- El phishing es la vía principal para robar credenciales y alimentar el mercado negro de contraseñas.
- El precio de una contraseña en la dark web va desde céntimos hasta cientos de dólares según el tipo de cuenta.
- Los delincuentes combinan datos personales para crear perfiles completos y lanzar ataques dirigidos.
- Hábitos de seguridad como contraseñas únicas y doble factor reducen drásticamente el riesgo.
La venta de contraseñas y datos personales en la dark web se ha convertido en un negocio silencioso pero muy rentable para los ciberdelincuentes. Lo que para un usuario medio es solo una clave para entrar al correo o a servicios como Netflix, para un criminal puede ser la puerta a una cadena de fraudes, suplantaciones de identidad y robos económicos difíciles de rastrear.
Lejos de ser algo anecdótico, este comercio clandestino se alimenta cada día de campañas masivas de engaños digitales, como la filtración masiva de contraseñas de Gmail. Según distintos análisis de ciberseguridad, la inmensa mayoría de los ataques de phishing se centra en robar credenciales de acceso a servicios online, y una parte menor persigue datos bancarios o información personal detallada. Una vez robados, esos datos viajan rápidamente hasta foros y mercados ocultos donde se compran y venden como si fueran un producto más.
Cómo el phishing convierte tus datos en mercancía
Las campañas de phishing actuales poco tienen que ver con los correos mal traducidos de hace años. Detrás suele haber estructuras organizadas que diseñan páginas falsas casi idénticas a las originales: bancos, redes sociales, plataformas de streaming, servicios de mensajería o tiendas online. Un mensaje que genera urgencia (un pago pendiente, una cuenta bloqueada, un premio inesperado) es suficiente para que muchas personas pinchen en un enlace sin pensarlo demasiado.
En cuanto la víctima introduce su usuario, contraseña o datos de pago en ese portal fraudulento, la información se envía de forma automática a los atacantes. No suele quedarse ahí: se reenvía por correo, se almacena en bots de mensajería como Telegram o se centraliza en paneles privados desde los que distintos miembros de la red criminal pueden acceder a los datos robados.
Ese primer robo individual es solo el inicio. Los responsables de las campañas rara vez se limitan a usar de inmediato cada cuenta capturada. En lugar de eso, acumulan miles o millones de credenciales procedentes de diferentes oleadas de phishing, como la filtración de 149 millones de contraseñas, para luego ordenarlas, comprobar cuáles funcionan y empaquetarlas en grandes bases de datos listas para su venta.
En estos procesos, los delincuentes suelen clasificar la información por tipo de servicio (correo, banca, criptomonedas, comercio electrónico), país, idioma o incluso por nivel de verificación de la cuenta. Esta organización les permite ofrecer paquetes más atractivos a otros grupos especializados en distintas formas de fraude.
Una vez depurados, esos listados terminan circulando por foros privados y mercados en la dark web, donde las credenciales se convierten en una mercancía con precio, demanda y competencia, igual que cualquier otro producto digital.
De un robo aislado a bases de datos globales
Lo que para el usuario afectado es un solo incidente —haber picado en un correo falso—, para el ecosistema criminal es una pieza más de un engranaje global. Una contraseña rara vez se explota una única vez. Lo habitual es que, tras el robo inicial, los datos se incorporen a enormes colecciones que agrupan información de personas de todo el mundo.
En esas colecciones se cruzan nombres de usuario, correos electrónicos, números de teléfono, direcciones postales y documentos de identidad digitalizados. Con esa mezcla, los delincuentes pueden construir perfiles muy detallados que permiten ataques más precisos. Por ejemplo, si una misma persona reutiliza la contraseña en varios servicios, los atacantes prueban esas credenciales en banca online, plataformas de comercio, redes sociales o monederos de criptomonedas.
Este tipo de pruebas masivas aprovechando combinaciones de usuario y clave robadas se conoce como ataque de relleno de credenciales. Funciona especialmente bien cuando los usuarios repiten contraseñas en distintas páginas. Una sola filtración puede abrir puertas a muchos otros servicios, incluso meses o años después del incidente original.
Además, los datos no se quedan siempre en el mismo grupo criminal. Es frecuente que se revendan varias veces entre diferentes bandas y foros, cada uno con su especialidad: unos se centran en vaciar cuentas bancarias, otros en robar perfiles de redes sociales, otros en compras fraudulentas en tiendas online, o en tomar control de cuentas corporativas para llevar a cabo ataques más complejos.
El resultado es una especie de economía subterránea en la que la información robada circula de mano en mano, se valida, se complementa con nuevos datos y se reutiliza durante largos periodos de tiempo, siempre que siga siendo útil y no esté bloqueada por la víctima o por la entidad afectada.
¿Cuánto puede valer tu contraseña en la dark web?
El precio de una contraseña no es fijo ni universal; depende de lo que permita hacer. Aun así, los estudios sobre mercados clandestinos de datos muestran una horquilla de precios bastante clara. En los listados que se observan en estos foros, las credenciales más básicas pueden costar menos de un dólar, mientras que aquellas que dan acceso directo a dinero o activos digitales alcanzan cifras mucho más altas.
De forma orientativa, los expertos suelen detectar estos rangos de precios en canales de compraventa de la dark web:
- Accesos sencillos a servicios cotidianos (cuentas de correo genéricas, plataformas de entretenimiento o webs sin datos de pago guardados) pueden venderse por céntimos o menos de un dólar.
- Cuentas de servicios digitales con algún método de pago asociado o con historial de compras pueden rondar los 30-50 dólares, dependiendo del país y del tipo de servicio.
- Credenciales de monederos y servicios de criptomonedas suelen ser bastante más caras, con precios que pueden superar los 100 dólares cuando hay indicios de saldo disponible.
- Accesos completos a banca online, especialmente en entidades europeas, pueden alcanzar los 300-350 dólares si los delincuentes creen que existe un saldo interesante o la posibilidad de realizar transferencias rápidas.
- Documentos personales digitalizados (DNI, pasaporte, permiso de conducir) se mueven en torno a una media de 15 dólares por unidad, aunque pueden meterlos en paquetes rebajados cuando se venden por volumen.
El factor clave no es solo el tipo de cuenta, sino la cantidad de información asociada. Cuantos más datos incluyen los delincuentes en el «perfil» de una persona, más valor tiene en estos mercados. Una simple combinación de correo y contraseña vale poco; pero si a eso se añaden número de teléfono, documento de identidad, dirección postal y datos bancarios, el potencial de explotación aumenta de forma notable.
También influye la antigüedad y la actividad de la cuenta. Perfiles que muestran movimientos recientes, compras habituales o uso continuado del servicio se consideran más valiosos, porque es menos probable que despierten sospechas si el criminal realiza operaciones desde ellos en un primer momento.
Todo esto crea una especie de «tarifa» informal. Hay accesos que se liquidan por cantidades casi simbólicas y otros por los que se pagan sumas que, comparadas con el coste que pueden suponer para la víctima, resultan ridículas. Para el usuario afectado, una contraseña vendida por pocos dólares puede acabar en un robo de varios miles de euros o en un problema serio de suplantación de identidad.
De credenciales sueltas a ataques dirigidos
Cuando los datos robados se combinan y cruzan entre sí, el ciberdelincuente ya no se limita a probar suerte al azar. Con suficiente información, es posible construir perfiles digitales muy completos: dónde vive una persona, en qué trabaja, qué bancos utiliza, qué redes sociales frecuenta, qué dispositivos usa para conectarse y qué servicios se vinculan a su correo principal.
Este tipo de perfilado permite pasar de fraudes masivos a ataques mucho más dirigidos. Por ejemplo, si una víctima tiene un determinado banco, los atacantes pueden enviarle un correo personalizado que parece proceder de esa entidad, incluyendo nombre y apellidos reales, para que resulte más creíble. O pueden hacerse pasar por su empresa, por un proveedor habitual o incluso por un contacto profesional suplantado.
En el caso de cuentas con cierto nivel de responsabilidad —como empleados con acceso a sistemas corporativos sensibles, administradores de sitios web o perfiles verificados en redes sociales—, el valor de la contraseña se dispara en la práctica, aunque el precio de venta inicial no siempre lo refleje. Desde ese tipo de cuentas es posible preparar ataques aún más complejos, como estafas a gran escala o movimientos internos dentro de organizaciones.
Otro aspecto que los expertos subrayan es la persistencia del riesgo. Aunque alguien cambie la contraseña después de un incidente, los datos robados pueden seguir circulando durante meses o años, mezclados con otra información. Si la persona reutiliza claves similares, mantiene el mismo correo o no actualiza otros servicios, los criminales seguirán probando combinaciones en diferentes plataformas hasta que alguna funcione.
Por eso, incluso una brecha aparentemente pequeña —como la filtración de una cuenta personal poco utilizada— puede acabar teniendo consecuencias relevantes si se aprovecha como punto de entrada para obtener más datos o preparar un engaño a mayor escala.
Por qué este modelo criminal sigue siendo tan rentable
La clave del éxito del phishing y de la venta de contraseñas en la dark web está en que se apoya en el eslabón más débil: el factor humano. No hace falta explotar vulnerabilidades técnicas sofisticadas cuando basta con convencer a alguien para que entregue sus datos con prisa o sin fijarse bien en la dirección web.
La globalización digital también juega a favor de los delincuentes. Las mismas bases de datos robadas pueden comercializarse en distintos países y foros, adaptando los ataques según el idioma o la región del afectado. Un conjunto de credenciales capturadas en Europa puede acabar siendo explotado desde cualquier otro continente, y viceversa.
Además, el coste para los criminales es relativamente bajo. Una vez creada la infraestructura de páginas falsas y correos fraudulentos, lanzar campañas masivas resulta barato y escalable. Aunque solo una pequeña parte de los destinatarios caiga en la trampa, el volumen total de credenciales obtenidas compensa sobradamente el esfuerzo.
Otro motivo por el que este modelo se mantiene es la facilidad para el intercambio de servicios dentro del propio ecosistema delictivo. Hay quienes se especializan en robar datos, otros en validarlos, otros en venderlos y otros en explotarlos. Cada eslabón se centra en su nicho y cobra una parte del beneficio, lo que hace que toda la cadena funcione como una especie de industria clandestina bien engrasada.
Mientras tanto, muchos usuarios afectados no son conscientes de que sus datos están circulando. A menudo se enteran tarde, cuando detectan movimientos extraños en sus cuentas, accesos no reconocidos o intentos de suplantación, y en ocasiones nunca llegan a saber que una filtración concreta estuvo en el origen del problema.
Cómo evitar que tu información acabe a la venta
No existe una protección infalible, pero sí hay una serie de hábitos que reducen de forma notable el riesgo de que tus credenciales terminen en esos mercados clandestinos. El primer paso es desconfiar de cualquier enlace o archivo adjunto que llegue por correo, SMS o mensajería si no estabas esperando ese mensaje. Ante la duda, es mejor entrar directamente al servicio escribiendo la dirección en el navegador que hacer clic en un enlace del mensaje.
También conviene revisar bien las direcciones web antes de introducir datos personales o bancarios. Pequeños cambios ortográficos, dominios extraños o páginas que parecen casi idénticas pero no terminan en la extensión habitual del banco o empresa son señales claras de alerta. Si algo no cuadra, mejor salir sin introducir información.
Otro pilar básico es la gestión de las contraseñas. Reutilizar la misma clave en diferentes servicios aumenta exponencialmente el daño de cualquier filtración. Utilizar contraseñas únicas y robustas para las cuentas más importantes (correo principal, banca, redes sociales y servicios de pago) es fundamental. Puede resultar más cómodo apoyarse en un gestor de contraseñas para no tener que recordarlas todas.
Siempre que un servicio lo permita, es recomendable activar la autenticación en dos pasos o multifactor. De este modo, aunque alguien obtenga tu contraseña, necesitará un código adicional (por SMS, aplicación o llave física) para completar el acceso. No es una barrera perfecta, pero complica bastante el trabajo a los atacantes. También conviene complementar la seguridad con opciones como la configuración con datos biométricos cuando esté disponible.
Por último, merece la pena vigilar con frecuencia los movimientos de tus cuentas bancarias y los inicios de sesión en tus servicios principales. Muchos bancos y plataformas ofrecen avisos por notificación o correo cuando detectan un acceso nuevo o una operación relevante. Revisar estos avisos y reaccionar rápido ante cualquier actividad sospechosa puede marcar la diferencia.
Si se mira con cierta perspectiva, el precio que tu contraseña puede alcanzar en la dark web dice poco sobre el verdadero impacto que puede tener en tu vida digital. Para los delincuentes, es un dato más en una hoja de cálculo; para la víctima, puede traducirse en pérdidas económicas, problemas legales, daños a su reputación o un largo proceso de recuperación de cuentas. Entender cómo funciona este mercado, qué valor dan a tus datos y de qué forma se alimenta con campañas de phishing constantes es un buen recordatorio de que merece la pena dedicar unos minutos a reforzar la seguridad de tus accesos antes de que acaben formando parte de ese comercio clandestino.
