Cuando buscamos algo en Google, subimos una foto o enviamos un mensaje, estamos diciendo quiénes somos, qué nos gusta y en qué pensamos. Muchas veces aceptamos a pie juntillas las cookies, los permisos y todo botón que se interponga en nuestro camino mientras usamos una aplicación o nos damos de alta en un servicio digital. Creemos que no tenemos nada que perder, pero la realidad es que somos más vulnerables de lo que sospechamos.

Todos podemos ser víctimas de un ciberdelincuente y, en esta ocasión, la periodista que escribe esto no narra el testimonio de otras personas, sino que pasa a ser la fuente de su propia información para contar en primera persona cómo fue hackeada mientras escribía -paradojas del destino- un reportaje para el Día de Internet Segura sobre la privacidad de los datos y el uso de estos en la web oscura, y qué medidas ha llevado a cabo para evitar que vuelva a pasarle.

Yo también pensaba que nunca me pasaría, que el robo de una cuenta personal o de un perfil solo le ocurre a gente famosa, con dinero o a personas más descuidadas -como si alguien fuera pregonando sus contraseñas o dónde vive por redes sociales o en la mesa de un bar- y siempre me decía que a quién le iban a interesar lo más mínimo mis datos. Me equivocaba, y mis datos acabaron en la dark web.

La dark web o la red oscura, ese espacio encriptado que algunos llaman las profundidades de internet y que alberga todo tipo de información sobre todos nosotros: correos, datos bancarios, teléfonos, fotos, ubicaciones, gustos… Los ciberdelincuentes quieren hacerse con el mayor volumen de datos posible para venderlos en este mercado sin límites al mejor postor, donde las cuentas hackeadas de redes sociales se consiguen por entre 30 y 60 euros cada una.

Una campaña de la Oficina de Seguridad del Internauta (OSI) cifra en unos 315 euros el valor en la dark web de un registro médico, uno de los datos más sensibles y también más demandados. En la lista, cifran en 30 euros el precio de los datos bancarios, se venden desde cinco euros los documentos de identidad como DNI o pasaporte y también por ese precio se pueden encontrar cuentas en redes sociales y correos electrónicos. Nuestros vídeos y fotos se venden desde un euro.

Ruth García, experta del Instituto Nacional de Ciberseguridad (INCIBE), explica que cuando un ciberdelincuente quiere poner en marcha un fraude, por ejemplo, haciéndose pasar por una tienda online que vende entradas de música, envía correos indiscriminadamente a todos los contactos de la persona a la que suplanta. Y muchas veces, para que el número de personas que hagan clic en el enlace fraudulento sea mayor, los piratas informáticos tienen identificados aquellos usuarios cuyos gustos e intereses encajan con el engaño.

¿Cómo acceden los ciberdelincuentes a nuestros datos más personales? Basta con que el ladrón acceda a una de nuestras redes sociales o aplicaciones de compra online y ya tendría acceso a todas nuestras fotos, historial de navegación, comentarios, mensajes privados, ubicaciones y también a esos datos que añadimos para completar nuestro perfil -como la edad, el correo, la tarjeta de pago e incluso a veces el DNI o la dirección física- que generalmente permanecen ocultos al resto de usuarios. En mi caso, los correos masivos a mí y a mis contactos llegaron después del hackeo. ¿Cómo consiguieron mis datos? Fue a través de mi página web personal. Llevaba un par de meses sin actualizar ni borrar el spam que a ella llegaba y aprovecharon para infectarla. Una vez la limpié de toda clase de comentarios y “bichitos”, empezó el infierno: operaciones bancarias en mi nombre, cuentas a las que ya no tenía acceso, vídeos en YouTube fraudulentos, reproducciones en Spotify desconocidas y actividad inusual en todas mis redes sociales. El ciberdelincuente, con alias "Baraka" -bendición en árabe- llegó hasta el panel de control donde había alojado la web y aprovechó para quitarme todo acceso. Empezó contratando servicios en mi nombre, cambió mi contraseña y, por último, el correo. Todo esto ocurrió en apenas cinco minutos y de madrugada. Al día siguiente, entré en pánico: cómo podía estar escribiendo sobre ciberdelitos y ser víctima de uno. Este incidente solo demuestra lo que ya nos decían los expertos: con la privacidad no se juega. Ante un problema como este, Ruth García recomienda que nunca perdamos de vista las actualizaciones, tanto de sistemas como de aplicaciones y servicios. Son muy importantes porque no solo ofrecen mejoras en el servicio, sino que también resuelven fallos de seguridad y, si no se actualizan, pueden utilizarse para colarse en nuestros datos e invadir nuestra privacidad (tal y como me pasó). Fue un hackeo por "fuerza bruta", es decir, el pirata conocía mi dirección de correo electrónico y utilizó un sistema diseñado para probar combinaciones de palabras y contraseñas. En estos casos, como era una contraseña relativamente sencilla y fácil de recordar, pudo forzar la entrada y adivinar esa contraseña en la que yo tanto confiaba. Técnicas como esta son más habituales de lo que pensamos. Así, en 2021, el INCIBE reportó más de 109.000 incidentes que incluyeron todo tipo de ciberdelitos: fraude; malware o infección de equipos; contenido abusivo como spam, comentarios ofensivos o incitación a la violencia y/o delitos sexuales; o intrusión en cuentas privadas. En otras ocasiones, quizás incluso más habituales, el hackeo empieza con un correo o un SMS en el que el autor del fraude busca provocar la acción rápida del receptor. El objetivo, en palabras de la experta del INCIBE, es conseguir información confidencial del usuario haciéndole creer "que tiene algún problema o que necesita tomar una acción de manera inmediata, porque si no va a tener alguna consecuencia o le va a ocurrir algo a su cuenta". Esta técnica fraudulenta se conoce como 'phishing'. "También muchas veces utilizan excusas como el 'hemos cambiado nuestras políticas de seguridad, si no accede a este enlace de manera inmediata su cuenta no estará protegida'. En el caso de un antivirus son muy frecuentes los mensajes de 'hemos identificado que su dispositivo está infectado, accede a este enlace para descargar una herramienta' y eliminar la amenaza", puntualiza. Fernando Tricas, experto en Informática e Ingeniería de Sistemas en la Universidad de Zaragoza, señala que generalmente el fraude ocurre cuando alguien baja la guardia por querer resolver un asunto demasiado rápido: "Nos llega un SMS de apariencia creíble y resulta que es falso, pero caemos porque nos pilla en un momento en el que estamos pensando en otra cosa". Yo ya sabía que no hay que hacer clic en todos los enlaces que me llegan ni abrir los documentos que no reconozca, pero, ¿y si mi antivirus me envía un correo de alerta de que mis datos han sido filtrados a la web oscura? Yo caí y no soy la única. "Falsear el remitente tanto de correos electrónicos como de SMS es técnicamente posible y es en lo que [los ciberdelincuentes] se apoyan", puesto que pocos usuarios son conscientes de ese peligro" ni saben cómo comprobarlo, explica Ruth García.