Compartir:

Los cibercriminales utilizan el phishing para obtener datos confidenciales de los usuarios, y así proceder a la sextorsión y otros chantajes digitales.

La sextorsión es uno de los ciberdelitos que más fue creciendo en la web. Consiste en amenazar a la víctima con revelar textos, fotos o videos íntimos suyos si no se paga una suma de dinero, que usualmente es en bitcoins o alguna otra criptomoneda para que no pueda ser rastreada.

En ocasiones esta extorsión llega de extraños que envían un correo al usuario asegurando que tienen material íntimo de ellos y los chantajean. Con frecuencia se trata de mensajes estandarizados que se envían a millones de personas en todo el mundo con el objetivo de que alguno caiga en la trampa.

Para mostrar que la amenaza es «real», se dirigen personalmente al usuario incluyendo su nombre de pila y en algunos casos hasta pueden mencionar la contraseña de alguna cuenta del usuario a la que pudieron haber tenido acceso a través de alguna filtración masiva o de un ataque de phishing.

Otro elemento que suele estar presente en este tipo de engaños es la mención de algún hecho que pueda sonar creíble acompañado de una suerte de explicación técnica sobre cómo se hizo el supuesto hackeo. En los últimos meses, por ejemplo, circuló un correo que le dice al usuario que se lo grabó mientras estaba mirando material pornográfico.

 

SEXTORSION 1

 

¿Qué es la sextorsión?

La sextorsión consiste en amenazar al usuario con revelar supuesto material privado si no se paga una suma de dinero (iStock).

Aquí está el texto completo de esta sextorsión que se comenzó a viralizar hace unos meses y en las últimas semanas volvió a resurgir:

¡Hola!

Puede que no me conozca y probablemente esté preguntándose por qué está recibiendo este correo electrónico, ¿correcto?

En este momento pirateé tu cuenta (XXXX@XXXXX). ¡Tengo pleno acceso a tu dispositivo! Te envio un correo electrónico desde tu cuenta !

De hecho, coloqué un malware en el sitio web de videos para adultos (material pornográfico) y usted sabe que visitó este sitio web para divertirse (ya sabe a qué me refiero).

Mientras estabas viendo clips de video, su navegador de Internet comenzó a funcionar como un RDP (escritorio remoto) que tiene un registrador de teclas que me proporcionó acceso a su pantalla y también a su cámara web.

Inmediatamente después, mi programa de software reunió todos sus contactos desde su Messenger, redes sociales y correo electrónico.

¿Qué hice?
Hice un video de doble pantalla. La primera parte muestra el video que estabas viendo (tienes un buen gusto ya veces extraño), y la segunda parte muestra la grabación de tu cámara web.

¿Exactamente qué deberías hacer? Bueno, creo que $250 es un precio justo para nuestro pequeño secreto. Realizará el pago con Bitcoin (si no lo sabe, busque «cómo comprar bitcoin» en Google).
Dirección de BTC: 139XY4ZjWYqHMJvGCySuzXq7o6tGccKKrJ
(Es muy sensible, así que cópielo y péguelo)

Nota:
Tienes 2 días para hacer el pago.
(Tengo un píxel específico en este mensaje de correo electrónico, y en este momento sé que ha leído este mensaje de correo electrónico).

Si no obtengo los BitCoins, definitivamente enviaré su grabación de video a todos sus contactos, incluidos familiares, compañeros de trabajo, etc.

La próxima vez, ¡ten cuidado!
¡Adiós!

El software espía puede ingresar al dispositivo a través de la descarga de contenido de sitios inseguro o por vulnerabilidades en el sistema operativo (iStock).

 

SEXTORSIÓN

 

Ingeniería social aplicada en la sextorsión

La ingeniería social consiste en obtener información confidencial a través de la manipulación de usuarios que, en el mundo digital, se suele llevar adelante a través del phishing, tal como se refiere a la suplantación de identidad.

Esto es cuando un ciberdelincuente envía un correo o mensaje como si fuera parte de una empresa o entidad reconocida para conseguir datos de manera fraudulenta. Así, por ejemplo, se le dice al usuario que tiene que verificar su cuenta o completar un formulario para acceder a ciertos beneficios o descuentos.

Esto llega con un link que redirige a una página falsa donde todos los datos que ingrese la víctima (contraseña, datos de tarjetas, etc) quedarán en manos de los criminales.

Esa información luego es utilizada para hacer compras, ingresar a las cuentas de las víctimas o enviar correos de extorsión, como los mencionados anteriormente, donde se ofrece algún dato personal (contraseña, por ejemplo) como anzuelo para que el usuario caiga en la trampa.

Según un informe de la empresa de ciberseguridad VU, en un 41% de los casos el phishing es la puerta de entrada más habitual para los hackers. En segundo lugar, con un 21%, queda el aprovechamiento de la vulnerabilidad del sistema y luego la instalación de malware.

Los ataques de phishing son muy utilizados para acceder a contraseñas y otros datos personales de usuarios.

 

SEXTORSIÓN 2

 

Señales de alerta y cómo evitar caer en la sextorsión

Recomendaciones generales:

  • Nunca hay que dar información personal como datos de tarjeta de crédito o contraseñas cuando llegue un supuesto pedido de una entidad al correo o por mensaje de WhatsApp.
  • No descargar archivos adjuntos ni ingresar a los enlaces que llegan por correo aún cuando lleguen de una supuesta entidad reconocida. Se sugiere tipear en la web la dirección completa de la entidad bancaria, empresa u organización gubernamental que supuestamente envía el correo para asegurarse que el usuario ingresa efectivamente al sitio en cuestión y a una página falsa.
  • Siempre hay que sospechar de los correos donde se extorsiona al usuario para que haga un depósito o cumpla con alguna condición para evitar la difusión de algún contenido comprometedor. Por empezar, es posible que el correo sea solo un engaño y, aún cuando realmente los ciberdelincuentes tuvieran esos supuestos datos confidenciales, nada asegura que el pago de un dinero vaya a detenerlos de difundir el contenido.
  • Tener una Contraseña segura. Esto implica crear un password robusto, es decir que incluya combinación de letras y números; que no sea el DNI ni la fecha de nacimiento, por ejemplo. Es importante cambiar la contraseña con frecuencia y utilizar doble factor de autenticación.
  • Evitar ingresar datos de tarjeta de crédito en sitios que no se conocen y que no tienen, como mínimo, protocolo HTTPS.
  • Mantener el sistema operativo actualizado y contar con alguna solución integral de seguridad en los equipos.

 

SEXTORSIÓN 3

 

Las aplicaciones

En el caso de los móviles, hay que ser muy cuidadosos con las aplicaciones que se descargan para evitar la instalación de malware o el almacenamiento inseguro de la información en el celular.

«Otras fallas que se suelen encontrar en muchas aplicaciones son aquellas que tienen que ver con el incorrecto cifrado de los canales de comunicación. Básicamente, aplicaciones que no utilizan (o utilizan mal) el cifrado TLS/SSL para comunicarse con los servidores. Debido a esto, un atacante que se encuentre en nuestra misma red, podría interceptar las comunicaciones y ver los datos que enviamos», detalló a Infobae Gustavo Sorondo, ingeniero en informática y CTO de la consultora Cinta Infinita, en el marco del evento de ciberseguridad Ekoparty que se llevó a cabo en Buenos Aires.

También hay que ser cuidadosos para no terminar otorgando permisos innecesarios a ciertas herramientas del celular. Por dar un ejemplo: debería resultar sospechoso que una app de una linterna, al ser descargada o para ser usada, pida permiso para acceder a la cámara del teléfono.

¿Qué podemos hacer los padres?

Para Antonio Rimassa Chiriboga, experto en adicciones, comenta que los padres tienen un gran deber para controlar lo que ven sus hijos en internet. «No hay ninguna excusa para que los padres no estén 100% pendientes de los contenidos digitales que consumen sus hijos (control parental), mas cuando pueden por su inexperiencia ser presa fácil de los cibercriminales», indica el experto.

 

SEXTORSION 5

 

Compartir: