La sextorsión es uno de los ciberdelitos que más fue creciendo en la web. Consiste en amenazar a la víctima con revelar textos, fotos o videos íntimos suyos si no se paga una suma de dinero, que usualmente es en bitcoins o alguna otra criptomoneda para que no pueda ser rastreada.
En ocasiones esta extorsión llega de extraños que envían un correo al usuario asegurando que tienen material íntimo de ellos y los chantajean. Con frecuencia se trata de mensajes estandarizados que se envían a millones de personas en todo el mundo con el objetivo de que alguno caiga en la trampa.
Para mostrar que la amenaza es "real", se dirigen personalmente al usuario incluyendo su nombre de pila y en algunos casos hasta pueden mencionar la contraseña de alguna cuenta del usuario a la que pudieron haber tenido acceso a través de alguna filtración masiva o de un ataque de phishing.
Otro elemento que suele estar presente en este tipo de engaños es la mención de algún hecho que pueda sonar creíble acompañado de una suerte de explicación técnica sobre cómo se hizo el supuesto hackeo. En los últimos meses, por ejemplo, circuló un correo que le dice al usuario que se lo grabó mientras estaba mirando material pornográfico.
Aquí está el texto completo de esta sextorsión que se comenzó a viralizar hace unos meses y en las últimas semanas volvió a resurgir:
¡Hola!
Puede que no me conozca y probablemente esté preguntándose por qué está recibiendo este correo electrónico, ¿correcto?
En este momento pirateé tu cuenta (XXXX@XXXXX). ¡Tengo pleno acceso a tu dispositivo! Te envio un correo electrónico desde tu cuenta !
De hecho, coloqué un malware en el sitio web de videos para adultos (material pornográfico) y usted sabe que visitó este sitio web para divertirse (ya sabe a qué me refiero).
Mientras estabas viendo clips de video, su navegador de Internet comenzó a funcionar como un RDP (escritorio remoto) que tiene un registrador de teclas que me proporcionó acceso a su pantalla y también a su cámara web.
Inmediatamente después, mi programa de software reunió todos sus contactos desde su Messenger, redes sociales y correo electrónico.
¿Qué hice?
Hice un video de doble pantalla. La primera parte muestra el video que estabas viendo (tienes un buen gusto ya veces extraño), y la segunda parte muestra la grabación de tu cámara web.
¿Exactamente qué deberías hacer? Bueno, creo que $250 es un precio justo para nuestro pequeño secreto. Realizará el pago con Bitcoin (si no lo sabe, busque "cómo comprar bitcoin" en Google).
Dirección de BTC: 139XY4ZjWYqHMJvGCySuzXq7o6tGccKKrJ
(Es muy sensible, así que cópielo y péguelo)
Nota:
Tienes 2 días para hacer el pago.
(Tengo un píxel específico en este mensaje de correo electrónico, y en este momento sé que ha leído este mensaje de correo electrónico).
Si no obtengo los BitCoins, definitivamente enviaré su grabación de video a todos sus contactos, incluidos familiares, compañeros de trabajo, etc.
Sin embargo, si pagas, destruiré el video inmediatamente.
Esta es la oferta no negociable, así que no pierda mi tiempo personal y el suyo respondiendo a este mensaje de correo electrónico.
La próxima vez, ¡ten cuidado!
¡Adiós!
Ingeniería social
La ingeniería social consiste en obtener información confidencial a través de la manipulación de usuarios que, en el mundo digital, se suele llevar adelante a través del phishing, tal como se refiere a la suplantación de identidad.
Esto es cuando un ciberdelincuente envía un correo o mensaje como si fuera parte de una empresa o entidad reconocida para conseguir datos de manera fraudulenta. Así, por ejemplo, se le dice al usuario que tiene que verificar su cuenta o completar un formulario para acceder a ciertos beneficios o descuentos. Esto llega con un link que redirige a una página falsa donde todos los datos que ingrese la víctima (contraseña, datos de tarjetas, etc) quedarán en manos de los criminales.
Esa información luego es utilizada para hacer compras, ingresar a las cuentas de las víctimas o enviar correos de extorsión, como los mencionados anteriormente, donde se ofrece algún dato personal (contraseña, por ejemplo) como anzuelo para que el usuario caiga en la trampa.
Según un informe de la empresa de ciberseguridad VU, en un 41% de los casos el phishing es la puerta de entrada más habitual para los hackers. En segundo lugar, con un 21%, queda el aprovechamiento de la vulnerabilidad del sistema y luego la instalación de malware.
Recomendaciones generales para evitar caer en la trampa:
1. Nunca hay que dar información personal como datos de tarjeta de crédito o contraseñas cuando llegue un supuesto pedido de una entidad al correo o por mensaje de WhatsApp.
2. No descargar archivos adjuntos ni ingresar a los enlaces que llegan por correo aún cuando lleguen de una supuesta entidad reconocida. Se sugiere tipear en la web la dirección completa de la entidad bancaria, empresa u organización gubernamental que supuestamente envía el correo para asegurarse que el usuario ingresa efectivamente al sitio en cuestión y a una página falsa.
3. Siempre hay que sospechar de los correos donde se extorsiona al usuario para que haga un depósito o cumpla con alguna condición para evitar la difusión de algún contenido comprometedor. Por empezar, es posible que el correo sea solo un engaño y, aún cuando realmente los ciberdelincuentes tuvieran esos supuestos datos confidenciales, nada asegura que el pago de un dinero vaya a detenerlos de difundir el contenido.
4. Se sugiere que los usuarios reporten estos hechos ante las autoridades tal como se hace con cualquier delito. "Sugerimos que la gente haga la denuncia en la fiscalía o comisaría de sus barrios", explica Horacio Azzolin, a cargo de la Unidad Fiscal Especializada en Ciberdelincuencia en Argentina.
5. Tener una Contraseña segura. Esto implica crear un password robusto, es decir que incluya combinación de letras y números; que no sea el DNI ni la fecha de nacimiento, por ejemplo. Es importante cambiar la contraseña con frecuencia y utilizar doble factor de autenticación.
6. Evitar ingresar datos de tarjeta de crédito en sitios que no se conocen y que no tienen, como mínimo, protocolo HTTPS.
7. Mantener el sistema operativo actualizado y contar con alguna solución integral de seguridad en los equipos.
Las aplicaciones
En el caso de los móviles, hay que ser muy cuidadosos con las aplicaciones que se descargan para evitar la instalación de malware o el almacenamiento inseguro de la información en el celular.
"Otras fallas que se suelen encontrar en muchas aplicaciones son aquellas que tienen que ver con el incorrecto cifrado de los canales de comunicación. Básicamente, aplicaciones que no utilizan (o utilizan mal) el cifrado TLS/SSL para comunicarse con los servidores. Debido a esto, un atacante que se encuentre en nuestra misma red, podría interceptar las comunicaciones y ver los datos que enviamos", detalló a Infobae Gustavo Sorondo, ingeniero en informática y CTO de la consultora Cinta Infinita, en el marco del evento de ciberseguridad Ekoparty que se llevó a cabo en Buenos Aires.
También hay que ser cuidadosos para no terminar otorgando permisos innecesarios a ciertas herramientas del celular. Por dar un ejemplo: debería resultar sospechoso que una app de una linterna, al ser descargada o para ser usada, pida permiso para acceder a la cámara del teléfono.
Fuente: Infobae