La empresa de ciberseguridad NordVPN, en colaboración con la plataforma de gestión de exposición a amenazas NordStellar, analizó casi 75.000 listados en marketplaces de la dark web y descubrió que los datos personales de los mexicanos tienden a ubicarse en la zona intermedia del rango de precios. Una tarjeta de crédito mexicana robada cuesta alrededor de US$12, un paquete completo de identidad se vende enUS $70 y una cuenta de Netflix se puede conseguir por menos de US$5.
Para ilustrar lo accesible que se han vuelto los datos robados, NordVPN creó una calculadora interactiva que permite a los usuarios ver cuánto costarían en la dark web las cuentas y documentos que utilizan.
Estados Unidos domina la economía de datos robados, pero no de la forma que la mayoría esperaría. En lugar de tener precios elevados, hay tanta información de los estadounidenses, que se convirtieron en un commodity. Más del 70% de todos los listados de tarjetas robadas son de Norteamérica. Esta cantidad redujo los precios a una fracción de lo que cuestan los mismos datos en otros países.
“Todas tus cuentas online tienen un precio en la dark web”, afirmó Marijus Briedis, director de tecnología (CTO) de NordVPN. “Tus suscripciones a plataformas streaming, tu email, el acceso a tu banco, tus perfiles de redes sociales. La mayoría de las personas se sorprendería al saber lo poco que le cuesta a un delincuente comprar toda una identidad digital”.
La identidad de un mexicano cuesta casi lo mismo que llenar un tanque de gasolina
Una tarjeta de crédito mexicana robada se vende, en promedio, a US$11, lo que sugiere que son relativamente accesibles en las plataformas del mercado ilegal. En países donde los datos robados son menos comunes, como Japón o Singapur, las tarjetas son más costosas.
Este patrón se extiende más allá de las tarjetas. Un “fullz” mexicano completo, es decir, un paquete con suficientes datos personales para robar la identidad de alguien (incluyendo su número de documento de identificación oficial, fecha de nacimiento y dirección), se vende por solo US$70.
“Por un precio similar de lo que cuesta llenar el tanque de gasolina, un delincuente puede comprar suficiente información personal para presentar declaraciones de impuestos fraudulentas o empezar a construir una identidad falsa con el nombre de otra persona”, señaló Briedis.
Un email de trabajo vale más que un número de identificación personal
Mientras las cuentas de email personal se venden en lotes por tan solo US$1 cada una, las credenciales de correos electrónicos corporativos son otra historia. Las cuentas robadas de Office 365 en México se venden en promedio a US$26.62 y las de Office Godaddy a US$15. Estas cuentas son valiosas porque funcionan como puntos de entrada a redes corporativas.
Los intermediarios son delincuentes que se especializan en vulnerar las defensas de las empresas para luego vender ese acceso a otros hackers. Se enfocan normalmente en la infraestructura corporativa de Estados Unidos y Europa occidental.
Redes sociales, streaming y todo lo demás
Las cuentas robadas de Facebook se venden por alrededor de US$38 y representan el 40% de todos los listados de cuentas de redes sociales. Un acceso a Facebook puede llevar a cuentas conectadas de Instagram, páginas de negocio y herramientas publicitarias. Las cuentas de TikTok cuestan US$60, mientras que las de Snapchat se venden por cerca de US$34.50.
Las plataformas de streaming son aún más baratas. Una cuenta de Netflix cuesta apenas US$4.55, mientras que Spotify alcanza los US$28. Los vendedores operan estas transacciones como negocios legítimos, ofreciendo acceso “de por vida” y reemplazan bajo garantía las cuentas suspendidas.
Las cuentas de criptomonedas están entre los artículos más caros de la dark web. Una cuenta robada de Coinbase se vende a un precio promedio de US$107.50, mientras que las de Binance alcanzan hasta US$160. A diferencia de las tarjetas de crédito robadas, que requieren operaciones complejas de lavado de dinero, una billetera de criptomonedas comprometida podría dar acceso directo a fondos líquidos.
Incluso las cuentas de tiendas en internet tienen valor. Una cuenta robada de Amazon se vende por US$50, y los delincuentes utilizan tarjetas de regalo y créditos para lavar dinero comprando artículos que pueden revender fácilmente.
Lo que los mexicanos pueden hacer
“La mayoría de las personas piensa que el robo de identidad es algo que no les va a pasar o que se darían cuenta si les ocurre”, dijo Briedis. “La realidad es que tus datos podrían ya estar a la venta sin que tengas forma de saberlo, a menos que lo verifiques de manera activa”.
Pasos para reducir la exposición:
● Las herramientas como Dark Web Monitor no evitan que sus datos aparezcan en mercados ilegales, pero alertan cuando esto sucede, dándole la oportunidad de actuar antes de que el daño esté hecho. Estar al tanto de su exposición es el primer paso para reducir el riesgo.
● Use contraseñas únicas para cada cuenta con un gestor de contraseñas confiable y activar la autenticación multifactor en todos los servicios que lo permitan.
● Limite la información personal que comparte en internet, desactive las cookies y rastreadores innecesarios, y evite proporcionar datos sensibles que no sean estrictamente requeridos.
● Revise el estado de sus cuentas bancarias y active las notificaciones de transacciones. Un cargo pequeño e inesperado puede ser la primera señal de alerta de un fraude mayor.
Metodología
NordVPN, en colaboración con la plataforma de gestión de exposición a amenazas NordStellar, analizó listados de marketplaces de la dark web entre enero de 2025 y febrero de 2026. Los datos se recopilaron de los mercados indexados por NordStellar (incluyendo BidenCash, Russian Market, Exodus Market y Styx Market), cuatro mercados emergentes no indexados y xLeet, un marketplace especializado en credenciales de email corporativo. Después de la deduplicación y el filtrado, el conjunto de datos final incluyó más de 28.000 listados únicos, clasificados en 16 categorías en diversas regiones geográficas, con los precios normalizados a dólares estadounidenses.
