Un joven de 19 años fue detenido en Igualada, Barcelona, por el robo masivo de 64 millones de datos privados de empresas y organismos españoles y franceses. Esta práctica, en auge y a menudo subestimada, revela que los ciberdelincuentes no siempre están lejos. Los datos sustraídos, que incluyen desde información personal hasta bancaria, se venden en un mercado negro principalmente a compradores españoles para estafas, marketing personalizado e incluso espionaje corporativo. Los «hackers» suelen ser jóvenes motivados por dinero, aburrimiento o el «pedigrí» de la detención, aprovechando penas leves y vulnerabilidades empresariales. La Policía insiste en la necesidad de concienciar a usuarios y empresas sobre la importancia de la ciberseguridad y el uso de contraseñas únicas.
La Policía ha logrado ponerle el guante a un ciberdelincuente, apenas un joven de 19 años de Igualada, Barcelona, que se dedicaba a ingresar en empresas y robar datos personales de miles, o mejor dicho, millones de españoles. Este accionar, que creíamos casi privativo de latitudes lejanas o de películas de ciencia ficción, se revela como una práctica habitual y, lo que es peor, creciente en nuestra propia tierra.
Este ciberdelincuente español, según fuentes de la investigación, ha sustraído datos de empresas y organismos públicos de España y de una firma francesa. «Yo me he visto ya en seis bases de datos, pero a mí no me llama la atención porque ya sé lo que hay», confiesa uno de los agentes encargados de la investigación a EL PAÍS, dejando entrever la magnitud del problema y la resignación ante un sistema que parece no poder contener la sangría digital. Es un mundo oscuro, pero menos lejano de lo que nos gusta creer, y cuyas claves invitan a una seria reflexión.
El valor incalculable de la información: ¿quién se beneficia de nuestros datos?
Se podría pensar que, una vez robados, estos millones de datos terminan en los rincones más recónditos de la dark web, operados por mafias internacionales. Y si bien algo de eso hay, la realidad es mucho más cercana y, quizás, más inquietante. Los datos de ciudadanos españoles tienen un alto valor por ser de un país occidental, una «mercadería» digital de primera calidad. Pero, aquí viene la sorpresa, esa que te sacude: «Al final el comprador suele ser español también», revelan fuentes de la investigación. Sí, la «viveza criolla» también se modernizó.
El uso más evidente y alarmante es para las estafas. El viejo «cuento del tío» se reinventó y ahora llega a través de SMS, correos electrónicos o llamadas con información precisa sobre nuestra vida. Pero el ingenio para el mal no tiene límites. «Se pueden vender para hacer campañas de marketing», dice una fuente policial. Esas llamadas que saben tu nombre, tu compañía de teléfono, tu banco, no son un golpe de suerte, son el fruto de una base de datos filtrada.
Perfilados a medida: la sofisticación de la estafa digital
La cosa se pone todavía más compleja. «También hemos detectado que últimamente se están haciendo ya a un precio más caro perfilados de personas», añaden los investigadores. Esto no es solo un nombre y un número de DNI; es un combo que puede incluir lugar de residencia, nivel de ingresos, hábitos de consumo. Hay programas que recogen y unifican datos de una misma persona de distintas fuentes: «Así saben si tengo por ejemplo un seguro con una empresa, que tengo un coche, que vivo en una dirección concreta o que trabajo en un sitio específico», detallan fuentes de la investigación. Incluso, grupos criminales muy especializados compran esta información para atacar a un objetivo específico. Un verdadero «traje a medida» para el delito.
«Es típico usar estas filtraciones para obtener toda la información posible sobre una víctima», advierte Sergio Pastrana, profesor de Informática de la Universidad Carlos III (Madrid). Estos ataques, que se conocen como «ingeniería social avanzada», consisten en adaptar el mensaje para hacerlo irresistible, y los datos robados son el combustible de esa estrategia.
¿Y la competencia desleal? Las fuentes policiales lo consideran, por ahora, «un mito», aunque reconocen que la información sirve para «conocer a la clientela de otros y poder hacer contra ofertas». Sin embargo, el investigador Guillermo Suárez-Tangil, del instituto Imdea Networks (Madrid), sí tiene pruebas concretas. «Puedo confirmar que lo he visto. Hace poco me llamaron personalmente, en teoría, de mi operador de telefonía móvil. Sabían cuál era mi número de teléfono, mi compañía y mi nombre, claramente por un perfilado con datos robados. Luego llegó la segunda llamada de otra presunta compañía», explica. La frontera entre una estafa directa y una maniobra de marketing agresiva, con información ilícita, parece cada vez más permeable.
La nueva cara del crimen: ¿quiénes son los «hackers» de hoy?
La imagen del hacker solitario, genio informático y casi un fantasma, dista de la realidad que encuentran los investigadores. El joven de Igualada, este muchacho de 19 años que «se aburría» mientras estudiaba una FP de informática, es el ejemplo de un perfil que se repite. «Tenemos al menos ya cuatro o cinco detenidos en España y alguno más que nos quedará por hacer seguro», afirman fuentes policiales.
Son «chavales jóvenes que empezaron muy jóvenes, con 14, 15, 16 años, con lo típico, a meterse por internet a investigar». Tienen sus propios foros, comparten «scripts» (pequeños programas), descubren vulnerabilidades. A veces, incluso, se unen para lanzar un ataque coordinado. Otros, más en la onda de las redes sociales, buscan la notoriedad: «Hay alguno que cuando lo hemos detenido ha colgado en Instagram la hoja de información de derechos», revelan los investigadores. Una suerte de «pedigrí» criminal, una insignia que grita: «ya soy malote, ya tengo la chapa de una detención». La vanidad digital, incluso en el delito.
El motivo principal, claro está, es el dinero. «Es muy rentable. Hemos visto billeteras frías [dispositivos para guardar criptoactivos fuera de internet] de un par de millones de euros. El mayor caso que detectamos fue de cinco millones de euros», confiesan desde la investigación. Cifras que harían salivar a cualquier ladrón de guante blanco. No se trata de una única venta, sino de un trabajo persistente y acumulativo. «He visto cómo se venden bases de datos robadas por mucho dinero», confirma Suárez-Tangil, aunque las negociaciones y los montos suelen manejarse bajo un hermético manto de secretismo.
Lo más preocupante son las consecuencias legales. «Son infracciones con penas muy bajas», señalan las fuentes policiales, que hablan de delitos contra la propiedad, daños informáticos y contra la intimidad, con castigos que van de 2 a 4 años. Un riesgo relativamente bajo para un botín potencialmente muy alto. Y, por si fuera poco, el «horario laboral» es inmejorable para el sigilo: «Lo hacen es viernes por la tarde, viernes noche, sábado noche, cuando saben que las empresas están vacías y nadie se va a dar cuenta». El fin de semana del «curro» ajeno, mientras otros desconectan.
Nuestra parte en el dilema: ¿cómo protegemos lo que es nuestro?
Ante esta avalancha de datos robados y ciberdelincuentes que se reproducen, la pregunta que surge es fundamental: ¿qué podemos hacer nosotros, los usuarios de a pie, para no terminar siendo parte del botín? «Hay que concienciar de que no se den datos a cualquier empresa, así de fácil», sentencia uno de los encargados de la operación. Parece una obviedad, pero ¿cuántas veces entregamos nuestra información sin pensarlo dos veces, por una promoción, un descuento o simplemente por pereza?
Y la obsesión con las contraseñas, por favor. «Hemos visto que hay gente que usa la contraseña del trabajo en Netflix y en el gimnasio». Una única llave para todas las puertas, un error que, en el mundo digital, puede ser catastrófico. La «comodidad» a menudo es la puerta de entrada a un grave problema de seguridad.
Pero la responsabilidad no recae solo en el usuario. Las empresas, grandes y pequeñas, tienen un rol crucial. Deben invertir más, y de verdad, en ciberseguridad. Porque a veces, el eslabón más débil no es un empleado distraído, sino una sucursal con un ordenador obsoleto o un software desactualizado, la brecha por donde los ciberdelincuentes se infiltran y se llevan todo. Al final, en esta batalla digital, somos todos parte del problema o de la solución. La pelota, como siempre, está de nuestro lado y del de quienes nos prometen «seguridad» en un mundo que se empeña en demostrarnos que nada es del todo seguro.
