Es común ver cómo muchos hackers aseguran, a través de foros de la dark web, haber robado o sustraído información personal de usuarios de empresas y servicios, y ofrecerlas a otros ciberdelincuentes a cambio de una suma de dinero.
Esto es lo que ha hecho un supuesto criminal informático, quien afirma disponer de los datos personales de más de 39 millones de ciudadanos españoles y pide por ellos la cantidad de 10.000 dólares.
El hacker, asegura que la supuesta base de datos contiene el DNI, nombre, primer y segundo apellido, fecha de nacimiento, dirección, ciudad y código postal de los ciudadanos nacidos entre 1962 y 2004, y que la facilita en un archivo con un tamaño de 40 megas.
Es información que podría ser de utilidad para aquellos ciberdelincuentes que estén pensando realizar una campaña de phishing o similar, pues datos como la fecha de nacimiento o la dirección podrían ayudar a crear un ataque más personalizado y, por tanto, hacer que la víctima caiga en la trampa más fácilmente.
Ahora bien, el hacker que afirma tener los datos de millones españoles no demuestra de ninguna forma que el contenido de esa base de datos es información real de los ciudadanos nacidos entre 1962 y 2004. Podría simplemente haber publicado el post en un foro de la dark web y esperar a ver si algún atacante cae en la trampa y paga 10.000 euros por la supuesta base de datos.
De hecho, no hay ningún acontecimiento reciente que pueda relacionarse con la sustracción de datos de ciudadanos, pues hasta ahora no se conoce ningún ciberataque a ningún órgano de la Administración General del Estado. Incluso, es muy poco probable que exista una base de datos con información personal tan detallada de ciudadanos nacidos en 1962. Y si la hay, sería una base obsoleta.
La supuesta base de datos, además, no contiene información crítica de los ciudadanos, como podrían ser contraseñas, número de teléfono, números de cuentas, etc. Por lo que, aunque el archivo fuese real, no supondría un riesgo importante.