- Solo con el nombre y el estado de residencia se podía recibir un archivo con direcciones anteriores, familiares, números de teléfono, correos electrónicos e información de licencia de conducir, y el costo de la consulta era de 15 dólares en Bitcoin
- La herramienta parece acceder a datos de credit header en poder de Experian, Equifax y TransUnion, y en algunos casos también ofrecía el número de Seguro Social (SSN) por 20 dólares
- El credit header es información personal creada a partir de datos relacionados con tarjetas de crédito de gran parte de los adultos en Estados Unidos, y termina circulando, mediante contratos y compras, hasta agencias de cobro, aseguradoras y fuerzas del orden
- Los criminales accedieron a la cadena de suministro de datos mediante métodos como la suplantación de identidad de exagentes de las fuerzas del orden, y vendían en línea acceso sin restricciones a otros criminales
- También se usó para consultar a figuras conocidas como Elon Musk, Joe Rogan y Joe Biden, y aunque parte de los datos no eran sensibles, se confirmó que al menos una parte era precisa
Consulta de datos personales vendida mediante un bot de Telegram
- En Telegram, bastaba con ingresar el nombre y el estado de residencia del objetivo para que poco después se generara un archivo con datos personales
- El archivo incluía direcciones donde la persona había vivido en Estados Unidos, incluso la dirección de una residencia universitaria de hace más de 10 años
- La información incluida consistía en elementos que pueden usarse para verificar la identidad y rastrear a la persona
- nombres de familiares y año de nacimiento
- números de celular y operador
- direcciones de correo electrónico personales
- información de licencia de conducir y número único de identificación
- El costo total de la consulta era de 15 dólares en Bitcoin, y el bot a veces ofrecía el número de Seguro Social por 20 dólares
Abuso de la cadena de suministro de datos de agencias de crédito
- Esta herramienta parece acceder a datos de credit header que Experian, Equifax y TransUnion poseen sobre gran parte de los adultos en Estados Unidos
- Los datos de credit header son información personal generada a partir de datos relacionados con tarjetas de crédito, y pasan a otras empresas mediante diversos contratos y compras
- Esos datos transferidos siguen rutas que los llevan a agencias de cobro, aseguradoras y fuerzas del orden
- Los criminales lograron acceder a esta cadena de suministro y, en algunos casos, utilizaron la suplantación de identidad de exagentes de las fuerzas del orden
- La herramienta analizada también se usó para recopilar información de figuras conocidas como Elon Musk, Joe Rogan y Joe Biden, y parece haber sido utilizada sin restricciones de acceso
- La verificación mostró que no todos los datos eran siempre sensibles, pero al menos una parte era correcta
1 comentarios
Opiniones de Hacker News
Vale totalmente la pena configurar un congelamiento de crédito en Experian, TransUnion y Equifax.
Es molesto al principio porque hay que entregar un montón de datos personales, pero una vez hecho, congelar y descongelar es bastante fácil.
Guarda la URL, el usuario y la contraseña en una nota segura, y cuando necesites solicitar crédito, lo descongelas solo por un día o una semana.
Antes había muchos problemas de robo de identidad en los que abrían crédito a mi nombre, y el congelamiento de crédito lo solucionó.
Experian: https://www.experian.com/freeze/center.html
TransUnion: https://www.transunion.com/credit-freeze
Equifax: https://www.equifax.com/personal/credit-report-services/cred...
Odio mucho a estas empresas, pero pasar por el trámite valió la pena y se lo recomendaría a cualquiera.
La última vez me bloquearon la cuenta porque no había iniciado sesión en 3 años y me pidieron mucha verificación adicional.
A veces la verificación se ve incluso más insegura, o más complicada, porque usa datos como direcciones antiguas, el mismo tipo de información que preguntaban al configurarlo al principio.
Con el tiempo, en el momento menos esperado, pueden impedirte levantar el congelamiento diciendo que la verificación de la cuenta toma 60 días.
Cada vez que pase algo así, deberían imponerle multas enormes al emisor.
En este tipo de fraude, la víctima no es la persona, sino el banco.
Mi identidad sigue siendo mía; el banco o acreedor simplemente le dio su propio dinero a un delincuente por negligencia propia.
Convertir en víctima a una persona que no tuvo ninguna participación es una fantasía sin sentido, y la ley debería cambiar para reflejar esta realidad.
Mientras los bancos puedan trasladar el costo de su negligencia a personas inocentes, seguirán actuando con descuido.
Cada vez que aparezca esta expresión en el debate público, debería difundirse la idea de rechazar el engaño de llamarlo “robo de identidad”.
Sketch de radio relacionado de Mitchell and Webb: https://www.youtube.com/watch?v=CS9ptA3Ya9E
Tuve que lidiar con estafadores que no solo abrieron líneas de celular, sino que incluso contrataron la electricidad de su departamento a mi nombre, y configurando el congelamiento ahí se resolvió.
No sé si estoy bien justamente porque nunca inicié nada en primer lugar.
Para ahorrarles el clic: el arma secreta es pagarle 15 dólares a un delincuente en un grupo de Telegram para que doxee a alguien.
La mayor parte del artículo trata sobre de dónde obtienen los datos esos servicios de doxxing y cómo van cambiando esas fuentes.
Ahora TLOxp de TransUnion es el servicio popular.
TLOxp es la versión más reciente de una tecnología que cambió las reglas del juego y abrió el campo de la fusión de datos.
Entre los usos de TLOxp se enumeran cobranza, profesionales legales, departamentos legales internos, investigadores con licencia, servicios financieros, seguros, riesgo corporativo, periodistas de investigación, fuerzas del orden, gobiernos estatales, locales y federales, recuperación de activos y embargos.
Tienen errores como la misma información incorrecta que las instituciones financieras preguntan para verificar la identidad, así que asumo que la fuente son las agencias de crédito.
Conviene buscar tu propio nombre varias veces al año y pedir a esos sitios que eliminen tus datos.
La mayoría lo procesa bastante rápido.
Puede parecer una nota engañosa de “te atrapamos”, pero creo que el título entrega exactamente lo que promete.
Trata de cómo se venden doxxing y cosas peores mediante herramientas de búsqueda poco reguladas provistas por agencias de crédito.
¿Hubo algo que debilitara esas afirmaciones?
El enfoque está mal.
La identidad y la autenticación de una persona no deberían basarse en información inmutable y potencialmente pública como el número de seguro social, el número de licencia de conducir o el historial de direcciones.
Esa información puede filtrarse de muchas maneras y, una vez filtrada, queda para siempre.
Necesitamos una identificación digital adecuada, autenticación y mecanismos de resolución de disputas.
No será barato, pero a largo plazo las alternativas salen más caras.
Es algo engorroso, pero bastante difícil de hackear.
Claro que no funciona si no tienes pasaporte o una identificación equivalente.
Solo imagina intentar pedir un préstamo y descubrir que tu identidad fue revocada y que otra persona ya se la quedó.
TransUnion dijo que “en los casos extremadamente raros en los que se identifica un uso indebido de TLOxp, cooperamos con las agencias de aplicación de la ley para ayudar a procesar a los responsables”, pero eso es completamente falso.
TransUnion llegó a entregarles mi reporte de crédito completo a hackers que solo tenían información pública, y no les importó en absoluto.
No parece que eso vaya a pasar pronto.
Claro que sería una molestia enorme.
No dicen nada sobre cuánto les importa ni qué tanto seguimiento hacen después de identificarlo.
Hay otra cosa que odio de las agencias de crédito.
Si vas a una inmobiliaria comercial, todos los agentes tienen licencias de agencias de crédito y, en particular, los agentes junior consultan todos los días a propietarios de inmuebles y les hacen llamadas de venta al celular.
TLO también debe saber que no hay forma de que una gran parte de la industria de corretaje inmobiliario comercial use su producto todos los días con fines de cumplimiento de la GLBA, pero se hace de la vista gorda y busca cómo monetizarlo.
Ni siquiera hace falta meterse en los rincones oscuros de internet para conseguir esta información.
Basta con entrar por la puerta principal.
“Si le cobras al criminal por los datos, no es una filtración de datos.
En ese caso es la prestación de un servicio”.
— las agencias de crédito
Si alguien te llama y, para demostrar que es “real”, dice que ya sabe mucha de tu información personal, nunca le des información personal.
Siempre debes volver a llamar a un número que hayas buscado tú mismo, no al que ellos te dieron.
Antes hubo casos en los que estafadores llamaban haciéndose pasar por el banco y luego decían que devolvieran la llamada al número del reverso de la tarjeta de crédito.
Cuando la víctima colgaba y volvía a levantar el auricular, los estafadores mantenían la línea abierta, reproducían un tono de marcado falso y engañaban a la persona haciendo que alguien más “contestara”.
Menos todavía si es un número desconocido.
Todos somos vulnerables al problema que trata el artículo.
Creo que esto va a empeorar.
Hay montañas de datos sin clasificar porque nadie se había interesado en ellos, y ahora un modelo de lenguaje grande decente puede hacer ese trabajo por nosotros.
Habría que prohibir toda esa industria.
Los tribunales deberían registrar los incumplimientos de pago de préstamos y proporcionar esa información a los acreedores.
El reporte no debería incluir nada más.
Los prestamistas ya verifican los ingresos de forma independiente y, en el caso de los créditos hipotecarios, también revisan los gastos mensuales.
El resto de la información que entra en el reporte de crédito y se usa para calcular el puntaje crediticio parece estar ahí para obligar a la gente a sacar tarjetas de crédito y perpetuar el racismo estructural.
Esto ya era evidente hace 20 años, cuando investigadores privados daban charlas en conferencias de hackers sobre todas las formas de obtener legalmente la información que quisieran.
Con una búsqueda mínima hay como 500 servicios en línea que permiten escarbar información privada por poco dinero.
No son hackers, son servicios operados por empresas que cotizan en bolsa.
Parece que alguien recién creó un bot que facilita aún más hacerlo.
Para un hacker, este tipo de artículo se lee como uno sobre “las cerraduras de las puertas no son seguras”.
Lo único que tenía era mi nombre y la universidad a la que asistía.
Cuando le pregunté cómo había conseguido mi número, dijo que había usado un servicio como los mencionados arriba.
Para alguien decidido, estas cosas no eran particularmente difíciles.
Lo único que necesitas es el número de teléfono de la persona.
Aun así, incluso hace 20 años era evidente que, si sabías aunque fuera muy poco sobre una persona, especialmente si su nombre no era común, podías encontrar una cantidad enorme de información.