Sabias que cada vez que te registras en una red social, compras en una tienda online o descargas una app «gratuita», no solo generas un perfil de usuario, sino que dejas un filón de oro digital. Nombres, emails, números de teléfono, hábitos de consumo, credenciales de acceso: datos que valen millones de euros al año en la economía sumergida más silenciosa y lucrativa del planeta.
No hablamos de abstracciones ni de titulares sobre megabreachs. Este tráfico ilegal de datos personales opera a diario, fragmentado y constante, como un goteo imparable. Brechas de seguridad empresariales, malas prácticas (cookies mal gestionadas, APIs expuestas) y descuidos cotidianos (contraseñas reutilizadas) alimentan un circuito donde tu información cambia de manos sin que lo sepas durante meses o años.
¿El resultado? Una materia prima codiciada para ciberdelincuentes que realizan fraudes bancarios, suplantación de identidad, phishing personalizado o venta en dark web (1€ por email completo, 5€ con CV). ¿Tu próximo “SMS banco” no será tan casual? No habrá forcejeo. No te sonara ninguna alarma. Nadie romperá ninguna clave. Y, sin embargo, aquella mañana tu como le ha ocurrido a Katherin habrán vaciado tu dinero en tu entidad bancaria.
En este caso no le faltaba dinero en la cuenta. No había cargos extraños. Su móvil seguía funcionando. Pero algo había cambiado: empezó a recibir llamadas de bancos donde nunca había sido clienta, correos sobre préstamos que no había solicitado, mensajes de empresas que conocían su nombre, su DNI, su dirección y hasta el colegio de sus hijos.
Katherin no había sufrido un atraco. Había sufrido algo más silencioso y más peligroso: le habían extraído la identidad. En el siglo XXI ya no se excavan minas de oro. Se excavan personas.
La nueva materia prima: tú
Cada clic, cada registro, cada “descargar gratis”, cada formulario que rellenamos deja un sedimento. Un rastro digital que, agregado, vale más que el petróleo.
Nombre.
Correo.
Teléfono.
Dirección.
Hábitos de consumo.
Localización.
Contactos.
Preferencias políticas.
Salud.
Situación económica.
Somos vetas de información caminando. Y hay quien se dedica profesionalmente a extraerla, refinarla y venderla.
No hablamos solo de hackers en sótanos oscuros. Hablamos de un ecosistema completo: empresas legales, brokers de datos, plataformas de marketing, anunciantes, ciberdelincuentes, estafadores, redes de blanqueo, mafias digitales. Un mercado global donde la mercancía eres tú.
Cómo funciona el mercado negro de datos
En el subsuelo de internet, especialmente en foros cerrados y mercados de la dark web, los datos se venden como ganado. Existen catálogos, valoraciones de vendedores y sistemas de reputación que garantizan la fiabilidad del material ofrecido. Un simple correo electrónico con contraseña puede venderse por céntimos, mientras que un paquete completo con datos bancarios, DNI, IBAN, un historial médico o un acceso a cuentas financieras puede alcanzar decenas o cientos de euros. Una identidad “limpia” para abrir cuentas o pedir créditos: oro puro. También se comercia con perfiles detallados que incluyen hábitos de consumo, ubicación y relaciones personales, utilizados para ataques dirigidos y estafas de alta precisión.
Pero lo verdaderamente inquietante no es la dark web. Lo verdaderamente inquietante es que gran parte de los datos no llegan allí por grandes hackeos espectaculares… Sino por goteo constante, legal, consentido y normalizado.
El uso más visible es el fraude económico. Transferencias no autorizadas, compras fraudulentas o solicitudes de créditos a nombre de terceros siguen siendo prácticas habituales.
Sin embargo, el verdadero negocio está en la explotación a largo plazo. Con datos personales bien estructurados se construyen campañas de phishing altamente personalizadas, capaces de engañar incluso a usuarios experimentados.
Otra aplicación frecuente es la suplantación de identidad. Los datos robados permiten abrir cuentas, firmar contratos o acceder a servicios públicos.
Organismos como Europol advierten de un aumento significativo de redes criminales que utilizan información personal para blanqueo de capitales y actividades transfronterizas, aprovechando la dificultad de rastrear responsabilidades.
La dark web actúa como el principal punto de encuentro entre vendedores y compradores, aunque no es el único. Canales cifrados de mensajería y foros privados también desempeñan un papel clave.
La mayoría de las transacciones se realizan mediante criptomonedas, lo que dificulta el seguimiento del dinero y la identificación de los implicados.
Hoy no es necesario pertenecer a una gran organización criminal para comerciar con datos personales, basta con acceso a información robada y conocimientos básicos de anonimato digital.
Las compañías son uno de los principales objetivos de los ciberdelincuentes, pero también, de forma indirecta, una de las mayores fuentes de datos filtrados.
Configuraciones deficientes, sistemas obsoletos y errores humanos provocan exposiciones masivas. Sectores como la sanidad, la educación y el comercio electrónico concentran buena parte de los incidentes. La falta de inversión en seguridad y la dependencia de proveedores externos amplían la superficie de ataque y facilitan el acceso a información sensible.
Para las personas afectadas, las consecuencias no se limitan a una pérdida económica puntual. La exposición prolongada de datos personales puede derivar en años de problemas legales, financieros y administrativos.
Cambiar contraseñas no siempre es suficiente cuando la información ya circula en múltiples bases de datos ilegales.
La ANTPJI afirma que, el número de víctimas reales es muy superior al de incidentes denunciados, ya que la mayoría de los afectados descubre el problema cuando el daño ya está hecho, lo que evidencia la asimetría entre quienes comercian con datos y quienes los generan sin saberlo.
Pese al endurecimiento de la legislación y al aumento de las sanciones, el mercado negro de datos personales sigue creciendo.
La combinación de alta rentabilidad, bajo riesgo percibido y dificultad técnica para perseguir a los responsables convierte este tráfico en uno de los pilares del cibercrimen global.
En redes sociales como LinkedIn, surgen anuncios de guías que comparten, solo si envías tus datos, con lo que Angel Bahamontes, presidente de ANTPJI, ha lanzado una campaña alertando:
Ojo con dejar tus datos en manos de no sabes quién y para que los van a utilizar.
¡Es necesario alertar sobre esta práctica! «Cómo regalar tus datos para que los comercialicen a miles de empresas a cambio de una guía inútil». Esas «guías gratuitas» son cebos de lead magnet: regalas tu email, teléfono y datos personales por contenido genérico (copiado de Wikipedia o ChatGPT) que no aporta valor real. Luego, tu información se vende a brokers de datos, acaba en listas de spam o peor: en campañas de phishing.
Datos reales: El 92% de las «guías gratuitas» recopilan datos sin consentimiento GDPR claro. Valor medio de un lead en dark web: 5-20€ según calidad el 78% de usuarios lamentan haber dado datos por «contenido gratis»
Alternativa ética: Contenido de valor sin captura de datos o con consentimiento transparente. La confianza genera leads orgánicos, no spam.
¡Gracias por visibilizarlo!
La frontera borrosa entre lo legal y lo ético
Muchas empresas sobre todo multinacionales cumplen formalmente el RGPD.
Casillas marcadas.
Textos legales interminables.
Consentimiento “expreso”.
Pero la pregunta clave no es jurídica, es moral.
¿Sabe realmente el ciudadano qué ocurre con su información?
¿Entiende que su perfil puede circular por decenas de empresas?
¿Comprende que ese rastro puede acabar, directa o indirectamente, en manos criminales?
La ley permite mucho. La ética, bastante menos.
Con datos “robados”, cedidos, a cambio de manuales realizados con IA, se hacen estafas. Pero con datos bien estructurados se hace algo más peligroso: control.
Se manipulan decisiones.
Se construyen perfiles psicológicos.
Se anticipan comportamientos.
Se diseñan engaños a medida.
No es spam. Es ingeniería social quirúrgica.
Un correo que parece escrito por tu banco. Un SMS que menciona una compra real. Una llamada que conoce tu nombre, tu empresa y tu cargo. No atacan al azar. Te atacan a ti.
La visión forense: lo que vemos los peritos
Desde la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI) llevamos 17 años analizando las entrañas de este mercado.
Lo vemos en los informes.
En los metadatos.
En las cabeceras de correo.
En los logs.
En las rutas de exfiltración.
Vemos cómo un simple registro en una web acaba meses después convertido en una estafa bancaria. Cómo una base de datos “legal” filtrada se cruza con otra “ilegal” y genera identidades completas. Cómo se monetiza cada fragmento de vida digital. Hoy el crimen no necesita robarte la cartera. Le basta con copiarte.
Cada vez más juzgados entienden que el dato es prueba, pero también es botín. Sentencias que reconocen el valor probatorio de la trazabilidad digital. Autos que ordenan bloqueos de cuentas tras fraudes basados en suplantación. Investigaciones donde la clave no es el malware, sino el origen de la información personal. El dato se ha convertido en escena del crimen.
Cómo protegerse en una economía que vive de ti
No es paranoia.
Es supervivencia digital.
– Desconfía de lo “gratuito”.
– Minimiza los datos que entregas.
– Usa identidades separadas.
– Lee para qué se usan tus datos.
– Exige trazabilidad.
– Y, cuando haya un incidente, actúa rápido: preserva pruebas, no borres, no manipules. La diferencia entre ser víctima y ser prueba está en las primeras horas.
la mina eres tú
Antes se explotaban territorios. Ahora se explotan personas. Antes se buscaba oro bajo tierra. Ahora se busca información bajo la piel digital.
Tus datos valen oro. Y alguien los está vendiendo.
La pregunta ya no es si participas en este mercado. La pregunta es si sabes en qué papel: ¿Minero… o mineral?
