Sextorsión y otros chantajes digitales: cómo evitar caer en las redes de los cibercriminales

Los delincuentes envían a las víctimas correos o mensajes donde dicen tener contenido privado de ellos y les exigen dinero para evitar difundirlo. Las tácticas de engaño que utilizan

Guardar
Los cibercriminales utilizan técnicas de
Los cibercriminales utilizan técnicas de ingeniería social como el phishing para obtener datos confidenciales de los usuarios.

La sextorsión es uno de los ciberdelitos que más fue creciendo en la web. Consiste en amenazar a la víctima con revelar textos, fotos o videos íntimos suyos si no se paga una suma de dinero, que usualmente es en bitcoins o alguna otra criptomoneda para que no pueda ser rastreada.

En ocasiones esta extorsión llega de extraños que envían un correo al usuario asegurando que tienen material íntimo de ellos y los chantajean. Con frecuencia se trata de mensajes estandarizados que se envían a millones de personas en todo el mundo con el objetivo de que alguno caiga en la trampa.

Para mostrar que la amenaza es "real", se dirigen personalmente al usuario incluyendo su nombre de pila y en algunos casos hasta pueden mencionar la contraseña de alguna cuenta del usuario a la que pudieron haber tenido acceso a través de alguna filtración masiva o de un ataque de phishing.

Otro elemento que suele estar presente en este tipo de engaños es la mención de algún hecho que pueda sonar creíble acompañado de una suerte de explicación técnica sobre cómo se hizo el supuesto hackeo. En los últimos meses, por ejemplo, circuló un correo que le dice al usuario que se lo grabó mientras estaba mirando material pornográfico.

La sextorsión consiste en amenazar
La sextorsión consiste en amenazar al usuario con revelar supuesto material privado si no se paga una suma de dinero (iStock)

Aquí está el texto completo de esta sextorsión que se comenzó a viralizar hace unos meses y en las últimas semanas volvió a resurgir:

¡Hola!

Puede que no me conozca y probablemente esté preguntándose por qué está recibiendo este correo electrónico, ¿correcto?
En este momento pirateé tu cuenta (XXXX@XXXXX). ¡Tengo pleno acceso a tu dispositivo! Te envio un correo electrónico desde tu cuenta !

De hecho, coloqué un malware en el sitio web de videos para adultos (material pornográfico) y usted sabe que visitó este sitio web para divertirse (ya sabe a qué me refiero).

Mientras estabas viendo clips de video, su navegador de Internet comenzó a funcionar como un RDP (escritorio remoto) que tiene un registrador de teclas que me proporcionó acceso a su pantalla y también a su cámara web.

Inmediatamente después, mi programa de software reunió todos sus contactos desde su Messenger, redes sociales y correo electrónico.

¿Qué hice?
Hice un video de doble pantalla. La primera parte muestra el video que estabas viendo (tienes un buen gusto ya veces extraño), y la segunda parte muestra la grabación de tu cámara web.

¿Exactamente qué deberías hacer? Bueno, creo que $250 es un precio justo para nuestro pequeño secreto. Realizará el pago con Bitcoin (si no lo sabe, busque "cómo comprar bitcoin" en Google).
Dirección de BTC: 139XY4ZjWYqHMJvGCySuzXq7o6tGccKKrJ
(Es muy sensible, así que cópielo y péguelo)

Nota:
Tienes 2 días para hacer el pago.
(Tengo un píxel específico en este mensaje de correo electrónico, y en este momento sé que ha leído este mensaje de correo electrónico).

Si no obtengo los BitCoins, definitivamente enviaré su grabación de video a todos sus contactos, incluidos familiares, compañeros de trabajo, etc.

Sin embargo, si pagas, destruiré el video inmediatamente.
Esta es la oferta no negociable, así que no pierda mi tiempo personal y el suyo respondiendo a este mensaje de correo electrónico.

La próxima vez, ¡ten cuidado!
¡Adiós!

El software espía puede ingresar
El software espía puede ingresar al dispositivo a través de la descarga de contenido de sitios inseguro o por vulnerabilidades en el sistema operativo (iStock)

Ingeniería social

La ingeniería social consiste en obtener información confidencial a través de la manipulación de usuarios que, en el mundo digital, se suele llevar adelante a través del phishing, tal como se refiere a la suplantación de identidad.

Esto es cuando un ciberdelincuente envía un correo o mensaje como si fuera parte de una empresa o entidad reconocida para conseguir datos de manera fraudulenta. Así, por ejemplo, se le dice al usuario que tiene que verificar su cuenta o completar un formulario para acceder a ciertos beneficios o descuentos. Esto llega con un link que redirige a una página falsa donde todos los datos que ingrese la víctima (contraseña, datos de tarjetas, etc) quedarán en manos de los criminales.

Esa información luego es utilizada para hacer compras, ingresar a las cuentas de las víctimas o enviar correos de extorsión, como los mencionados anteriormente, donde se ofrece algún dato personal (contraseña, por ejemplo) como anzuelo para que el usuario caiga en la trampa.

Según un informe de la empresa de ciberseguridad VU, en un 41% de los casos el phishing es la puerta de entrada más habitual para los hackers. En segundo lugar, con un 21%, queda el aprovechamiento de la vulnerabilidad del sistema y luego la instalación de malware.

Los ataques de phishing son
Los ataques de phishing son muy utilizados para acceder a contraseñas y otros datos personales de usuarios.

Señales de alerta y cómo evitar caer en la trampa:

Recomendaciones generales:

1. Nunca hay que dar información personal como datos de tarjeta de crédito o contraseñas cuando llegue un supuesto pedido de una entidad al correo o por mensaje de WhatsApp.

2. No descargar archivos adjuntos ni ingresar a los enlaces que llegan por correo aún cuando lleguen de una supuesta entidad reconocida. Se sugiere tipear en la web la dirección completa de la entidad bancaria, empresa u organización gubernamental que supuestamente envía el correo para asegurarse que el usuario ingresa efectivamente al sitio en cuestión y a una página falsa.

3. Siempre hay que sospechar de los correos donde se extorsiona al usuario para que haga un depósito o cumpla con alguna condición para evitar la difusión de algún contenido comprometedor. Por empezar, es posible que el correo sea solo un engaño y, aún cuando realmente los ciberdelincuentes tuvieran esos supuestos datos confidenciales, nada asegura que el pago de un dinero vaya a detenerlos de difundir el contenido.

4. Se sugiere que los usuarios reporten estos hechos ante las autoridades tal como se hace con cualquier delito. "Sugerimos que la gente haga la denuncia en la fiscalía o comisaría de sus barrios", explica Horacio Azzolin, a cargo de la Unidad Fiscal Especializada en Ciberdelincuencia en Argentina.

5. Tener una Contraseña segura. Esto implica crear un password robusto, es decir que incluya combinación de letras y números; que no sea el DNI ni la fecha de nacimiento, por ejemplo. Es importante cambiar la contraseña con frecuencia y utilizar doble factor de autenticación.

6. Evitar ingresar datos de tarjeta de crédito en sitios que no se conocen y que no tienen, como mínimo, protocolo HTTPS.

7. Mantener el sistema operativo actualizado y contar con alguna solución integral de seguridad en los equipos.

Hay que descargar aplicaciones solo
Hay que descargar aplicaciones solo de tiendas oficiales (Getty Images)

Las aplicaciones

En el caso de los móviles, hay que ser muy cuidadosos con las aplicaciones que se descargan para evitar la instalación de malware o el almacenamiento inseguro de la información en el celular.

"Otras fallas que se suelen encontrar en muchas aplicaciones son aquellas que tienen que ver con el incorrecto cifrado de los canales de comunicación. Básicamente, aplicaciones que no utilizan (o utilizan mal) el cifrado TLS/SSL para comunicarse con los servidores. Debido a esto, un atacante que se encuentre en nuestra misma red, podría interceptar las comunicaciones y ver los datos que enviamos", detalló a Infobae Gustavo Sorondo, ingeniero en informática y CTO de la consultora Cinta Infinita, en el marco del evento de ciberseguridad Ekoparty que se llevó a cabo en Buenos Aires.

También hay que ser cuidadosos para no terminar otorgando permisos innecesarios a ciertas herramientas del celular. Por dar un ejemplo: debería resultar sospechoso que una app de una linterna, al ser descargada o para ser usada, pida permiso para acceder a la cámara del teléfono.

Qué otras precauciones hay que tomar

Además de todas las recomendaciones mencionadas anteriormente, Sorondo sugiere descargar aplicaciones únicamente a través de las tiendas oficiales (Google Play o App Store); leer bien los términos y condiciones antes de bajar una app y asegurarse de que se trata de un sitio confiable. "También hay que ser consciente del tipo de riesgo que se corre en la web y entender que aunque se borre información, muchas veces ésta se puede recuperar", añade Sorondo.

¿Qué pasa con las apps que piden acceso al micrófono, cámara y contactos porque lo necesitan para funcionar? ¿Cuánto riesgo hay de que esos accesos se activen en cualquier momento y la privacidad del usuario quede vulnerada?

"Los asistentes virtuales como Siri, Alexa o el asistente de Google están permanentemente escuchando el micrófono para poder reaccionan cuando se los llama para pedirles algo. El tema es cómo saber si se despiertan y empiezan a grabar en cualquier momento o si no están almacenando información constantemente. En última instancia lo que ocurre es que se termina confiando en el proveedor del servicio", concluye el especialista.

MÁS SOBRE ESTE TEMA: 

Cómo saber si tu cuenta de mail fue hackeada

Cuentas bancarias en la mira: 9 de cada 10 entidades financieras en América Latina fueron blanco de ciberataques en el último año

Las polémicas aplicaciones para espiar celulares

Cómo es Titan, la nueva llave de seguridad para combatir el phishing

Guardar