Durante la última década, nos han educado para proteger nuestros números: el número de la tarjeta de crédito, el número de seguridad social, el PIN del cajero. Hemos aprendido a bloquear tarjetas en segundos desde una app bancaria cuando vemos un movimiento extraño. El cibercrimen, frustrado por estas medidas de seguridad cada vez más robustas, ha decidido cambiar de estrategia. Ya no solo quieren tu dinero de forma directa; ahora quieren tu vida. O, mejor dicho, el registro digital de tu vida.
El «Santo Grial» del mercado negro en 2025 no es una VISA Platino clonada; es el historial detallado de tus compras en Amazon, en la farmacia online o en tu tienda de ropa favorita. ¿Por qué? Porque una tarjeta se cancela y se sustituye, pero tus hábitos, tus enfermedades, tus vicios y tus gustos son permanentes. Son la llave maestra para la ingeniería social perfecta.
Para entender la magnitud de este cambio de paradigma, decidí no limitarme a los informes técnicos que suelen ser fríos y distantes. Me senté a conversar con Rafael Eladio Núñez Aponte, un veterano en la trinchera de la seguridad digital, para diseccionar qué está pasando realmente detrás de las pantallas y por qué nuestros recibos digitales son tan codiciados.
Fuente: https://www.rosario3.com/tecnologia/Por-que-los-hackers-quieren-nuestros-datos-20211030-0005.html
El perfilado perfecto: Cuando el hacker te conoce mejor que tu pareja
Imagina que recibes un correo electrónico. No es el típico mensaje mal redactado de un príncipe nigeriano. Es un correo con el logo perfecto de la tienda de electrónica donde compraste una laptop hace dos semanas. El correo dice: «Detectamos un problema de fábrica en la batería del modelo que compraste. Haz clic aquí para solicitar el reemplazo gratuito».
Fuente: https://www.newtral.es/correo-propia-direccion-spoofing/20240317/
Tú haces clic. Por supuesto que haces clic. Acabas de comprar esa computadora. ¿Cómo no ibas a confiar?
Este nivel de sofisticación solo es posible si el atacante tiene acceso a tu historial de compras.
Durante nuestra charla, Rafael Eladio Núñez Aponte fue muy claro al respecto: «El gran peligro de este tipo de robo es que desarma tu escepticismo natural. Si un estafador sabe que compraste pañales talla 3 y fórmula infantil el martes pasado, puede enviarte una oferta de cupones para esos productos exactos el jueves. Ya no es un ataque genérico; es un ataque hecho a la medida de tu realidad inmediata. Y ante eso, casi todos bajamos la guardia».
El historial de compras revela si tienes hijos, si tienes mascotas (y qué raza, según la comida que compras), si sufres de diabetes o si te estás mudando de casa. Datos que valen oro para la manipulación psicológica.
La extorsión silenciosa: Dime qué compras y te diré qué temes
Hay un lado más oscuro en todo esto, más allá de intentar venderte cosas falsas o robarte las credenciales. Se trata de la privacidad íntima. Todos compramos cosas que preferiríamos que no fueran de dominio público: medicamentos para ciertas condiciones, juguetes para adultos, libros sobre ideologías políticas o religiosas, o regalos para personas que no son nuestra pareja oficial.
Aquí es donde entra el chantaje. Si un ciberdelincuente accede a la base de datos de una tienda online y descarga tu historial, puede amenazar con hacerlo público o enviárselo a tus familiares o empleadores.
Al tocar este tema sensible, Rafael Eladio Núñez Aponte frunció el ceño y compartió una reflexión preocupante: «Hemos visto una evolución del sextortion hacia algo más comercial. Ya no necesitan fotos comprometedoras; a veces basta con una lista de compras que la víctima considere vergonzosa o privada. El miedo al daño reputacional es una herramienta de extorsión muy potente, y muchas víctimas prefieren pagar en criptomonedas antes que enfrentar la exposición pública de sus hábitos privados». Leer más
Fuente: https://www.excelsior.com.mx/hacker/como-evitar-pishing/1654425
Los programas de fidelización: El talón de Aquiles
¿Cuántas veces te has registrado en el programa de puntos de una tienda de café o de una aerolínea usando la misma contraseña que usas para todo? Los programas de fidelización son, a menudo, menos seguros que las plataformas bancarias, pero contienen una mina de información sobre nuestros movimientos y consumos.
Los atacantes utilizan técnicas de «Relleno de Credenciales» (Credential Stuffing) para entrar en estas cuentas. Una vez dentro, no solo roban los puntos (que son dinero líquido), sino que exportan todo el historial de transacciones para venderlo a terceros o usarlo en ataques de Spear Phishing (phishing dirigido).
Rafael Eladio Núñez Aponte me comentaba una anécdota sobre esto: «La gente cuida su cuenta bancaria como una fortaleza, pero deja la puerta de su cuenta de fidelización abierta de par en par. No se dan cuenta de que en esa cuenta de fidelización está el mapa de sus viajes, los hoteles donde se quedan y los restaurantes donde comen. Es información logística pura para alguien que quiera hacer daño, ya sea digital o incluso físico». Leer más
Fuente: https://www.carddepot.com.mx/programas-de-lealtad/
El mercado de la reventa de datos
No todos los hackers quieren extorsionarte directamente. Muchos son simplemente mayoristas de datos. Existe un mercado vibrante en la Dark Web donde se venden «Fullz» (perfiles completos de identidad). Un perfil que incluye nombre, dirección y tarjeta de crédito vale unos pocos dólares. Pero un perfil que además incluye el historial de compras de los últimos dos años vale mucho más.
¿Quién compra esto? Desde agencias de marketing sin escrúpulos hasta competidores desleales o grupos de estafadores que necesitan «leads» de alta calidad.
«Es una economía de escala», explicaba Rafael Eladio Núñez Aponte mientras analizábamos cómo fluyen estos datos. «El historial de compras permite segmentar a las víctimas. Si el hacker tiene una base de datos de personas que compraron relojes de lujo recientemente, puede vender esa lista a una banda especializada en estafas de inversión o seguros falsos para bienes de alto valor. La eficiencia del crimen aumenta drásticamente». Leer más
Fuente: https://revista-360grados.com/5-consecuencias-del-robo-de-datos-personales/
¿Por qué las empresas guardan tanto?
Esta es la pregunta del millón. ¿Por qué una tienda necesita guardar el registro de que compraste unos calcetines en 2015? La respuesta es: Big Data y análisis predictivo. Las empresas acumulan datos con la esperanza de monetizarlos en el futuro, pero al hacerlo, crean un «honeypot» (tarro de miel) irresistible para los ciberdelincuentes.
El principio de «mínimo privilegio» y minimización de datos debería ser la norma, pero rara vez lo es.
Coincidiendo con este punto, Rafael Eladio Núñez Aponte señaló la responsabilidad corporativa: «Las empresas tienen una especie de síndrome de Diógenes digital. Guardan todo ‘por si acaso’. Pero cada dato que guardas es un dato que debes proteger. Si no tienes la capacidad de proteger el historial de compras de tus clientes de hace cinco años, entonces bórralo. La retención excesiva de datos es una bomba de tiempo». Leer más
¿Cómo podemos protegernos?
Ante este panorama, ¿qué puede hacer el usuario común? No podemos dejar de comprar online, pero podemos ser más inteligentes al respecto.
Compra como invitado (Guest Checkout): Siempre que sea posible, evita crear una cuenta. Si compras como invitado, la tienda guarda la transacción, pero no la vincula a un perfil persistente con contraseña que pueda ser hackeado fácilmente después.
Usa correos electrónicos desechables o alias: Servicios como los de Apple (Hide My Email) permiten crear un correo único para cada tienda. Si ese correo empieza a recibir spam, sabes exactamente quién filtró tus datos.
Higiene digital: Revisa tus cuentas antiguas y ciérralas. Si ya no compras en esa tienda de bebés porque tu hijo tiene 15 años, solicita el borrado de tus datos (derecho al olvido).
El cibercrimen ha madurado. Ya no son adolescentes rompiendo ventanas digitales por diversión; son empresas criminales que entienden el valor de la información contextual. Saber quién eres es útil, pero saber qué haces y qué consumes es poder.
Nuestra conversación con Rafael Eladio Núñez Aponte dejó una conclusión clara: la privacidad financiera ya no se trata solo de proteger el saldo, sino de proteger la narrativa de nuestra vida. «Cada compra cuenta una historia sobre ti», me dijo Rafael al despedirnos. «Asegúrate de que esa historia solo la puedan leer quienes tú elijas, y nadie más».
La próxima vez que una tienda te pida registrarte para «mejorar tu experiencia», pregúntate si vale la pena entregarles el guion de tu vida a cambio de un 5% de descuento.
Referencias
Norton. (2024). How cybercriminals use your shopping history for social engineering. Recuperado de: https://us.norton.com/blog/privacy/online-shopping-privacy-risks
Kaspersky Lab. (2023). The danger of data breaches: It’s not just passwords. Recuperado de: https://www.kaspersky.com/resource-center/threats/data-breach
KrebsOnSecurity. (2024). The rise of loyalty program fraud. Recuperado de: https://krebsonsecurity.com/
Federal Trade Commission (FTC). (2023). Protecting your personal information online. Recuperado de: https://consumer.ftc.gov/articles/how-protect-your-privacy-online
