La filtración de datos de Home Depot descubierta la semana pasada puede ser uno de los mayores casos de compromiso masivo de tarjetas de crédito de la historia. Los datos de todas las tarjetas utilizadas en una transacción en cualquier tienda de Home Depot de Estados Unidos desde finales de abril o principios de mayo podrían estar en manos de piratas informáticos, que se infiltraron en los sistemas de la empresa utilizando un malware similar al que se utilizó en un robo de 40 millones de tarjetas en Target en diciembre. Se desconoce el número de tarjetas robadas en Home Depot, pero podría superar el total de Target.
Después de un atraco de este tipo, las tarjetas robadas empiezan a aparecer a la venta en los numerosos mercados ilegales en línea que comercian con el plástico de otras personas. Las tarjetas del robo de Home Depot aparecieron por primera vez en un conocido distribuidor llamado Rescator. Según el periodista de seguridad informática Brian Krebs, que fue el primero en dar a conocer la historia de Home Depot, Rescator parece un sitio web 2.0 creado por un programador con un sentido decente del diseño de la experiencia del usuario y poca discreción en cuanto a las fuentes de colores brillantes. La base de datos de tarjetas robadas puede buscarse por una serie de datos, como el código postal y el número de identificación bancaria, los seis primeros dígitos de una tarjeta de crédito que se asocian exclusivamente con la institución que la emite.
Una vez que el «emisor de la tarjeta» realiza una compra a través de Bitcoin, Western Union o cualquiera de las diversas plataformas de pago electrónico que acepta el sitio, recibe un archivo que contiene los datos de la banda magnética de la tarjeta de crédito, que puede cargarse en una tarjeta falsificada que puede utilizarse en persona en las tiendas.
Rescator es uno de los cientos de sitios dedicados a la venta de tarjetas de crédito robadas, muchos de los cuales pueden identificarse a través de rápidas búsquedas en Google. Krebs hizo un perfil en profundidad de uno de estos sitios, conocido como «McDumpals», en junio. Las investigaciones de Krebs también han identificado a un individuo responsable de Rescator y de algunos de sus sitios «espejo» -páginas que ejecutan copias del mismo sitio web en caso de que un servidor sea cerrado por hackers o por el gobierno.
Rescator se ejecuta desde servidores en Rusia, por lo que Estados Unidos es impotente para incautar o bloquear la página, según Mark Lanterman, un investigador de Computer Forensic Services, una empresa privada de seguridad de la información.
A diferencia de la ya desaparecida Silk Road y otros mercados de la «red oscura» que sólo pueden encontrarse en URLs oscuras a las que se accede desde navegadores web especiales, Rescator y muchos otros sitios de robo de tarjetas son accesibles para navegadores web ordinarios y tienen direcciones web legibles. Esto es, sin duda, una compensación para los traficantes de plástico ilícito, que sacrifican el mayor anonimato de la red oscura a cambio de la mayor visibilidad -y, tal vez, el negocio- que proporciona la Internet que está ahí para el resto de nosotros.