Historias reales: me intentaron estafar con un video íntimo

Fecha de publicación 13/06/2019

Autor

INCIBE (INCIBE)

Manu y su socio Rovirales son los gerentes de un negocio de impresoras 3D. Lo que en un principio era una pasión terminó por convertirse en su fuente de ingresos. Tanto nuestros dos gerentes, como sus 3 empleados tenían acceso a la cuenta de correo empresarial que utilizaban para gestionar los pedidos.

¡Nos han hackeado!

Era lunes por la mañana y habitualmente, el primero en llegar a la empresa revisaba los correos que hubieran recibido. Ese día, Manu llegó el primero y pronto visualizó un correo que llamó su atención al instante. Su asunto era bastante alarmante y decía: «¡Peligro! Hackers han atacado tu cuenta».

¡Hola!

Como te habrás dado cuenta, te he enviado el correo desde tu propia cuenta. Esto significa que tengo acceso completo a tu dispositivo y te he estado observando desde hace unos meses.

El hecho es que has sido infectado con malware a través de un sitio para adultos que visitó. Si no estás familiarizado con esto, te lo explicaré. Gracias a un virus de tipo troyano he conseguido acceso y control total sobre sus dispositivos. Esto significa que puedo ver todo en su pantalla, encender la cámara y el micrófono, pero usted no lo sabe. También tengo acceso a todos sus contactos, incluidas redes sociales y WhatsApp.

Te estarás preguntando ¿Por qué mi antivirus no detectó malware?

Respuesta: Mi malware ha sido capaz de evadir su antivirus ya las firmas utilizadas para identificarlos se actualizan cada 4 horas, margen de tiempo suficiente para acceder a sus dispositivos y evitar que me detecte el antivirus.

Hice un montaje que muestra cómo te satisfaces en la mitad izquierda de la pantalla, y en la mitad derecha el video que viste. Con un solo clic de mi ratón, puedo enviar este video a todos sus correos electrónicos y contactos. También puedo publicar las credenciales de acceso a todas sus cuentas de correo electrónico que son:

XXXXXXXXXXX

Si quieres evitarlo esto, transfiera la cantidad de 600€ a mi dirección de Bitcoin (si no sabe cómo hacerlo, escriba a Google: "Comprar Bitcoin").

Mi dirección de Bitcoin (BTC Wallet) es: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Después de recibir el pago, eliminaré el video y nunca más volverás a saber de mí.

Te doy 50 horas (más de 2 días) para pagar desde el momento en que estás leyendo el correo, he activado un temporizador en este correo que me avisará cuando tus 50 horas hayan concluido.

Buscar ayuda en algún lugar es inútil, tanto este correo como mi dirección de Bitcoin no pueden ser rastrados. Si descubro que has compartido este mensaje con otra persona, el video se distribuirá de inmediato.

No cometo ningún error.

Atentamente.

El mensaje procedía desde su propia dirección de correo y conocían su contraseña de acceso. Manu se estaba empezando a poner nervioso y su socio Rovirales todavía no había llegado.

Cuando, por fin, Rovirales llegó a la empresa y Manu le explicó lo sucedido, le comentó que, en su opinión, tenían que pagar al ciberdelincuente y encontrar al empleado que había causado toda esta situación. Rovirales, después de leer el correo, no lo tenía tan claro como su socio, ya que ponía en duda que cualquiera de sus empleados hubiera hecho aquello que se indicaba en el correo. Además, en caso de ser cierto, ¿qué garantías tenían de que pagando no hicieran público el supuesto video o las credenciales de acceso a sus cuentas?

¡Qué no cunda el pánico!

Ante la duda, Rovirales decidió llamar a la Línea de Ayuda en Ciberseguridad que ofrece INCIBE, de manera gratuita, para que le ayudaran a entender qué estaba sucediendo y cómo podían remediarlo. Rovirales expuso al técnico lo que sabía sobre el correo:

Había sido enviado desde su propia dirección de correo electrónico;
decía que conocían las contraseñas que utilizaban para acceder a las cuentas de correo;
decía que sus dispositivos estaban infectados con malware y que ningún antivirus lo puede detectar;
también, supuestamente, tienen en su posesión un vídeo privado de algún empleado;
le dan un plazo de 50 horas para pagar el rescate.

El técnico aclaró a ambos socios cada una de las dudas que rondaban por su cabeza.

Nunca pagar el rescate

Ante este tipo de situaciones, así como en los casos de ransomware, no se debe pagar nunca el rescate ni ceder al chantaje.

El correo no había sido enviado desde su cuenta

La dirección del remitente había sido falseada por la suya utilizando una técnica llamada mail spoofing. Con esto, los ciberdelincuentes consiguen que las víctimas crean que han accedido a su cuenta de correo y a sus sistemas, aunque en realidad no lo han hecho.

Conocían las contraseñas de acceso a las cuentas de correo

Estas contraseñas pudieron ser capturadas de varias formas como por ejemplo, mediante campañas de phishing o malware. Aunque, la opción más probable, debido a la mecánica de este tipo de campañas fraudulentas, es que tanto los correos electrónicos, como las contraseñas se hayan visto afectadas por una fuga de información.

Los ciberdelincuentes se hacen con bases de datos que contienen millones de registros (con nombres de usuario, correos y, en ocasiones, contraseñas cifradas o no) y las utilizan para intentar extorsionar a los usuarios. Es muy probable que los ciberdelincuentes no hayan accedido a la cuenta de correo, ni a los sistemas de Manu y Rovirales y que solo estén intentando extorsionarles ¡es más rentable! No obstante si su correo y contraseña está en alguna de esas bases de datos, es posible que lo intenten. Nuestros protagonistas pueden comprobar si su cuenta de correo se ha visto afectada en alguna fuga de información desde el siguiente servicio:

Have I been pwned?

Como recomendaciones para proteger la cuenta de correo, el técnico de la Línea de Ayuda en Ciberseguridad recomendó a nuestros dos socios:

Utilizar una contraseña diferente en cada servicio, es decir, la utilizada para acceder a la cuenta de correo tiene que ser distinta de la que utiliza para acceder a su banco o a otras aplicaciones;
cambiar la contraseña de acceso a la cuenta de correo y a cualquier otro servicio en el que se haya utilizado;
utilizar contraseñas robustas que contengan mayúsculas, minúsculas, números y símbolos, con una longitud mínima de 8 caracteres;

Sus dispositivos no han sido infectados con malware

Esta es otra técnica utilizada por los ciberdelincuentes para causar miedo en sus víctimas e incitarles a pagar. Sus dispositivos, seguramente, no se han visto infectados por malware, aunque como medida preventiva deben analizarlos con un antivirus actualizado.

Para evitar futuras infecciones, recomendó a los socios:

Instalar software, únicamente, de fuentes originales;
tener precaución a la hora de abrir documentos adjuntos y enlaces en correos electrónicos;
evitar navegar por sitios de dudosa legitimidad.

No tienen ningún video privado

El supuesto video privado no existe, solo es un gancho utilizado para que la víctima pague el rescate. El ciberdelincuente intenta engañar a la víctima por medio de técnicas de ingeniería social valiéndose de un supuesto video de carácter sexual y siendo su único objetivo que ceda al chantaje.

Al final, todo se solucionó fácilmente, no tuvieron que pagar ningún tipo de rescate, el video no existía, ni el ciberdelincuente tenía acceso a sus sistemas. En próximos correos que intentaran extorsionarles serían más escépticos y ante cualquier duda contactarían con la Línea de Ayuda en Ciberseguridad de INCIBE.

Etiquetas