Threat Research

Incautan dominios de SSNDOB Market y se cierra la “correduría” de robos de identidad

El SSN es una abreviatura específica de Estados Unidos, y el DOB es una abreviatura específica de la lengua inglesa.

Sin embargo, sus significados son ampliamente conocidos en todo el mundo, sobre todo por su uso generalizado en informes y debates sobre el robo de identidad y la ciberdelincuencia.

SSN es la abreviatura de Social Security Number (Número de Seguridad Social), que es un número de identificación nacional de Estados Unidos, y DOB se traduce como fecha de nacimiento.

Irónicamente, por supuesto, un SSN no te identifica de forma activa, en realidad solo es una etiqueta que puede ser utilizada como un identificador único para fines de mantenimiento de registros.

En otras palabras, el simple hecho de conocer el SSN de alguien no demuestra que seas esa persona.

Sin embargo, por desgracia, conocer el SSN de alguien (o el identificador personal equivalente en tu país) es un buen punto de partida si eres un ladrón de identidad, porque a menudo puede combinarse con otra información personal para pasar los controles de identidad.

La teoría es que si hay, digamos, un 1% de posibilidades de que hayas averiguado el SSN de alguien y un 5% de posibilidades de adivinar su DOB, entonces sólo hay un 1% × 5% de posibilidades (es decir, 0,01 × 0,05 = 0,0005) de acertar ambos, y esa posibilidad multiplicada del 0,05% de posibilidades representa unas probabilidades de sólo 1 entre 2000.

Si se añaden otros datos personales, como el número de pasaporte, una copia escaneada del carné de conducir, la dirección exacta del domicilio, el número de teléfono, etc. y, al menos en teoría, se puede seguir reduciendo la probabilidad hasta que sea tan bueno como seguro que la única manera de que alguien pueda proporcionar todos los datos que se solicitan es que sea, de hecho, el verdadero propietario del SSN que se presentó para empezar.

Esta teoría, por supuesto, es una tontería.

Sólo se pueden multiplicar las probabilidades entre sí, como hicimos anteriormente, si son completamente independientes entre sí, como dos lanzamientos de moneda consecutivos.

Pero las probabilidades de que alguien pueda “adivinar” correctamente tu número de seguro social y tu fecha de nacimiento no son independientes.

Para empezar, hay que tener en cuenta la probabilidad de que si han encontrado una forma de descubrir tu número de identificación social, entonces pueden haber encontrado una forma similar de descubrir su fecha de nacimiento al mismo tiempo.

Los SSN rara vez se vulneran por sí solos

Como te puedes imaginar, las violaciones de datos en las que los delincuentes se hacen con datos personales que incluyen el SSN rara vez se quedan sólo con esos SSN, dado que pocos archivos de bases de datos incluyen una lista de SSN y ningún otro dato.

Cuando los delincuentes penetran en las redes de las empresas, por ejemplo, suelen ir a por los registros de recursos humanos, ya que las empresas suelen estar obligadas, tanto por ley como por necesidad operativa, a recopilar una cantidad significativa de información personal sobre cada empleado.

Los empleadores normalmente necesitan conservar pruebas de que eres quien dice ser, y de que estás legalmente autorizado a buscar trabajo en el país; necesitan saber cómo pagarle; están obligados a informar de tus ingresos a Hacienda; pueden necesitar mantener tu permiso de conducir en el archivo si se espera que conduzcas para su trabajo; y mucho más.

Además, como escribimos recientemente, los datos de nuestro Active Adversary Playbook 2022 sugieren que un número cada vez mayor de intrusiones en la red no son ataques de ransomware disruptivos, sino que se dedican a acumular datos corporativos para venderlos a otros delincuentes.

En otras palabras, los corredores de datos de la web oscura no se limitan a adquirir y vender un tipo de datos por cada víctima.

De ahí el nombre de SSNDOB que aparece en el titular: un mercado de datos en línea que quería que los visitantes supieran que vendía al menos SSN y DOB cotejados, junto con otra información personal identificable (PII).

Según el Departamento de Justicia de EEUU (DOJ), SSNDOB afirmaba tener información de identificación personal de hasta 24.000.000 de estadounidenses (aunque no sabemos cuántos datos había realmente, ni si eran precisos).

El DOJ afirma que los operadores del sitio ganaron más de 19.000.000 de dólares en los últimos años, vendiendo estos datos, normalmente utilizando Bitcoin.

Lamentablemente, el Departamento de Justicia no ha detenido a los presuntos operadores del mercado SSNDOB, pero, con la ayuda de las fuerzas de seguridad de Letonia y Chipre, consiguió una orden judicial que le permitía hacerse con los nombres de los servidores utilizados por los intermediarios de datos deshonestos.

Los visitantes de cualquiera de los sitios ssndob.ws, ssndob.vip, ssndob.club y blackjob.biz ya no acabarán donde probablemente esperaban.

En su lugar, verán esto:

Puede que no sea el resultado que el Departamento de Justicia y sus homólogos europeos esperaban, pero todo ayuda.

Como señaló David Walker, del FBI estadounidense, en el comunicado de prensa del DOJ

Estas incautaciones demuestran la sólida relación de trabajo del FBI con nuestros socios internacionales en la interrupción de la actividad cibernética maliciosa. El desmantelamiento de los mercados ilícitos que amenazan la privacidad y la seguridad del público estadounidense es una prioridad del FBI.

Esto es también un buen recordatorio de que la correcta ciberseguridad en tu red no sólo protege a su empresa, sino que también protege a tus empleados, a tus socios comerciales, a tus proveedores, a tus clientes y a todos los demás en Internet.

En otras palabras, la ciberseguridad representa un tipo de altruismo muy atractivo: es algo que se hace por necesidad, para protegerse a sí mismo y a su empresa, pero que también ayuda a que el mundo online sea más seguro en su conjunto.

No seas parte del problema de la fuga de datos, ¡sé parte de la solución!