Genesis Market: El Desmantelamiento de un Mercado Negro de Identidades Digitales

El 14 de abril de 2023, una operación policial internacional sin precedentes, con la participación de 17 países, culminó con el desmantelamiento de Genesis Market, un peligroso mercado en línea dedicado a la venta de credenciales de cuentas robadas a usuarios de todo el mundo. Este mercado, operativo desde 2017, era un punto de encuentro para ciberdelincuentes que buscaban acceder a información personal y financiera de individuos y organizaciones.

¿Qué era Genesis Market?

Genesis Market era un mercado clandestino de credenciales que operaba en la web abierta, aunque oculto tras un sistema de invitación. Su principal "mercancía" eran las identidades digitales. Este mercado ofrecía a sus clientes la posibilidad de adquirir credenciales de diferentes administraciones públicas, entidades privadas o particulares y, por medio de un software especifico poder recrear su huella digital.

A diferencia de otros mercados delictivos, Genesis Market era accesible en la web abierta, aunque oculto a las fuerzas de seguridad tras un velo de sólo invitación. Era un auténtico mercado persa de credenciales y datos de todo tipo. Un mercado negro donde los clientes solo entraban por invitación, casi como un club privado.

¿Cómo Funcionaba Genesis Market?

Este mercado ofrecía "bots" que se utilizaban para robar datos de usuarios a través de malware que infectaba los dispositivos o de ataques que daban acceso a las cuentas de servicios digitales. Así, proporcionaban las bases de datos que robaban y las herramientas para el uso de los bots.

Al comprar un bot de este tipo, los delincuentes obtenían acceso a todos los datos recopilados por él, como huellas dactilares, cookies, inicios de sesión guardados y datos de rellenado automático de formularios. Los delincuentes que compraban estos bots especiales no sólo recibían datos robados, sino también los medios para utilizarlos. A los compradores se les proporcionaba un navegador personalizado que imitaba el de su víctima.

Esto permitía a los delincuentes acceder a la cuenta de su víctima sin activar ninguna de las medidas de seguridad de la plataforma en la que estaba la cuenta. Los usuarios podían realizar búsquedas de bots de interés en base a distintos parámetros, como país de ubicación del equipo infectado, servicios online a los que se deseaba acceder con las credenciales y huella digital sustraídas, etc.

El precio por bot oscilaba entre 0,70 dólares y varios cientos de dólares, dependiendo de la cantidad y la naturaleza de los datos robados y todo ello a un precio que variaba desde algunos céntimos hasta varios cientos de dólares, dependiendo de la cantidad y naturaleza de los datos sustraídos de las víctimas, lo que hacía que la adquisición de bots estuviese al alcance de un amplio rango de potenciales clientes.

Magnitud del Mercado

Para dar una idea de la magnitud del mercado de credenciales ahora clausurado, basta decir que los datos a la venta ascendían a más de 1,5 millones de bots, que incluían información de más de 2 millones de identidades a nivel mundial. El número total de credenciales comprometidas en España supera las 700.000.

Hoy en día, todos tenemos una identidad digital, no solo un nombre de usuario y una contraseña, sino también un comportamiento en línea completo que se puede utilizar para determinar quiénes somos.

La Operación Policial

La investigación ha estado liderada por el FBI y la Policía Holandesa y ha contado con el apoyo de EUROPOL, que dispuso un Centro de Control en sus instalaciones de La Haya para centralizar la información facilitada por los países participantes y agilizar las comunicaciones entre ellos.

La dispersión geográfica de los países que han colaborado en esta investigación ha supuesto un tremendo reto de coordinación a la hora de hacer coincidir el momento de las detenciones y registros domiciliarios, debido a los diferentes husos horarios aplicables a cada uno de ellos.

Agentes de la Policía Nacional y de la Guardia Civil han participado en una operación sin precedentes a nivel mundial apoyada por EUROPOL, en la que se ha detenido a 119 personas y practicado 208 entradas y registros. La plataforma, conocida como Génesis Market, fue desactivada el pasado día 4 de abril, coincidiendo con la detención de todos los usuarios de la misma, que habrían hecho uso de la información facilitada en Génesis para acceder de forma fraudulenta a diversos Servicios online, suplantando la identidad de sus víctimas.

El resultado de la operación policial es de 119 detenidos, 11 de ellos en España.

El Centro Europeo de Ciberdelincuencia (EC3) de Europol ha estado apoyando esta investigación desde 2019 coordinando la actividad internacional con la ayuda del Grupo de Acción Conjunta contra la Ciberdelincuencia (J-CAT) alojado en Europol. El apoyo del EC3 incluyó el análisis de datos, la organización de reuniones operativas y la facilitación del intercambio de información. Eurojust facilitó activamente la cooperación judicial transfronteriza entre las autoridades nacionales implicadas.

En el aviso que apareció en el sitio web de Genesis Market pueden verse en la esquina inferior de la izquierda los logos de la Guardia Civil y la Policía Nacional de España, país participante en la mega-operación. En declaraciones recientes, el entorno del FBI ha afirmado que sospecha que la procedencia del mercado sea Rusia.

¿Cómo Saber Si Tus Datos Fueron Comprometidos?

Las policías que han participado en la operación, en España, Policía Nacional o Guardia Civil, han puesto a disposición de los usuarios una página web en la que puedes introducir tu dirección de correo electrónico y ver si estabas en esa base de datos si sospechas que han podido utilizar o robar tus datos.

Recomendaciones de Seguridad

Tras el cierre de Genesis Market, es crucial tomar medidas para proteger tu información personal:

• Cambiar contraseñas: Modifica las contraseñas de tus cuentas en línea, especialmente aquellas que utilizas con frecuencia.
• Activar la autenticación de dos factores: Habilita la autenticación de dos factores siempre que sea posible para añadir una capa adicional de seguridad.
• Vigilar la actividad de tus cuentas: Revisa regularmente tus cuentas bancarias y otros servicios en línea para detectar cualquier actividad sospechosa.

Amenazas Persistentes

La información recopilada hasta el momento sugiere que, aunque Genesis Market fue eliminado en abril de 2023, puede haber indicios de que algunas de sus técnicas y herramientas se están utilizando nuevamente en ataques posteriores. Se detectaron operaciones maliciosas utilizando técnicas similares a las empleadas por Genesis Market, un sitio web para facilitar el fraude que fue cerrado en abril de 2023. El actor de amenazas detrás de estas operaciones abusó de Node.js como plataforma para la puerta trasera, firmas de código de validación extendida (EV) para evadir defensas, y posiblemente Google Colab para alojar sitios de descarga optimizados para motores de búsqueda.

La atención especial se debe prestar a los archivos ejecutables y a las extensiones de archivo inusuales para prevenir ataques de malware.