Nueva estafa "picante": así te roban videos privados y te vacían la cuenta

La estafa se conoce como "Sextorsión". Se trata de una técnica que busca que las víctimas paguen por miedo. Qué conviene hacer y cómo protegerse.

Ya desde hace un tiempo están aumentando su presencia una serie de correos electrónicos ligados a una práctica conocida como "sextorsión", que consta de chantajear a las víctimas usando presuntos asuntos sexuales ligados a su actividad en la web. Los correos que circulan ahora afirman que el destinatario fue hackeado y se grabaron videos de sus actividades frente a la computadora. Lo más sorpresivo es que en el asunto del correo se muestra la contraseña verdadera del usuario. Sin embargo, todo se trata de un engaño pensado para que los usuarios paguen un rescate por un material inexistente.

Así se ve uno de los correos que circula por la web

 

La sextorsión es un tipo de extorsión relativamente reciente que funciona a través de internet y consiste en amenazar a los usuarios con revelar fotos, videos o información sobre su intimidad que se obtuvieron después de un supuesto hackeo. A cambio, pueden pedir contenidos o favores sexuales, o dinero.

En algunos casos, el extorsionador actúa luego de conseguir imágenes sexuales o de desnudos de la víctima. En otros, amenazan con revelar sus consumos pornográficos en la web o aseguran que tienen videos realizados a través del hackeo de sus webcams (aunque no sea cierto).

En el primer caso, algunos atacantes se hacen pasar por usuarios reales que están interesados en tener cybersexo con la víctima. Por lo general, se tratan de contactar a través de cuentas fake en Facebook u otras redes sociales. A continuación, piden al usuario compartir cámara y transmiten un video como si fuese un contacto directo. Si la víctima accede, su cámara mostrará lo que realmente sucede. Si el acto sexual se concreta los delincuentes consiguen el material y luego extorsionan a la víctima.

En el segundo caso, mucho más común, los delincuentes usan diferentes estrategias de phising para intimidar a la víctima. En esta segunda asepción, el ataque no está dirigido a conseguir el material sino a asustar a la víctima e incentivarla a que pague para evitar la supuesta represalía.

Una de las más comunes ´-y efectivas- es hacer creer al usuario que tienen la contraseña de su correo electrónico u de otros servicios. Estos correos suelen llegar a las bandejas de entrada con una amenaza en el "asunto" del correo. La amenaza suele incluir varias contraseñas que le son familiares a la víctima. Si bien es legítimo asustarse, lo cierto es que si se mira con detenimiento seguramente muchas de esas contraseñas o bien son muy antiguas y no fueron cambiadas o bien son contraseñas que el usuario uso con anterioridad en servicios que ya dio de baja o que no usa más. La razón de esto es que los atacantes que crean los correos falsos intenta persuadir a la víctima usando contraseñas que ya fueron filtradas a la web. Como se explicó en una nota anterior, las grandes fugas de datos son un recursos muy usado para este tipo de estafas. En algunas ocasiones, los atacantes sólo van a intentar con las contraseñas más populares esperando que por mera estadística algunos pares correo/contraseña sean correctos. En otras, es posible que los atacantes logren (a través de técnicas de fuerza bruta y hashing, es decir, descomposición de la encriptación de la información) conseguir las contraseñas que se usaban al momento de la fuga de datos. Cualquier usuario puede conocer si algunas de sus contaseñas fue filtrada ingresando al sitio HaveIBeenPwned?, sólo ingresar su correo electrónico pueden saber si están en alguna base de datos filtrada.

En otras ocasiones, los ciberdelincuentes hacen creer a las víctimas que fueron "hackeadas". Esta estrategia se ve de la siguiente manera:

Fuente: Eset

A través de un mensaje intimidatorio, se le hace creer al usuario que su computadora ha sido infectada con un troyano o un RAT (herramienta de acceso remoto, por sus siglas en inglés) y que ahora el atacante posee su información confidencial. En algunas ocasiones, esta técnica se suma a la anterior de asustar a las víctimas mostrando constraseñas. Otra opción bastante popular entre los atacantes es lo que se conoce como "email spoofing".

Este truco consiste en hacer creer al usuario que su cuenta de mail fue comprometida, para eso, envían un correo que a simple vista parece pertenecer a la cuenta de la víctima. Los ciberdelincuentes suelen crear un mail que comienza con alguna expresión similar a "como verás tenemos acceso a tu correo electrónico, tenemos tus cuentas", para generar aún más efecto.

La técnica de suplantación es utilizada en el protocolo de correo SMTP (Protocolo para Transferencia Simple de Correo, por sus siglas en inglés), dado que éste no incluye un mecanismo de autenticación. A la hora de analizar esta problemática se revisan los registros SPF (Sender Policy Framework), ya que sirven para identificar uno o varios servidores autorizados para el envío de correos de un determinado dominio.  En estos correos "truchos" recibidos por los usuarios, al analizar de la cabecera de los mensajes recibidos muestra que el correo fue enviado desde un servidor no autorizado para enviar correos del dominio de la víctima. En pocas palabras, se trata de una ilusión y los atacantes jamás lograron obtener acceso a la cuenta, simplemente cambiaron algunos parametros vulnerables para generar ese efecto; como si se cambiara el asunto de un correo normal y corriente. En algunos casos extremos, si la víctima se infectó con algún malware (como por ejemplo Klez) es posible que esa pieza de software tenga funciones de búsqueda en la lista de contactos y obtenga la dirección desde allí.

¿Conviene pagar o no?

La razón para realizar estas acciones es conseguir dinero. Muchas víctimas, asustadas, deciden pagar para evitar que se concrete la amenaza. Sin embargo, la gran mayoría de los expertos coincide en que esto no da ningun garantía. La mejor recomendación es ser minucioso con la revisión del material y chequear que efectivamente el atacante no tenga ningún material. Por ejemplo, si el correo llega inadvertidamente y escrito con un lenguaje que parece traducido por una máquina lo más probable es que se trate de una campaña masiva de phishing. Lo mejor es no prestar atención al correo. Sin embargo, si los atacantes lograrn conseguir material comprometedor para el usuario no hay que entrar en pánico y lo mejor es comunicarse con la compañía proveedora de ciberseguridad y con las autoridades.

 

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.
Nombre