Sextorsión: una nueva arma de los ciberdelincuentes
A estas alturas a nadie sorprende que los ciberdelincuentes empleen toda clase de artimañas para engañar a los usuarios y conseguir dinero a cambio.
La sextorsión, o extorsión relacionada con la obtención de material privado y de carácter sexual de la víctima, no es algo nuevo entre las amenazas digitales, pero recientemente se está observando un repunte en las denuncias de este tipo de amenazas.
En la gran mayoría de los casos la amenaza es totalmente falsa, pero se incluyen los suficientes detalles como para que el usuario pueda llegar a pensar que podría ser cierto y termine pagando la cantidad de dinero que el ciberdelincuente solicita. Para evitar que alguna de estas amenazas pueda llegar a ser cierta, lo mejor es garantizar la seguridad de los equipos con una solución de seguridad.
Todo empieza con un correo
Un día abres tu bandeja de correo y encuentras que has recibido un correo de tu propia cuenta o de algún contacto conocido.
Al abrir el correo unos ciberdelincuentes te informan que tu ordenador ha sido hackeado, todo su contenido se ha copiado en un servidor externo bajo su control y que, en lugar de pedirte un rescate por recuperar tus datos, han decidido intervenir tu webcam y, supuestamente, te han grabado mientras visitabas páginas de contenido para adultos.
Los ciberdelincuentes amenazan con enviar todo este supuesto material a toda tu lista de contactos, incluidos familiares, amigos y compañeros de trabajo si no se realiza el pago de una determinada cantidad en bitcoins antes de un plazo.
Para añadir algo más de presión, los ciberdelincuentes indican que todo intento de borrar pruebas o zafarse de su control será inútil ya que todos los datos han sido copiados previamente, mostrando el pago del importe solicitado como única alternativa posible para salir airoso.
En su correo, los ciberdelincuentes aportan todo tipo de detalles que da cierta verosimilitud sobre cómo se ha llevado a cabo el ataque, añadiendo que tiene el control de todas tus cuentas de correo y contraseñas, como bien podría demostrar ese correo que supuestamente se ha enviado desde tu propia cuenta.
Otras variantes de sextorsión online
La sextorsión por correo no es el único medio para atemorizar al usuario bajo la amenaza de difundir material sensible entre sus contactos, también puedes encontrar variantes con un patrón muy similar mientras navegas por webs creadas con los CMS de WordPress o Blogger.
En este caso, los ciberdelincuentes utilizan un mensaje con los mismos argumentos, pero en lugar de recibirlo en forma de correo, aparece como una notificación del sitio web, indicándote que han instalado un malware en tu equipo mientras navegabas, con idénticos resultados que en el formato de correo y con los mismos objetivos económicos.
En este caso el dolor de cabeza es doble ya que, si bien no supone una amenaza real para los usuarios (aunque lo parezca) que visitan esa página, sí supone una amenaza real para los administradores de los sitios web vulnerables en los que los ciberdelincuentes han inyectado el código malicioso necesario para que aparezca el mensaje a los usuarios que entren en él ya que este código podría capturar las contraseñas de acceso de los usuarios.
Que no cunda el pánico y toma las medidas adecuadas
En la inmensa mayoría de los casos, la amenaza no es real ya que se trata de un simple correo de spam un tanto más elaborado en el que se emplea ingeniería social para hacer creer al usuario que el delincuente realmente ha podido acceder a esos datos. Es decir, ni se han colado en tu ordenador, ni tienen vídeos comprometidos sobre ti ni fotos comprometidas.
Por lo que antes de entrar en pánico ante un caso de sextorsión conviene reflexionar y analizar los datos que se incluyen en el correo. Para darle una cierta credibilidad, se habrán utilizado algunos datos concretos sobre cuentas de correo o usuarios filtrados en alguno de los paquetes de cuentas comprometidas disponibles en la Dark web.
Por ello es importante tomar nota del riesgo que supone dejar expuestas las credenciales de acceso a los servicios online (correo, redes sociales, etc.) y reforzar la seguridad de acceso a los servicios con un sistema de doble factor de autenticación fiable y un generador de contraseñas robustas.
Por ejemplo, la suite de seguridad ESET Smart Security Premium integra un gestor de contraseñas que te permite generar contraseñas robustas y seguras, y te ayuda a recordarlas integrándose en el navegador para insertarlas por ti cuando las necesites.
Por otro lado, ESET cuenta con una solución de seguridad de doble factor de autenticación que te permite iniciar sesión en los servicios de una forma mucho más fiable, evitando que un ciberdelincuente que haya conseguido los datos de acceso a tu cuenta en la Dark web pueda acceder impunemente.