La identidad digital de los españoles se vende en la dark web por poco más de 75 euros

La identidad digital de los españoles ya tiene precio en la dark web y, según un análisis de NordVPN realizado junto a la plataforma NordStellar, no es precisamente elevado. La compañía de ciberseguridad ha revisado cerca de 75.000 anuncios publicados en mercados clandestinos y concluye que los datos personales procedentes de España se mueven en una franja media de precios, aunque con importes lo bastante bajos como para resultar inquietantes.

Tus datos se comprar en la dark web

De acuerdo con este informe, una tarjeta de crédito española robada se vende por unos 10,20 euros, mientras que un paquete completo de identidad, conocido en estos mercados como fullz, ronda los 76,50 euros. Incluso una cuenta de Netflix comprometida puede encontrarse por apenas 3,87 euros.

Para mostrar de forma más clara el valor que pueden alcanzar estos datos, NordVPN ha lanzado una calculadora interactiva que permite estimar cuánto costarían distintas cuentas, documentos y credenciales personales en la dark web.

España, entre los países europeos con mayor presencia

El estudio sitúa a Estados Unidos como el gran protagonista de la economía de datos robados. No porque sus datos sean los más caros, sino precisamente por lo contrario: hay tal volumen de información estadounidense circulando en estos mercados que su precio se ha reducido. Según NordVPN, más del 70% de los anuncios de tarjetas de crédito robadas proceden de Norteamérica.

España aparece en una posición destacada en este mercado ilícito. Según los datos facilitados por la compañía, ocupa el segundo puesto mundial y el primero entre los países europeos en anuncios de tarjetas de crédito robadas. En conjunto, las tarjetas europeas suponen casi el 20% del total de anuncios analizados.

«Cada cuenta online que tienes lleva un precio en la dark web», afirma Marijus Briedis, director de tecnología (CTO) de NordVPN. «Tus suscripciones de streaming, tu correo electrónico, tus credenciales bancarias, tus perfiles en redes sociales. A la mayoría de la gente le sorprendería lo poco que le cuesta a un cibercriminal hacerse con toda una identidad digital».

Cuánto cuestan los datos personales de un español

Los precios recogidos por NordVPN muestran hasta qué punto los datos personales se han convertido en un producto más dentro de los mercados clandestinos. Una tarjeta de crédito española robada cuesta de media 10,20 euros, una cifra sensiblemente inferior a la que se observa en países donde este tipo de información aparece con menos frecuencia, como Japón o Singapur.

El paquete de identidad completo es aún más preocupante. Un fullz español, es decir, un conjunto de datos suficiente para intentar suplantar a una persona, puede incluir información como fecha de nacimiento, dirección o número de la Seguridad Social. Su precio medio se sitúa en torno a los 76,50 euros.

También se venden copias digitales de documentos oficiales. Según el análisis, un pasaporte español digitalizado puede costar unos 28,05 euros, una cifra similar a la de un DNI o un carné de conducir comprometido.

«Por menos de lo que cuesta llenar el depósito de gasolina, un delincuente puede comprar suficiente información personal para presentar declaraciones de la renta fraudulentas o empezar a construir una identidad falsa en nombre de otra persona», advierte Briedis.

El correo corporativo vale más que muchas cuentas personales

El informe también distingue entre cuentas personales y credenciales profesionales. Mientras que una cuenta de correo electrónico personal puede venderse a granel por unos 0,85 euros, las credenciales corporativas alcanzan importes más altos.

En España, una cuenta robada de Office 365 se comercializa por una media de 22,86 euros, mientras que las cuentas de Office asociadas a GoDaddy rondan los 22,10 euros. La diferencia se explica por su utilidad, este tipo de accesos puede servir como puerta de entrada a redes internas, archivos de empresa, herramientas de trabajo y otros servicios corporativos.

Por eso, las credenciales profesionales no solo interesan a quienes buscan suplantar a una persona, sino también a grupos especializados en vender accesos a terceros. Una contraseña laboral robada puede acabar facilitando ataques más amplios contra una organización.

Redes sociales, streaming y criptomonedas

Las redes sociales también tienen valor en estos mercados. Una cuenta de Facebook robada se vende por unos 32,30 euros y, según NordVPN, representa el 40% de los anuncios de cuentas de redes sociales. El acceso a una cuenta de este tipo puede abrir la puerta a perfiles vinculados, páginas de empresa o herramientas publicitarias.

Las cuentas de TikTok alcanzan aproximadamente los 51 euros, mientras que las de Snapchat se sitúan en torno a los 29,32 euros. En el caso del streaming, los precios son más bajos: una cuenta de Netflix cuesta unos 3,87 euros, mientras que Spotify sube hasta los 23,80 euros.

Mucho más caras son las cuentas relacionadas con criptomonedas. Una cuenta robada de Coinbase tiene un precio medio de 91,38 euros, mientras que una de Binance puede alcanzar los 136 euros. La razón es evidente, a diferencia de otros datos robados, una cuenta de criptomonedas puede dar acceso directo a activos líquidos.

También aparecen cuentas de comercio electrónico. Una cuenta de Amazon comprometida se vende por unos 42,50 euros, ya que puede utilizarse para comprar productos, mover saldos o aprovechar tarjetas regalo.

Cómo reducir el riesgo de exposición

«La mayoría de la gente piensa que el robo de identidad es algo que no les va a pasar o que lo notarán si les ocurre», señala Briedis. «La realidad es que tus datos podrían estar ya a la venta y no lo sabes, a menos que lo compruebes de forma activa».

Para reducir el riesgo de comprometer la identidad digital, conviene utilizar contraseñas únicas en cada servicio y guardarlas en un gestor de contraseñas fiable. También es recomendable activar la autenticación multifactor siempre que esté disponible, especialmente en correo electrónico, banca online, redes sociales y plataformas de trabajo.

Otra medida básica es limitar la cantidad de información personal publicada en internet. Cuantos más datos personales estén disponibles de forma abierta, más fácil será completar un perfil fraudulento. También conviene revisar los permisos de las aplicaciones, desactivar rastreadores innecesarios y evitar compartir información sensible salvo que sea imprescindible.

Por último, es aconsejable vigilar de forma periódica los extractos bancarios y activar las notificaciones de movimientos. Un cargo pequeño y desconocido puede ser la primera señal de una filtración o de un intento de fraude mayor. Tu identidad digital vale mucho más que lo que pueda costar en la dark web.