Los estafadores utilizan fullz como herramienta y como mercancía.
¿Qué son los Fullz?
Fullz es un término utilizado por los delincuentes para describir conjuntos de información personal robada que puede utilizarse para suplantar a alguien o para utilizar sus tarjetas bancarias.
En pocas palabras, los fullz son identidades robadas o información de tarjetas de crédito robadas.
La palabra proviene de la palabra «full» en el sentido de «datos completos» o «credenciales completas» y abarca toda la información que un estafador necesita para hacerse pasar por alguien para estafar a una empresa, robar directamente a la víctima o llevar a cabo una actividad ilegal que se atribuye a la víctima si es descubierta.
¿Cómo funcionan los Fullz?
Los fullz pueden ser adquiridos de varias maneras, incluyendo:
- Phishing y spear phishing: La víctima está convencida de que está compartiendo sus contraseñas y/u otra información con una empresa legítima en la que confía.
- Comprado en la dark web: Se pueden comprar fácilmente a otros delincuentes, normalmente en grandes cantidades. Obtenidos a partir de filtraciones de datos y otras fuentes. Estas largas listas requerirán pruebas de tarjetas y otras pruebas para identificar cuáles son fullz vivos.
- Alquilados a mulas de identificación: Los fullz pueden alquilarse temporalmente.
- Robo de tarjetas: Los fullz de pago pueden obtenerse utilizando dispositivos como skimmers de cajeros automáticos y otros métodos de robo de información de tarjetas.
- Robo de cuenta: Robo de cuentas personales de correo electrónico o de otro tipo.
- Robo físico: Robando los documentos físicos o las tarjetas de alguien, y asumiendo que no se dan cuenta y/o lo cancelan.
Normalmente, un paquete de ID fullz contiene:
- El nombre completo de la víctima
- La dirección de la víctima
- La fecha de nacimiento de la víctima
- El número de la seguridad social de la víctima (o su número de DNI, de pasaporte, etc.)
- Otros datos, como la dirección de correo electrónico de la víctima (y a veces su contraseña)
El costo total del robo de identidad en 2020 fue de 56.000 millones de dólares, según la investigación de Javelin, mientras que Security Magazine informa de que cada registro de fullz supone una media de 8 dólares para comprar.
Mientras tanto, un fullz de tarjeta de crédito incluye:
- Nombre del titular de la tarjeta
- Dirección de facturación
- Código CVV
- Número de la tarjeta de crédito
- Fecha de caducidad (y fecha de emisión, si aplica)
Según los informes de 2021, un delincuente que quiera comprar fullz de tarjetas de crédito pagará entre 0,11 y 986 dólares, dependiendo del tipo de tarjeta y de lo completa que sea la información.
¿Qué es un Fullz muerto?
Los fullz muertos son esencialmente paquetes de datos que ya no son válidos porque una o más piezas esenciales de información han cambiado.
Esto puede ocurrir deliberadamente, porque la víctima se ha dado cuenta de que su información personal y sus credenciales han sido comprometidas, o accidentalmente, por ejemplo, cuando alguien ha muerto.
Los fullz muertos ya no pueden ser explotados para la mayoría de los propósitos; pueden funcionar brevemente, pero incluso el más rudimentario de los protocolos antifraude detectará el intento y lo rechazará. Sin embargo, siguen siendo útiles para determinadas aplicaciones: por ejemplo, para abrir una cuenta bancaria en ciertos bancos.
¿Cómo se utilizan los Fullz? Ejemplos de uso de Fullz
Solo algunos ejemplos comunes de actividades delictivas relacionadas con los fullz son:
- Fraude de préstamos: Los estafadores solicitan préstamos de día de pago y otros tipos de préstamos.
- Fraude con tarjetas de crédito: Toman el control total de la tarjeta y compran artículos en masa o roban dinero de la cuenta (potencialmente a través de mulas de dinero).
- Robo de identidad médica: Para presentar reclamaciones al seguro o solicitar medicamentos recetados.
- Fraude de identidad sintética: Las credenciales de identidad sintéticas combinan información generada por los delincuentes para intentar eludir los controles antifraude.
- Estafas de devolución de impuestos: Estafan a la persona cuyos datos están en el fullz, utilizando la información del fullz para convencerla de que es el fisco.
- Bajas bancarias: El DNI se puede utilizar para abrir una cuenta bancaria a cuentagotas.
- Fraude de suscripción: Los delincuentes crean suscripciones a móviles para adquirir costosos smartphones y tabletas, que luego revenden.
- Esquemas de «compra ahora, paga después»: Los estafadores los organizan, reciben el artículo y nunca lo pagan, lo que afecta tanto a los ingresos del comerciante como a la puntuación de crédito de la víctima.
- Robo de identidad en internet: La cuenta de la víctima es tomada utilizando la información fullz – desde cuentas bancarias hasta cuentas de correo electrónico y más allá, esto también puede afectar a la organización que posee o administra la cuenta, además de la víctima.
En esencia, todos los fraudes de robo de identidad y todos los fraudes de suplantación de identidad utilizan fullz, al igual que todos los fraudes relacionados con las tarjetas, cuando se trata de fullz de tarjetas.
Cuando se utilizan protocolos de verificación KYC, los estafadores intentarán utilizar fullz para evadir la detección. Y cuanto más completa sea la información de cada fullz, más probabilidades de éxito tendrán.
Por último, debemos señalar que los paquetes fullz también se utilizan cada vez más en los ataques de bots.
¿Cómo afecta el uso de Fullz a las empresas?
Las amplias y diversas aplicaciones de fullz significan que la mayoría de las empresas de cara al público con un elemento remoto o en línea son susceptibles de sufrir uno u otro tipo de fraude relacionado con fullz.
- Las organizaciones bancarias y de seguros pueden ser objeto de ataques a través de la creación de gotas bancarias, solicitudes fraudulentas de tarjetas de crédito y fraudes de seguros.
- Las empresas de comercio electrónico pueden verse envueltas en fraudes de tarjetas, tarjetas de prepago o devoluciones de cargos, entre otros.
- Dado que las pasarelas de pago se ocupan de las tarjetas de pago, todos los fraudes relacionados con las tarjetas les afectan; más raramente, el estafador podría incluso intentar hacerse pasar por un comerciante, según la fullz.
- Las solicitudes de préstamos son el principal método que utilizan los fullz contra las empresas de préstamos en línea, ya que la cuenta se verá afectada por el impago.
- En el ámbito altamente competitivo de los juegos de azar y las apuestas, los estafadores utilizan los fullz para el fraude de afiliados, las apuestas combinadas, el blanqueo de dinero, etc.
La lista anterior no es en absoluto exhaustiva. Se aconseja a las empresas de todos los tamaños a hablar con expertos en lucha contra el fraude y ciberseguridad para identificar los riesgos que les afectan en particular por el uso de credenciales robadas, así como la mejor manera de mitigarlos.
Cómo Evitar el Fraude Fullz
Dado que el fraude fullz se utiliza básicamente para permitir una amplia gama de actividades delictivas, de estafadores y estafadores, la protección de la empresa y la reducción de las tasas de fraude pasa por la aplicación de una estrategia antifraude sólida, flexible y completa.
Las plataformas antifraude más eficaces aprenderán del historial de incidentes de cada organización, así como de los incidentes en su ámbito general y en su localidad, definiendo reglas que sean adecuadas para la organización, que correspondan a su tolerancia al riesgo y que puedan modificarse convenientemente a medida que cambie el panorama de las amenazas.
Los analistas también pueden dedicar algún tiempo a buscar en la dark web con fines de investigación. Hay otros servicios de vigilancia disponibles en línea para descubrir si los datos de un cliente han sido incluidos en una fullz filtrada, lo que puede ser un claro indicio de fraude.
Para el público, no ser víctima de fullz implica seguir las mejores prácticas de ciberseguridad, como el uso de la autenticación multifactor y las contraseñas fuertes.
Sin embargo, las organizaciones y los comerciantes también pueden llevar a cabo campañas para educar a sus usuarios y compradores, para ayudarse a sí mismos también, ya que esto puede ser una iniciativa de RSC que mejore su imagen pública y les haga ganar algo de publicidad.
Fuentes