SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/importantes/de-donde-vienen-las-cuentas-de-netflix-y-spotify-que-venden-en-la-deep-web-precios-ridiculos/
TAGS: Deep Web
Cuentas vitalicias de Netflix por 0,50 dólares. ¿Qué tiene de extraño? En primer lugar, que no existen cuentas vitalicias de Netflix y de otros servicios de suscripción. Como su propio nombre indica, es necesario pagar una suscripción mensual/anual para poder disfrutar de ellos. Y, en segundo lugar, el precio que se paga al mes es bastante superior, desde 8 euros en caso de Netflix. En Spotify, desde 9,99 euros al mes. Hasta la promo que tienen activa, de 0,99 euros durante tres meses, es más cara.
Entonces ¿por qué en algunas tiendas de la Deep Web pueden encontrarse cuentas de estos servicios y muchos otros (deportes para ver online, páginas porno premium, etc.) a precios de ganga? Esta semana muchos medios se hacían eco del mercado oscuro que existe alrededor de las cuentas de servicios digitales. ¿Son reales? ¿De dónde proceden y por qué son tan baratas?
Lo primero que llama la atención de este tipo de cuentas baratas es que nunca se venden en las propias webs oficiales, por tanto no puede ser una promoción del servicio. Y el descuento no es de un pequeño porcentaje, sino casi del 100%. En general, y como ocurre siempre que algo es demasiado bonito para ser verdad, es que no es verdad y tiene truco. Estas cuentas no son la excepción. ¿Qué trucos? Hay varios...
Cuentas robadas a otros usuarios
En ocasiones, los vendedores que ofrecen estas misteriosas cuentas te hacen una advertencia: no les cambies la contraseña ni toques nada para que éstas sigan funcionando. Otras veces, ya te venden directamente un nombre de usuario y una contraseña, sin que tú tengas posibilidad a elegir o usar tu propia cuenta. Sospechoso, ¿verdad?
En realidad no tanto: lo que te están vendiendo pueden ser cuentas que pertenecen a otras personas. En casos como el Spotify puede ser más complicado compartir cuenta sin que tú lo sepas al permitirse tan sólo una sesión simultánea, pero con Netflix y con otros servicios la cosa cambia. Es más, puede que en realidad varios "compradores" estéis usando sin saberlo la cuenta sin que su dueño lo sepa (o sabiéndolo si, mirando por ejemplo su histórico de visionados, detecta actividad extraña como esta periodista de Vice).
El cómo accedieron los atacantes a la información de esas cuentas no es ningún misterio. Aunque sitios potentes como Netflix, Amazon, Hulu, Spotify y compañía no han recibido hackeos recientes (que sepamos claro), muchos otros sí (aquí puedes ver una lista), y todos sabemos cómo hay personas que viven con la peligrosa filosofía de "una contraseña para todo". También están el phishing y loskeyloggers.
Cuentas que se dan de alta con tarjetas robadas
Luego está el "negocio" de las tarjetas de crédito robadas. De hecho, en algunos foros especializados en delitos informáticos y en la propia Deep Web pueden encontrarse información de tarjetas a la venta al mejor postor, ya bien se trate de tarjetas que se han robado físicamente o tarjetas cuya información ha sido obtenida del "hackeo" de una tienda, servicio u ordenador particular.
En Internet se venden tarjetas robadas, que algunos aprovechan para comprar cuentas digitales y revender para hacer negocio
Según Infosec, el precio medio en la Deep Web de una tarjeta de crédito robada con su respectivo CVV suele oscilar entre los 10 y los 25 dólares. La cifra es similar a la que ofrecía McAfee en su último informe The Hidden Data Economy. La cantidad final depende, según dicha compañía, de la información adicional que se incluya. Las tarjetas más cotizadas son las que pertenecen a la Unión Europea, porque la duración de su validez es mayor.
En ocasiones, estas tarjetas robadas se aprovechan para comprar suscripciones como las que tratamos en este artículo, de tal forma que al que ha recomprado la información una cuenta de 9,99 euros en realidad no le cuesta ese dinero: simplemente adquiere una tarjeta robada o una partida de ellas y con ellas se dedica a comprar y revender cuentas premium digitales.
En este caso, una vez se cancelan las tarjetas se acaba el chollo a los revendedores, perosupuestamente existe otra técnica un tanto original que pasa más desapercibida: el dar de alta una cuenta con una tarjeta robada, aprovecharse del mes premium gratis y venderla. En el caso de un vendedor de eBay que utilizaba este mismo proceso, pedía a sus compradores que le contactaran cada mes para conseguir unas nuevas credenciales de Spotify.
Las tarjetas robadas a veces se usan para dar de alta cuentas gratuitas y aprovechar el mes premium de cada una
Los dueños de las tarjetas, al no producirse cargo alguno (como mucho una comprobación que se devolvía) pueden no darse cuenta tan fácilmente. ¿Por qué utilizan tarjetas robadas para esto si crear cuentas es gratis? Porque habitualmente los servicios de suscripción, como Netflix y Spotify, te piden que asocies una tarjeta de crédito con tu cuenta. De esta forma evitan que la gente se registre cada mes y se aproveche del mes de cortesía gratuito.
Cuentas que aprovechan fallos del sistema
Otras veces las cuentas no se consiguen atacando a los usuarios y sus medios de pago, sino a las propias plataformas. Durante algún tiempo a comienzos de este año, Spotify sufrió un bug en su sistema que procesa los pagos que permitía que cualquiera comprara una cuenta premium con una tarjeta no válida. El problema parece estar ya solucionado.
También en el caso de Spotify hubo otro "ataque" original: al parecer, la operadora Telia ofrecía a sus clientes de los países nórdicos una suscripción gratis al servicio durante 6 meses. Aprovechándose del sistema y de estos clientes, comenzaron a aparecer en el mercado negro numerosas cuentas premium, que se creaban asociadas a un cliente de la operadora y se revendían posteriormente. En dichos perfiles aparecía un cartelito en la cuenta que decía que ésta pertenecía a Telia.
Se han dado casos de cuentas que se vendían a precios bajísimos y que se habían creado aprovechando fallos del propio sistema
Y estos son dos fallos de los que se tiene constancia, porque en realidad podrían existir más. Algunos de los vendedores actuales podrían estar utilizando vulnerabilidades en estos servicios que todavía no sean de conocimiento general y que las propias páginas no hayan detectado.
Pero ¿vitalicias?
Pero ¿no cancela la gente sus tarjetas de crédito si saben que han sido robadas? ¿Cómo pueden estos "hackers" prometer validez de por vida en las cuentas que venden si los servicios, directamente, no comercializan ese tipo de cuentas? Sencillo: ofrecen una especie de "garantía", por la cual te aseguran que, si la cuenta que has comprado tiene problemas, te entregarán otra.
Garantía de por vida quiere decir que si te cierran una cuenta te dan otra... mientras el vendedor responda
Esto, al menos, es lo que dicen que ocurrirá sobre el papel. En la práctica, es más difícil. Si hablamos de cuentas que se ofrecen en eBay u otros marketplaces online, estos no suelen permitir este tipo de ventas y los vendedores son frecuentemente baneados. O eso, o ellos mismos desaparecen del mapa. Con lo cual, la cuenta que en teoría era vitalicia deja de serlo: es vitalicia mientras que la cuenta no se anule y el vendedor te responda. Después, ya no tendrás forma de contactar con él.
¿Dónde se venden?
Las cuentas que se venden no son legales, por lo que lo más habitual es que se recurran a sitios web "underground" poco conocidos en los que se revende este tipo de contenidos o directamente en la Deep Web, donde es más complicado rastrear a los delincuentes (aunque no imposible, y si no que se lo digan al creador de Silk Road, una de las plataformas de compraventa de drogas y de casi cualquier otra cosa en la Deep Web).
De hecho, en The Daily Dot aseguraban hace un año que los superventas de las tiendas que venden bienes ilegales en la Deep Web no eran las drogas o las armas, como cualquiera podría pensar, sino las propias cuentas digitales de Spotify, Netflix e incluso sitios web porno como Brazzers. El vendedor más popular llevaba por aquel entonces más de 1.200 comentarios positivos y de hecho se ha hecho con una ¿buena? reputación en el ¿sector?
[embed]https://youtu.be/crkPLzuysKE[/embed]
Pero el mercado de cuentas ilícitas no queda relegado únicamente a la Deep Web. Algunos valientes se atreven a vender estos logins en páginas dedicadas exclusivamente a esta actividad, donde aseguran que sus cuentas pertenecen a una "versión legítima de Spotify". Para comprobarlo te dicen que te descargues el cliente de la web oficial y que pruebes con tu cuenta. Aquí juegan un poco con el lenguaje: sí, las cuentas pertenecen al Spotify que todos conocemos y funcionarán con él, pero en ningún momento afirman que sean cuentas legales.
Existen otros foros y páginas de compraventa donde, sorprendentemente, también pueden encontrarse este tipo de ofertas. Un rápido vistazo en eBay te arroja varios resultados. Ojo, hay algunos que venden "tarjetas" de regalo como las que se pueden adquirir en las grandes superficies, pero hay que ir con mucho cuidado y, en general, no fiarse, sobre todo de las de los precios más bajos. En este caso, los vendedores son siempre cuentas de reciente creación y con feedback de todo tipo: desde el que lo "hincha" comprando muchas cosas baratas hasta el que no disimula y tiene decenas de valoraciones negativas.
Ebay no suele tardar en borrar estas ventas fraudulentas, porque además no permiten la venta de bienes digitales. En lo que hemos dedicado a investigar y redactar este artículo, la mayoría de subastas que teníamos localizadas ya no están disponibles, aunque han aparecido otras nuevas. Otros engañan al sistema enviando supuestamente por correo postal un documento con los detalles de cada cuenta, así realmente no estás comprando algo digital sino un papel, pero el engaño sigue siendo el mismo.
Y, sin falta de irte a eBay, puedes encontrar posts en foros donde se ofrecen este tipo de suscripciones. En algunos, pronto desaparece el tema y con él su autor. En otros, hay toda una colección.
¿Es legal comprar estas cuentas?
Si todavía, a pesar de lo que hemos comentado, te quedan ganas de intentar comprar una de estas cuentas robadas, aquí va una razón más para no hacerlo: te podrías meter en un lío legal. Preguntamos a David Maeztu, abogado especialista en nuevas tecnologías y autor de Del derecho y las normas, que nos remite al Artículo 298 del Código Penal:
Artículo 298: El que, con ánimo de lucro y con conocimiento de la comisión de un delito contra el patrimonio o el orden socioeconómico, en el que no haya intervenido ni como autor ni como cómplice, ayude a los responsables a aprovecharse de los efectos del mismo, o reciba, adquiera u oculte tales efectos, será castigado con la pena de prisión de seis meses a dos años. [...]
En propias palabras de David Maeztu: "Para el consumidor, podría considerarse el caso de la receptación (art 298) siempre que se pudiera demostrar que conoce la comisión del delito y que actúa con ánimo de lucro (que en particulares es difícil de probar). Pero esa sería la vía de responsabilidad". Esto no significa que sea un delito fácil de perseguir, pero sí, con la ley en la mano, podría darte un disgusto.
Fuente:http://www.xataka.com/
Noticias de seguridad informática
No comments:
Post a Comment