En el mundo de los juegos Pokémon, un “Shiny” es raro. Por ejemplo, hay un Pikachu que no es amarillo, sino que brilla en dorado. Los jugadores tendrán que cazar y buscar durante horas antes de encontrar algo tan brillante. Los ciberdelincuentes llamados ShinyHunters (llamado así por esta práctica Pokémon) también cazan, pero en bases de datos para extorsionar el dinero del rescate. El colectivo internacional de hackers se formó hace seis años y desde entonces ha creado una gran cartera de importantes empresas a las que ha pirateado y chantajeado.
Los días 7 y 8 de febrero, los piratas informáticos de ShinyHunters obtuvieron acceso al sistema de contacto con clientes de Odido, una de las empresas de telecomunicaciones más grandes de los Países Bajos, y su filial Ben. La empresa afirmó que aparentemente se habían robado los datos de 6,2 millones de clientes. El propio ShinyHunters afirma que trata con datos de 8 millones de clientes actuales y anteriores.
Se trata de los números de pasaporte o permiso de conducir y, hasta su caducidad, nombres completos, direcciones, números de teléfono móvil, números de clientes, direcciones de correo electrónico, números de cuentas bancarias y fechas de nacimiento. Según Odido, no se robaron contraseñas, datos de llamadas, escaneos de identificación ni datos de facturación.
“Una pequeña cantidad de siete cifras”: ese es el precio de al menos un millón de euros que los ciberdelincuentes exigirán a Odido el próximo jueves por la mañana, anunció el grupo de hackers el martes por la mañana. Si la empresa de telecomunicaciones no está de acuerdo, los piratas informáticos amenazan con filtrar todos los datos a una dirección ya publicada en la web oscura (la parte anónima de Internet donde no es fácil encontrarlos a través de los motores de búsqueda). Esto surge de informes de noticias RTLque se puso en contacto con ShinyHunters y obtuvo y verificó una pequeña parte de la información personal robada.
“Odido tiene un cuchillo en la garganta y la espalda contra la pared”, afirma el investigador de seguridad y hacker ético Sijmen Ruwhof. “Si pagan, los datos no se filtrarán; si no pagan, se filtrará todo. No hay zona gris”. En su opinión, ShinyHunters es un “jugador destacado” en este nicho de piratería empresarial. “Si vendieran los datos robados después de recibir el rescate, sufrirían un daño significativo a su reputación. Las futuras víctimas ya no pagarían”.
El hecho de que ShinyHunters salga ahora es una especie de advertencia final para Odido, dice el experto. “Ahora resulta que la dirección no quiere pagar estos euros por cliente para mantener los datos recopilados fuera de Internet. Cuando los datos se pongan en línea el jueves, permanecerán disponibles para su descarga para siempre. Esto significa que los Países Bajos volverán a tener una guía telefónica muy extensa, con números de pasaporte y de cuentas bancarias y direcciones de correo electrónico. Todo esto conducirá a situaciones desagradables como ataques de phishing dirigidos y fraude de identidad”.
Manipulación psicológica
Para entrar, los piratas informáticos utilizaron “ingeniería social”, un término colectivo para designar técnicas en las que los ciberdelincuentes utilizan la manipulación psicológica para engañar a las personas para que compartan información confidencial. En el caso de Odido, los agentes de servicio al cliente fueron engañados mediante correos electrónicos de phishing solicitando sus credenciales de inicio de sesión. Luego, los piratas informáticos llamaron a representantes de servicio al cliente haciéndose pasar por colegas del departamento de TI de la empresa. A esto también se le llama “pesca”. Al hacerlo, los convencieron de que aprobaran los intentos de inicio de sesión y eludieron las medidas de seguridad adicionales.
No es la primera vez que ShinyHunters golpea fuerte. Hace unos meses, los piratas informáticos amenazaron con publicar 200 millones de datos de clientes de (antiguos) suscriptores del sitio porno PornHub. Para 2024, los delincuentes dijeron que habrían robado 560 millones de datos de clientes del mercado de entradas en línea Ticketmaster. Pero en los últimos años también el gran proveedor de telecomunicaciones estadounidense AT&T, Google, Adidas, Air France-KLM, Louis Vuitton y muchas otras grandes empresas han sido víctimas de los piratas informáticos. Las empresas no admiten fácilmente que han pagado porque hacer negocios con delincuentes no es conveniente desde una perspectiva publicitaria, ética y legal, pero según Ruwhof, a menudo lo hacen.
Los piratas informáticos criminales como ShinyHunters dejan algún tipo de nota digital en los sistemas pirateados. En él comparten sus datos de contacto con una invitación a negociaciones en la web oscura. “Allí se está creando una especie de servicio de asistencia con un intermediario para que las empresas puedan negociar con los piratas informáticos”, afirma Ruwhof. “Entonces es importante que las empresas obtengan y comprueben primero las pruebas (de la intrusión). De esta manera, los piratas informáticos muestran hasta qué punto estaban en el sistema”.
“Pura codicia”
En 2023, un estudiante francés de 22 años y miembro de ShinyHunters en Estados Unidos fue condenado a tres años de prisión y se le ordenó pagar más de 5 millones de dólares en concepto de daños y perjuicios. Admitió estar involucrado en robo de datos a gran escala y fraude cibernético, pero el fiscal describió su motivo como “pura codicia”.
“Muchos de este tipo de redes criminales operan en Europa del Este y, en particular, en Rusia. Es muy notorio”, afirma Ruwhof. “Realmente no toman medidas contra esos grupos porque también pueden causar un gran daño a Occidente. Eso encaja con la guerra híbrida”. Pero cuando se detiene a un miembro de una red criminal de este tipo, explica Ruwhof, el resto del grupo suele comportarse con normalidad. La cartera de ShinyHunters es tan impresionante que, en su opinión, debe ser una red extensa.
“Se han vuelto tan notorios que sospecho que a veces toman prestada su reputación. Otros hackers bajo el nombre de ShinyHunters extorsionan a las empresas a cambio de parte del rescate”. En una red de este tipo, los piratas informáticos suelen operar basándose en el anonimato entre ellos. Según el experto, los grupos que bloquean los sistemas informáticos con virus ransomware también actúan de forma similar. Ofrecen software a otros delincuentes como una especie de franquicia.
Un portavoz de Odido dijo que el asunto estaba siendo investigado. La empresa de telecomunicaciones no quiere comentar sobre el curso de los acontecimientos, la naturaleza de la violación de la protección de datos y la cuestión de si quiere pagar una “pequeña cantidad de siete cifras”. La empresa denunció el incidente a la autoridad holandesa de protección de datos.
About The Author
