Més de 550 milions de cookies d'usuaris espanyols, a la venda a la dark web: com evitar-ho?
Espanya és el país europeu més representat en un estudi que analitza el conjunt de dades de 54.000 milions de cookies que es troba a l'abast de qualsevol ciberdelinqüent, un perill potencial per a la ciberseguretat dels usuaris
Milions de petits fragments de la nostra identitat digital es compren i es venen cada dia. Es pot fer de manera legal, quan hem fet clic a "acceptar-ho tot", o de forma abusiva, quan entren en escena figures com els data brokers, i també de forma il·legal, a la dark web, quan no ho hem autoritzat.
Un grup d'investigadors independents, per encàrrec de l'empresa de ciberseguretat NordVPN, ha analitzat què tenen a la venda els ciberdelinqüents que negocien amb les nostres dades.
La primera conclusió que han extret del seu estudi és que el territori espanyol és especialment prolífic: és la regió europea amb més cookies a la venda en els mercats del web fosc, i ocupa la 15a posició al món.
Els responsables de l'estudi han explicat al 324.cat que no disposen de dades sobre el nombre de cookies amb origen a Catalunya. Les cinc primeres posicions les ocupen el Brasil, l'Índia, Indonèsia, els Estats Units i Vietnam, amb milers de milions de cookies dels seus ciutadans a la venda en mercats del web fosc. En el cas d'Espanya, s'han trobat 554 milions de galetes ofertes en el mercat il·legal.
Les cookies, o galetes, són bocins de dades que es generen durant la nostra activitat web i registren informació personal que es pot utilitzar per configurar i facilitar l'ús d'un servei en línia o per personalitzar l'oferta publicitària.
El cúmul d'aquestes dades ofereixen una imatge bastant precisa de la identitat digital de cada usuari, un potencial forat de seguretat que exploten els cibercriminals que hi tenen accés.
"Aquest estudi pretén donar llum sobre com els usuaris d'internet posen en perill els seus comptes, diners i informació privada simplement acceptant galetes sense pensar-s'ho."
Els investigadors han analitzat un conjunt de dades de 54.000 milions de cookies i els seus llistats, que es venien a la dark web. El seu objectiu: descobrir com es van robar, quin tipus d'informació contenen i quins riscos de privacitat i seguretat suposen.
En declaracions al 324.cat, el director tecnològic de NordVPN, Marijus Briedis, explica que van encarregar l'estudi "per destacar els riscos significatius i les vulnerabilitats de seguretat associades a les galetes", especialment quan acaben al web fosc, i explicar com els "ciberdelinqüents poden explotar les cookies per als seus objectius".
Com es compren cookies al web fosc?
Els productes que són a la venda al web fosc (una part de la internet profunda que no es troba a través de cercadors com Google i que requereix un accés especial) s'apropen als usuaris menys experts a través de vies alternatives i més accessibles, com Telegram.
Els investigadors independents han compilat un conjunt de dades posant-se en contacte amb hackers ciberdelinqüents que les havien aconseguit de forma il·lícita i en feien publicitat a través de diferents canals de Telegram.
NordVPN explica que ni l'empresa ni els investigadors van arribar a comprar mai les cookies robades, que ni tan sols van arribar a analitzar els arxius de les cookies per comprovar-ne els continguts. Es van limitar a analitzar els llistats de venda, documents detallats que desenvolupen els ciberdelinqüents i on especifiquen les característiques exactes del que estan venent.
En resposta a les preguntes del 324.cat, NordVPN explica que els llistats de venda fan referència a les cookies en un format semblant al següent:
Nom: XXXX
Lloc web: YYYY
Valor: ZZZZ
Caducitat: 2024-02-12
Limitant l'estudi a aquesta informació s'asseguren "no vulnerar la privacitat o la seguretat" dels usuaris: "no ingressem ni verifiquem els detalls de cap manera; simplement observem com s'estan venent".
Quina informació contenen les cookies?
Només amb els llistats, però, els investigadors han estat capaços de descobrir quin tan per cent de les cookies estan encara actives, amb quin malware s'havien robat, de quin país provenien i quina informació contenien.
El director tecnològic de NordVPN, Marijus Briedis, explica al 324.cat que els preocupa especialment l'impacte generalitzat i la facilitat d'accés a les cookies: "El fet que més de 54.000 milions de galetes s'hagin vist compromeses i siguin fàcilment accessibles al web fosc posa de manifest la naturalesa extensiva d'aquest problema".
Tot i que s'acostuma a dir que les dades que acumulen les cookies anonimitzen els usuaris, les descripcions més habituals associades a la llista de galetes analitzada eren "ID, o identificador assignat" (10.500 milions) o "identificador de sessió" (739 milions), dues dades que poden utilitzar-se per relacionar-se amb usuaris específics i acabar identificant-los amb precisió, explica Marijus Briedis, director tecnològic de NordVPN:
"La informació que contenen de les cookies es pot desanonimitzar [...] En el pitjor dels casos, algú que recopila dades mitjançant cookies pot obtenir informació suficient per cometre fraus financers, manipular o fer xantatge, o fins i tot accedir a xarxes corporatives sensibles."
A continuació, una altra paraula clau repetida a les llistes de cookies analitzades preocupant: "autentificació" (154 milions) i "inici de sessió" (37 milions). Molts d'ells encara estan actius actualment; és a dir, es podrien utilitzar per iniciar sessió als comptes de la gent.
It would take a hacker only a few minutes to log into your email. They don't need your password or 2FA code just your login session cookie. And there are currently 54 billion cookies for sale on the dark web. Read about the dangers of stolen cookies in our research report ??
NordVPN (@NordVPN) April 3, 2024
"A un hacker només li portaria uns minuts accedir al teu correu electrònic. No necessita ni la teva contrasenya o el doble codi d'autenticació -només la teva galeta d'inici de sessió. Actualment hi ha 54.000 milions de cookies a la venda al web fosc."
La resta d'informació personal que inclouen les cookies està descrita amb paraules com "país", "nom", "email", "ciutat", "contrasenya", "direcció", "telèfon", "gènere", "targeta [bancària]. "orientació [sexual]" i "aniversari".
Es tracta d'una "violació important de la privadesa dels usuaris", diu Marijus Briedis, "que els exposa a "riscos com ara robatori d'identitat, atacs de phishing dirigits i accés no autoritzat als seus comptes".
Un cop més, es confirma que les cookies, especialment les de tercers, són un perill potencial per a la privacitat i la ciberseguretat en general dels usuaris.
D'on venen, les cookies?
Les cookies a la venda al web fosc que ha analitzat aquest estudi provenen, majoritàriament, de sistemes Windows, un fet lògic a causa de la naturalesa del programari maliciós utilitzat per robar-les i la distribució actual del mercat de sistemes operatius.
El sistema operatiu d'origen més comú és Windows 10 Enterprise, d'on provenen el 30% de totes les cookies analitzades (16 milions). En tot cas, s'hi han trobat etiquetes "per a més de 4.500 sistemes operatius diferents", incloent-hi els més de 30 milions de cookies provinents de dispositius d'Apple.
Moltes de les cookies analitzades, expliquen des de NordVPN "semblaven tenir un nom específic del dispositiu i del model", la qual cosa "subratlla el nivell de detall emmagatzemat a les galetes que es podria utilitzar per identificar a persones" concretes.
Més del 5% de les cookies incloses en els llistats analitzats eren de Google, mentre que l'1,3% provenien de YouTube, més d'un 1% eren de Microsoft i un altre 1%, del seu cercador, Bing. En general, doncs, el sector dels motors de cerca queda assenyalat com un dels contribuïdors més grans en la generació de cookies.
Les galetes també es poden aconseguir de manera legal quan acceptem que les diferents pàgines web que visitem ens les instal·lin. Si després aquestes webs no tenen mesures de seguretat suficient per protegir la informació o la venen sense permís, aquestes dades també poden acabar a la dark web, tal com ens explica el director tecnològic de NordVPN:
"Si les empreses venen informació sense el consentiment clar de l'usuari, corren el risc d'infringir les lleis de privadesa, perdre la confiança dels clients i enfrontar-se a possibles conseqüències legals. [Cal] mantenir pràctiques estrictes de protecció de dades i ser transparent sobre la gestió de dades."
Com s'han robat, les cookies?
La majoria de les galetes s'han obtingut a partir de programari maliciós (o malware), entre els quals hi podem trobar "lladres d'informació (infostealers), troians o keyloggers", aquests darrers, dedicats a obtenir informació textual de totes les tecles que premem.
Amb aquestes eines es poden "capturar dades directament dels ordinadors dels usuaris o interceptar-les durant la transmissió com, per exemple, en xarxes WiFi insegures, tal com explica el director tecnològic de NordVPN, Marijus Briedis.
Alguns programes maliciosos, com Aurora, s'instal·len fent-se passar per apps legítimes; altres com Dark-crystal-rat permeten controlar un ordinador a distància; d'altres es propaguen per YouTube, com Pennywise, i d'altres es venen com a servei i ofereixen suport tècnic als hackers, com Raccoon.
Redline, per exemple, és un malware que es ven com a servei per 100 dòlars al mes. És un keylogger i lladre d'informació, responsable d'obtenir la majoria de cookies analitzades, més de 30.000 milions, tot i que només el 13% d'aquestes són encara actives.
Altres peces de malware, com Predator-the-thief, Cryptbot, Taurus i MetaStealer, són responsables de pràcticament la meitat de les cookies actives que estan a la venda al web fosc.
Les galetes caduquen i deixen d'estar actives. Les actives presenten un risc més elevat perquè "s'actualitzen activament en temps real a mesura que l'usuari navega per internet" i la informació és més rellevant i actualitzada, explica NordVPN.
Tanmateix, no es pot menysprear el valor de les galetes inactives, ja que "també poden contenir informació relacionada amb l'usuari i fins i tot ser utilitzades per a més atacs i manipulacions".
Com evitar que les teves cookies acabin a la venda?
Les mesures habituals per evitar infeccions de malware (que també tenen lloc en telèfons mòbils) serveixen per evitar que les nostres cookies es posin a la venda al web fosc i acabin en mans de ciberdelinqüents.
? Mantenir actualitzat el sistema operatiu, el navegador i la resta de les aplicacions
? Instal·lar i utilitzar un antivirus
? Desconfiar d'enllaços ocults o aplicacions i programes poc contrastats
? Utilitzar contrasenyes segures
? Activar els mètodes de doble factor de verificació
? Anar amb compte amb descàrregues i adjunts de correu, aprendre sobre les tàctiques de phishing més habituals
Marijus Briedis, director tecnològic de NordVPN, ho resumeix:
"És necessari [mantenir] una estratègia integral que inclogui tant canvis de comportament com solucions tecnològiques per garantir la màxima protecció contra el robatori de cookies i altres amenaces a la ciberseguretat."
? Cal gestionar les galetes amb criteri sempre que sigui possible, no acceptar-les totes per defecte i esperar amb fe que la web a qui confiem les nostres dades respecti la nostra configuració i no faci diners amb la nostra informació personal.
"La millor manera d'evitar el robatori és quan no hi ha res a robar. [...] Podeu rebutjar moltes de les galetes de seguiment. [...] I, finalment, podeu esborrar periòdicament les vostres galetes per eliminar dades antigues o potencialment compromeses."
? Esborrar les cookies regularment
Aquest gest "minimitza la quantitat d'informació personal emmagatzemada" que tenim al nostre dispositiu i "limita la capacitat dels llocs web i dels anunciants per fer un seguiment" de la nostra activitat en línia, explica per al 324.cat Marijus Briedis. I tot això, a més d'alliberar espai al dispositiu i millorar-ne el rendiment.