Los datos criptográficos robados se venden en la dark web por 105 dólares

Las cuentas de criptomonedas robadas se venden en la dark web por un precio promedio de $105. Los datos se recopilan mediante ataques de phishing y se consideran el primer paso de una compleja cadena de robo.

El precio de una sola cuenta de criptomonedas oscila entre $60 y $400, según SecureList. Los hackers capturan datos de criptomonedas, los monetizan inmediatamente o los almacenan en una base de datos. El destino final depende del tipo y la calidad de los datos capturados.

Cómo los datos criptográficos robados salen de los sitios de phishing

Los datos criptográficos capturados salen de una página de phishing de tres maneras: entrega por correo electrónico, entrega por bot de Telegram o carga del panel de administración.

Los atacantes también abusan de servicios legítimos para ocultar su actividad, como Google Forms, Microsoft Forms, GitHub, Discord y otras plataformas similares.

En el envío de correo electrónico, los datos se recopilan de formularios HTML falsos y se envían a un script del servidor, generalmente PHP. Este script reenvía la información robada a una dirección de correo electrónico controlada por el atacante.

Un de phishing consta de un archivo para alojar la página de inicio de sesión falsa, un script para procesar el formulario y un tercer archivo con la dirección de correo electrónico del atacante. Sin embargo, la entrega de correos electrónicos está disminuyendo debido a retrasos, bloqueos por parte de los proveedores y una escalabilidad deficiente.

En lugar de correo electrónico, muchos kits ahora envían datos directamente a bots de Telegram. El script malicioso llama a la API de Telegram usando un token de bot y un ID de chat. En ocasiones, la llamada a la API se integra directamente en el código HTML.

Telegram se ha convertido en el canal predilecto de los hackers. Los datos robados llegan al instante. Los operadores reciben alertas en tiempo real. Los bots son desechables y difíciles de trac. Y el alojamiento no es tan importante.

Los atacantes avanzados prefieren los paneles de administración. Forman parte de un marco o esqueleto que captura datos criptográficos y los envía a una base de datos. El atacante gestiona los datos mediante una interfaz web.

Los paneles de administración proporcionan estadísticas en tiempo real por fecha y país. Incluyen comprobaciones automatizadas dedent. El framework también exporta datos para su reventa o reutilización. Estos paneles son esenciales para las operaciones de phishing organizadas.

Venta de datos criptográficos robados

Los datos criptográficos son valiosos porque a menudo generan fondos. Los datos robados podrían venderse en tiempo real o entrar en un canal de reventa, según SecureList de Kaspersky.

Los hackers buscan información de inicio de sesión de exchanges, acceso a billeterasy cuentas de acceso a fiat. Otros datos objetivo incluyen credenciales de cuentadentnúmeros de teléfono y datos personales.

Los inicios de sesión en billeteras con códigos de un solo uso o cuentas vinculadas a rampas de acceso fiat permiten realizar ventas en tiempo real. Los datos restantes se utilizan para ataques posteriores.

Los números de teléfono podrían usarse para estafas por SMS o interceptación de autenticación de dos factores (A2F). Los datos personales se utilizan para ingeniería social. Los documentos dedent, la voz, los datos faciales o las selfis con documentos se utilizan para abusos de alto riesgo.

El proceso de reventa comienza con la venta de archivos volcados. Los datos se agrupan en grandes archivos o volcados. Estos contienen millones de registros procedentes de ataques de phishing. Los intermediarios compran estos archivos por tan solo $50.

Una vez obtenido un volcado, los intermediarios filtran y prueban los datos. Luego, scripts automatizados verifican si lasdentsiguen funcionando. El código también detecta dónde más se pueden reutilizar.

La reutilización de contraseñas revaloriza los datos antiguos. Un inicio de sesión robado hace años aún puede desbloquear otra cuenta hoy. Luego, se fusionan los datos de múltiples ataques. Una contraseña, un número de teléfono y un antiguo registro de empleador pueden crear un único perfil de usuario.

Una vez limpios y organizados los datos robados, están listos para su reventa a estafadores. Los datos verificados se venden en foros de la dark web y canales de Telegram.

Telegram suele funcionar como escaparate con precios y comentarios de los compradores. Los precios varían según la antigüedad de la cuenta, el saldo, los pagos vinculados y el estado de la autenticación de dos factores (2FA).

Rangos de precios típicos:

• Cuentas de criptomonedas: $60 – $400.

• Redes sociales: desde centavos hasta cientos de dólares.

• Aplicaciones de mensajería: desde centavos hasta $150.

• Documentos personales: $0,5–$125.

El análisis de Kaspersky mostró que el 88,5 % de los ataques se dirigen a lasdentde cuentas. Alrededor del 9,5 % roba datosdent, mientras que tan solo el 2 % recopila datos de tarjetas bancarias. La firma de ciberseguridad analizó los ataques de phishing de enero a septiembre de 2025.

Los datos criptográficos robados son un activo valioso para los ciberdelincuentes. Se almacenan, evalúan, intercambian y reutilizan. Un solo error de phishing puede provocar importantes ataques informáticos, incluso años después.