AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Las “sucker lists”: El doble riesgo para las víctimas de fraude en el cibercrimen moderno

admin

1. Introducción

El panorama actual del cibercrimen se caracteriza por su sofisticación, persistencia y capacidad de adaptación. Una de las prácticas más preocupantes, aunque menos conocidas fuera del sector profesional, es la creación y comercialización de las denominadas “sucker lists” o listas de víctimas. Estos listados, elaborados y compartidos entre actores maliciosos, contienen los datos de personas y organizaciones que ya han sido víctimas de fraude. Su existencia multiplica el riesgo para quienes ya han sufrido un incidente, pues los convierte en objetivos prioritarios para nuevos ataques, frecuentemente más agresivos y personalizados.

2. Contexto del Incidente o Vulnerabilidad

Las “sucker lists” se generan tras campañas exitosas de phishing, fraude bancario, scams telefónicos o ataques de ingeniería social. Una vez que una víctima ha caído en una estafa, sus datos —nombre, correo electrónico, teléfono, detalles bancarios, patrones de comportamiento y, en ocasiones, respuestas a preguntas de seguridad— son registrados y clasificados. Posteriormente, estos listados se venden o intercambian en foros de la dark web o en canales privados de cibercriminales. Los ciberdelincuentes consideran que quienes han sido engañados una vez tienen mayor probabilidad de volver a caer, especialmente si no han tomado medidas de protección o desconocen haber sido comprometidos.

En los últimos meses, los equipos de Threat Intelligence han detectado un incremento del 27% en la circulación de estos listados en mercados clandestinos, especialmente aquellos relacionados con fraudes financieros y suplantaciones de identidad (Business Email Compromise, BEC).

3. Detalles Técnicos

Las “sucker lists” pueden incluir información obtenida mediante diversos vectores de ataque:

– Phishing dirigido (spear-phishing), a menudo mediante campañas personalizadas que utilizan datos previamente comprometidos.
– Técnicas de vishing (voice phishing), en las que los atacantes utilizan datos de la lista para ganarse la confianza de la víctima durante llamadas telefónicas.
– Ataques de smishing (SMS phishing) y BEC, donde las listas se emplean para diseñar correos electrónicos y mensajes altamente creíbles.

En términos de TTPs (Tactics, Techniques and Procedures) según el marco MITRE ATT&CK, destacan:
– TA0001: Initial Access – Phishing (T1566)
– TA0006: Credential Access – Phishing for Information (T1598)
– TA0007: Discovery – Gather Victim Identity Information (T1589)

Indicadores de compromiso (IoC) asociados incluyen:
– Direcciones de correo electrónico y teléfonos reutilizados en múltiples campañas.
– Uso de dominios similares a los legítimos de bancos y empresas.
– Plantillas de correo y SMS con patrones detectados en campañas previas.

Algunos exploits conocidos incluyen el uso de frameworks como Metasploit para automatizar el envío de correos de phishing y Cobalt Strike para el despliegue de payloads personalizados tras la identificación de víctimas propensas.

4. Impacto y Riesgos

El impacto de estar en una “sucker list” es doble. Por una parte, se incrementa la frecuencia y sofisticación de los intentos de fraude dirigidos a la víctima. Por otra, aumenta la probabilidad de sufrir ataques combinados (por ejemplo, un primer phishing seguido de una llamada telefónica de “soporte técnico”). A nivel organizativo, empleados que figuran en estas listas pueden convertirse en la puerta de entrada para ataques más amplios, como el ransomware.

Según datos del sector, el 38% de las víctimas incluidas en estos listados vuelven a sufrir algún tipo de fraude en los 12 meses siguientes al incidente original. Además, el coste medio de los fraudes secundarios para empresas supera los 120.000 euros, sin considerar sanciones regulatorias bajo GDPR o NIS2 en caso de filtraciones de datos personales.

5. Medidas de Mitigación y Recomendaciones

Para reducir el riesgo asociado a las “sucker lists”, los profesionales de la ciberseguridad deben:

– Realizar campañas continuas de concienciación y simulacros de phishing a empleados y usuarios.
– Implementar autenticación multifactor (MFA) en todos los accesos críticos.
– Supervisar la exposición de credenciales y datos corporativos en la dark web mediante servicios de Threat Intelligence.
– Establecer procedimientos claros de respuesta ante incidentes, especialmente en el ámbito del fraude financiero.
– Revisar el cumplimiento de la legislación vigente (GDPR, NIS2), sobre todo en materia de notificación de brechas y protección de datos personales.

6. Opinión de Expertos

Especialistas como Javier Candau, jefe del Departamento de Ciberseguridad del CCN-CERT, advierten que la existencia de “sucker lists” supone un reto añadido para los equipos SOC y los responsables de seguridad. “No basta con mitigar el primer ataque; es imprescindible monitorizar de forma proactiva la reaparición de datos en mercados clandestinos y preparar a las víctimas para nuevos intentos de fraude, cada vez más elaborados”, señala Candau.

7. Implicaciones para Empresas y Usuarios

Para las empresas, la presencia de empleados en estas listas puede derivar en ataques dirigidos a altos cargos (whaling) o en el uso de técnicas de ingeniería social para acceder a sistemas internos. Los usuarios individuales, por su parte, se enfrentan a un desgaste psicológico y financiero, así como a la pérdida de confianza en servicios online.

El cumplimiento normativo con GDPR y la futura aplicación de NIS2 obligan a las organizaciones a extremar la protección de datos y la respuesta ante incidentes, so pena de sanciones que pueden alcanzar el 4% de la facturación anual.

8. Conclusiones

Las “sucker lists” representan una amenaza real y creciente en el ecosistema del cibercrimen. Su proliferación obliga a las organizaciones y profesionales de la ciberseguridad a adoptar un enfoque proactivo y multidisciplinar, combinando tecnología, formación y cumplimiento normativo. Solo así será posible romper el ciclo de victimización y anticipar nuevos ataques que, de lo contrario, seguirán evolucionando en creatividad y eficacia.

(Fuente: www.welivesecurity.com)