Investigación
Escandaloso: así funciona la mafia que comercia con los datos personales. Políticos y criminales los compran. Aquí el peligro
SEMANA le cuenta cómo se negocia con sus datos personales, cuánto cuesta, dónde se consigue y quién comercializa la información. Tenga cuidado, porque todo está llegando a manos criminales.
En el mundo moderno hay algo más valioso que el oro: la información de cada habitante del planeta. Con ella se pueden hacer múltiples transacciones. Los delincuentes saben cómo sacarle jugo a su número de teléfono, dirección, claves de correos, ubicación, datos bancarios, etc.
“¿Qué busca?”, pregunta Martha, una mujer de aproximadamente 55 años, que se para en la esquina de la carrera 15 con calle 76 en Bogotá, el popular sector de Unilago. “Bases de datos para montar un call center”, respondió la transeúnte. La mujer, sin dudarlo, la coge del brazo y la lleva hasta donde está el hombre que asegura tener la información de miles de colombianos.
A él no le importa quién pretende acceder a esa información y mucho menos para qué la quiere. Asegura tener en sus manos datos confidenciales de al menos 50.000 personas. “Mire, esta es la base de datos de los clientes de Davivienda, está la de Bancolombia, Grupo Aval. La de acá es la de Claro y también le tengo la de los usuarios de Movistar”, dice el hombre, orgulloso, mientras con su dedo índice desliza la pantalla de su celular y le da clic a cada una de ellas para que verifique que es real.
Esas bases de datos contienen hasta el número de las tarjetas de crédito, pero hace hincapié en la de los pensionados. Es una de las más apetecidas, teniendo en cuenta que los adultos mayores son una presa fácil del engaño, pues pocos saben de tecnología, tienen la paciencia para escuchar a su interlocutor y suelen dar información confidencial con mayor facilidad. Además, revisan con poca frecuencia el saldo de sus tarjetas, lo que facilita que se les debite cada mes montos sin que ellos entiendan qué está sucediendo.
Tendencias
Se calcula que en Colombia una persona recibe al mes 11 llamadas de spam. Eso lo ha manifestado públicamente Truecaller, una plataforma que permite identificar a quién pertenece la línea de teléfono. Según información recopilada por los mismos usuarios y estudios realizados por compañías de seguridad tecnológica, ocho de esas llamadas fueron efectuadas por delincuentes.
De acuerdo con la Policía Nacional, la cifra de estafas telefónicas aumentó en un 20 por ciento durante 2023, superando los 200.000 casos. La cifra de pesos hurtados asciende a los 100.000 millones. El CAI virtual de la Policía reporta que el año anterior se registraron 59.033 denuncias por delitos informáticos. Para 2024, se registra una tendencia en la reducción del delito, con 11.746 denuncias. Las ciudades con mayor afectación son Bogotá, Medellín, Cali, Barranquilla y Cartagena.
“Deme 1.200.000 pesos y se lleva los 50.000 registros”, dice quien trafica con la información en la capital del país. Regateando, se consigue un descuento de hasta el 50 por ciento. Esas son las mismas bases de datos que terminan en las manos de extorsionistas que llaman desde las cárceles. El congresista Julio César Triana, de Cambio Radical, reveló que la extorsión en Colombia aumentó más del 12 por ciento en el último año, llegando a cifras récord en las dos décadas más recientes. En departamentos como el Huila, el incremento de este delito alcanzó casi el 40 por ciento.
La información que comercializan es utilizada con diferentes fines. “Yo le vendí a los políticos en campaña toda la información para que llamaran y mandaran mensajes diciendo que votaran por ellos”, confiesa el vendedor de la zona de Unilago. Quien compra la base de datos tiene derecho a una actualización cada tres meses y solo debe pagar 100.000 pesos adicionales, como una especie de garantía de la compra.
El vendedor admite que tiene fichas claves en los bancos y en las entidades que filtran todo lo que se necesite. Así es como funciona el negocio. Incluso se han creado grupos por Telegram en los que subastan el contenido que debería ser reservado y bien custodiado. Hasta historias clínicas venden por este medio. SEMANA conoció que dicha app de mensajería instantánea es la única que no obedece los requerimientos de las autoridades cuando se denuncian presuntas irregularidades.
Pero las compañías no están solo a merced de trabajadores deshonestos. También son víctimas de sofisticados ataques que incluyen el secuestro de datos. Ransomware se llama esa modalidad. Los delincuentes logran entrar al servidor y bloquean el acceso. Es cuando la gente del común escucha que hackearon la página de la entidad o que tienen problemas con el sistema. Lo que está pasando en ese momento es que los directivos de las entidades empiezan a ser extorsionados. “Si no paga, no vuelve a ver sus datos, y, por el contrario, empezaremos a publicar”, son algunas de las amenazas que reciben.
A ninguna empresa le gusta que se sepa públicamente que los datos de sus clientes están en manos de criminales, así que algunos acceden al pago y otros activan los protocolos para restaurar el sistema. Pero, independientemente de que recuperen las cuentas, el delincuente ya queda con una copia de toda la información, la misma que vende en el mercado negro.
Estos son algunos de los casos de compañías víctimas de ransomware en los últimos tres años, cuyo impacto golpea hasta el 80 por ciento de la disponibilidad de la información en sus servidores: el Invima, el 6 de febrero de 2022; nueve meses después, el ataque fue contra Colsánitas, afectación de 30 máquinas virtuales que incluían aproximadamente 500 servidores; el 13 de diciembre de ese mismo año, la víctima fue Empresas Públicas de Medellín (EPM) y sus usuarios.
Uno de los ataques más representativos ocurrió en septiembre de 2023. IFX Networks, un proveedor de servicios en la nube, sufrió por estos ciberdelincuentes y afectó, al menos, 50 entidades estatales, incluyendo al Ministerio de Salud y al Consejo Superior de la Judicatura, más el perjuicio para 762 firmas en Latinoamérica. Según investigadores de la Policía, el responsable de este ciberataque sería el colectivo Ransomhouse.
La Superintendencia de Industria y Comercio (SIC) advierte que la venta y compra de bases de datos es irregular cuando no se cuenta con la autorización de los titulares para este fin, pues se estaría incurriendo en un indebido tratamiento de datos personales. De hecho, desde 2018 a la fecha, la SIC ha impuesto 34 sanciones a entidades que filtraron datos, y las multas suman más de 1.700 millones de pesos. Algunas han tenido cierre definitivo.
No toda la culpa de la filtración de datos es responsabilidad de las entidades. ¿Sabía que cada vez que usted descarga una aplicación le da permiso a todos los accesos, que lo dejan casi desnudo frente a esas apps? Sí, usted está dando acceso a la galería de fotos, correos electrónicos, el micrófono, la cámara, los contactos, su ubicación. Con todo eso, se arma una base de datos, la misma que venden en el mercado ilegal.
Incluso, se roban las cookies. ¿Y qué obtienen con ellas? Nada más y nada menos que el usuario y la contraseña del inicio de sesión de las diferentes páginas, y muchas de esas están enlazadas con el correo electrónico. Ahí se guardan fotocopias de cédula, extractos bancarios y muchos otros datos que resultan ser un manjar para los delincuentes.
Por esa razón, la recomendación en este caso es poner doble autenticación a cada aplicación. Ahora más que nunca, usted y su información son una mina de oro.