WeLeakInfo.com, un dominio que vendió el acceso a datos privados, ha sido incautado por el FBI
Todos sabemos que los cibercriminales compran y venden datos personales robados todos los días, y tratamos de convencernos de que hemos hecho lo suficiente para garantizar que nuestra propia información no termine en las manos equivocadas. Aunque muchos de nosotros no sabemos el costo real, tendemos a suponer erróneamente que los delincuentes pagan cantidades significativas de dinero por nuestra información personal, pero un servicio en línea llamado WeLeakInfo.com reveló que este no es realmente el caso.
Afortunadamente, los aspirantes a ciberdelincuentes con un presupuesto limitado se sentirán decepcionados al descubrir que WeLeakInfo ya no existe. Ayer, la Oficina Federal de Investigaciones confiscó el dominio después de que una investigación internacional reveló que el sitio web está involucrado en algunas actividades ilegales. La operación involucró a las unidades de delitos cibernéticos de las agencias de aplicación de la ley en los Estados Unidos, el Reino Unido, los Países Bajos y Alemania, y además de eliminar el sitio web, también resultó en el arresto de un par de jóvenes de 22 años en Irlanda del Norte y los Países Bajos. Veamos cómo terminaron en este desastre.
¿Qué hizo WeLeakInfo?
WeLeakInfo solía anunciarse como un servicio de alerta de violación de datos. Su página de inicio estaba dominada por un campo de búsqueda bastante grande en el que ingresaba su nombre de usuario, dirección de correo electrónico, contraseña u otros datos personales. La información que ingrese se verificará con una gran colección de bases de datos robadas y filtradas durante las violaciones de datos en varias organizaciones, y si hay una coincidencia, el servicio se lo informará. De acuerdo con el perfil de Twitter de WeLeakInfo (que todavía está en vigencia en el momento de la escritura), los operadores del sitio web lograron recolectar la friolera de 12 mil millones de registros filtrados durante no menos de 10 mil violaciones de datos. ¿Hay algo moral o legalmente incorrecto en toda la operación?
Si se realiza correctamente, este tipo de servicio puede ayudar a las personas a mejorar su seguridad en línea. De hecho, Troy Hunt, uno de los nombres más influyentes en la industria de la seguridad cibernética, debe una parte no insignificante de su fama a una plataforma similar llamada HaveIBeenPwned, que lanzó en 2013. Al igual que WeLeakInfo, HaveIBeenPwned permite a los usuarios verificar si sus datos personales (dirección de correo electrónico y contraseña en el caso del servicio de Hunt) se han expuesto durante una violación de datos. A primera vista, los dos servicios son prácticamente idénticos.
¿Por qué, entonces, uno de ellos le dio a su dueño un estatus de celebridad, mientras que el otro puso esposas a sus supuestos operadores?
¿Por qué se cerró WeLeakInfo?
Una de las razones por las que HaveIBeenPwned es tan exitoso es porque tiene numerosos mecanismos diseñados para mantener la privacidad de las víctimas de violación de datos lo más segura posible. WeLeakInfo, por otro lado, estaba haciendo dinero con eso.
El sitio web incautado ofreció tres planes de suscripción pagados, que dieron a los clientes un pase de acceso total al enorme corpus de datos en el que se basaba el servicio. En otras palabras, cualquiera con unos pocos dólares de reserva en su bolsillo podría ir a WeLeakInfo, pagar un plan y buscar y descargar tantos de los 12 mil millones de registros robados como quisiera. El único factor limitante era el tiempo, y dependía del plan que eligiera el cliente. La suscripción más barata dio a los clientes de WeLeakInfo acceso a los datos por solo un día, pero también había planes para una semana, un mes y tres meses.
Todavía hay algunas incógnitas. No está claro, por ejemplo, si los 12 mil millones de registros contenían contraseñas. Tampoco tenemos idea de qué parte de las contraseñas se almacenaron en texto sin formato. Citando la investigación en curso como una razón, las agencias policiales se negaron a proporcionar detalles sobre la popularidad de WeLeakInfo, lo que significa que es difícil estimar qué tan grande es el daño potencial. Sin embargo, la redada policial puede ser un buen indicador de que el peligro era muy real.
Al detener la operación WeLeakInfo, las agencias de lucha contra el delito cibernético también nos dieron una buena idea de cuánto cuestan realmente los datos robados de usuarios de Internet desprevenidos. El plan más caro de WeLeakInfo dio a los suscriptores acceso a 12 mil millones de registros robados por un total de tres meses, y costó $ 70. Esto, en caso de que aún no lo haya calculado, equivale a menos de $ 0.80 por día.
