En la Dark Web se pueden comprar todo tipo de servicios oscuros e ilegales, incluyendo armas, droga e incluso asesinos a sueldo. Dentro del mundo del hackeo, se pueden conseguir herramientas que aprovechen vulnerabilidades (algunas de ellas incluso de día cero), así como comprar bases de datos con contraseñas obtenidas a través de hackeos a grandes plataformas. Otro de los servicios es contratar un hacker personalizado, pero muchos de ellos no hacen nada.
Google contrató a 27 hackers. Sólo 5 llegaron a intentar hackear las cuentas
Así lo ha demostrado una investigación llevada a cabo por Google e investigadores de la Universidad de California en San Diego. Para la prueba, contrataron a 27 servicios de hacking y les pidieron que accedieran a la cuenta de una persona de su elección. Estas víctimas eran cuentas de Gmail que los investigadores controlaban, lo cual les permitía saber cuándo los hackers habían tenido éxito o si realmente habían llegado a intentar acceder a la cuenta.
De los 27 servicios a los que contactaron, 10 de ellos no respondieron a sus peticiones, 12 respondieron pero no llegaron a realizar los ataques, y sólo 5 llegaron a realizar ataques hacia esas cuentas. Curiosamente, de los 12 que respondieron pero no lanzaron ataques, 9 dijeron que ya no hackeaban cuentas de Gmail, mientras que los otros eran claramente intentos de estafa.
Estos «servicios» de hacking costaban entre 100 y 500 dólares, y curiosamente ninguno usaba herramientas de automatización para los ataques. En su lugar, los hackers utilizaban técnicas de ingeniería social y lanzaban ataques personalizados para cada víctima. De entre los 5 que realizaron ataques, algunos pidieron datos personales de la víctima, mientras que otros simplemente usaron plantillas de emails de phishing.
Este tipo de ataques personalizados se dan cada vez más, como algunos que van dirigidos incluso hacia nuestro nombre, e incluso muestran nuestra contraseña para darle más validez, la cual la han obtenido de hackeos a plataformas como Dropbox.
Dos hackers fueron los más avanzados: uno haciendo phishing sofisticado y otro intentando instalar un troyano
De los que hicieron phishing, uno de ellos llego a saltarse la verificación en dos pasos a través de una web falsa que también solicitaba el código SMS, comprobando la validez de ambos en tiempo real. Otro de los hackers fue el que hizo el ataque más avanzado, tratando de infectar a la víctima con un troyano de acceso remoto en lugar de intentar obtener sus credenciales mediante phishing. Con ese malware, el hacker podría haber obtenido todas las credenciales y archivos personales de la víctima en el caso de haberlo llegado a ejecutar.
Estos dos hackers fueron de los que más dinero cobraron por los ataques, ya que eran los más avanzados y complejos. Hackear una cuenta de Gmail costaba 125 dólares en 2017, y actualmente ya cuesta 400 dólares. Esta subida es debido a que Google ha hecho más seguras las cuentas.
Por tanto, Google demuestra que es posible hackear una cuenta, pero es necesario que tengamos interacción con emails que nos manden los hackers. Estos servicios, además, son caros, con mala respuesta por parte de los hackers (tardan mucho en responder), y encima tienen precios muy inexactos por la variabilidad de las criptomonedas. Así, casi todos los servicios son inútiles contra usuarios avanzados, pero es posible hackear mediante phishing a los más inexpertos.