empresas lo están haciendo. Marks and Spencer y Qantas, por ejemplo, no ofrecían estos servicios a sus clientes.

La cooperativa optó por ofrecer a las víctimas un vale de £10 si gastaban £40 en sus tiendas.

Algunos están tratando de buscar reparación en los tribunales, con una tendencia creciente hacia las demandas colectivas, aunque son notoriamente difíciles de ganar porque es difícil demostrar cómo se vieron afectados los individuos.

Pero algunos lo han logrado.

T-Mobile comenzó a pagar a los clientes afectados por una importante violación de datos en 2021 que afectó a 76 millones de clientes.

La empresa acordó pagar 350 millones de dólares, con pagos que oscilaban entre 50 y 300 dólares.

Una fina pancarta gris que promociona el boletín News Daily. A la derecha, hay un gráfico que representa una esfera naranja rodeada por dos medias lunas concéntricas en un degradado rojo anaranjado, como una onda sonora. La pancarta dice:

Reciba nuestro boletín principal con todos los titulares que necesita para comenzar el día. Regístrese aquí.

Enlace de origen

RELATED ARTICLESMORE FROM AUTHOR