Recientemente el Instituto Nacional de Ciberseguridad INCIBE, alertó de una nueva campaña de sextorisón a través de correo electrónico, de hecho esto no es nada nuevo, periódicamente surgen campañas de este tipo que pueden llegar a afectarnos en mayor o menor medida, sobre todo dependiendo de la capacidad de nuestro sistema antispam, y de la ingenuidad de la persona o personas que terminan recibiendo este tipo de correos en su buzón de e-mail.
Lo primero de todo vamos a tratar de explicar qué es sextorsión, que básicamente es un intento de chantaje dónde amenazan con difundir un supuesto video privado nuestro, si no accedemos a un pago, normalmente en moneda digital tipo Bitcoin para que no haya rastro que pueda conducir al ciberdelincuente.
Hasta aquí, puede que no te genere demasiada inquietud recibir correos de este tipo en tu empresa o de manera particular, sobre todo si eres cuidadoso con tu vida privada. Además, muchas de estas campañas dan bastante pena, la redacción del correo deja mucho que desear, resultando una especie de traducción cutre que cuesta entender a la primera, e incluso pueden caer en el error de tratar de dar detalles, que al ser falsos directamente restan credibilidad alguna al conjunto.
Ahora bien, por otro lado hay que tener en cuenta que normalmente resulta imposible evitar recibir correos maliciosos al inicio de una campaña de este tipo, es decir, los sistemas antispam se encuentran un correo electrónico sin adjuntos, sólo con texto, sin palabras clave que puedan ser filtradas, y proveniente de dominios genericos como gmail, hotmail, que no pueden descartarse de un modo general. Por tanto, cuando se inicia una campaña de estas características, es normal que algunos correos se cuelen en los buzones de usuario, hasta que el sistema antispam a través de su sistema de aprendizaje a nivel global, detecte que ese tipo de envío es maligno, y pueda marcarlo como SPAM o descartarlo directamente.
Y por otro lado, hay que tener en cuenta que efectivamente hay campañas que dan pena como comentamos anteriormente, pero otras están mucho más curradas. Y pongo un ejemplo concreto que traté no hace mucho tiempo atrás:
I am well aware XXXXXXX is your pass words. Lets get directly to purpose. Neither anyone has paid me to check you. You don't know me and you're probably thinking why you are getting this e mail? Well, i actually installed a malware on the 18+ videos (sex sites) site and you know what, you visited this site to experience fun (you know what i mean). While you were viewing videos, your web browser began functioning as a RDP having a key logger which gave me accessibility to your display and web cam. immediately after that, my software gathered your complete contacts from your Messenger, social networks, as well as e-mail . Next i created a double video. 1st part shows the video you were watching (you've got a nice taste lol . . .), and 2nd part displays the view of your cam, yeah it is you. There are 2 alternatives. Why dont we look at each one of these solutions in details: First option is to skip this e mail. as a result, i most certainly will send out your very own video recording to every one of your contacts and then think about the disgrace you experience. Moreover if you are in a relationship, how it will certainly affect? 2nd alternative would be to give me USD 866. Lets refer to it as a donation. in such a case, i most certainly will immediately discard your videotape. You could keep going on daily life like this never took place and you will not ever hear back again from me. You'll make the payment via Bitcoin (if you don't know this, search 'how to buy bitcoin' in Google search engine). BTC address to send to: yyyyyyyyyyyyyyyyyyyyyy [CaSe-sensitive so copy and paste it] if you have been planning on going to the law enforcement officials, anyway, this e-mail cannot be traced back to me. I have taken care of my steps. i am also not trying to ask you for money very much, i prefer to be paid. You now have 48 hours to make the payment. i've a specific pixel in this email message, and now i know that you have read this e mail. if i do not receive the BitCoins, i definitely will send your video recording to all of your contacts including friends and family, colleagues, etc. Nevertheless, if i receive the payment, i'll erase the recording right away. if you need evidence, reply with Yeah! & i will send out your video recording to your 14 contacts. it's a non:negotiable offer, and so please do not waste my time & yours by responding to this message.
En el ejemplo de correo anterior, he sustituido XXXXXXXX por la contraseña típica que la persona que recibió el correo utilizaba para prácticamente todo: correo personal, redes sociales, registros en páginas de internet, tiendas on-line, etc… de hecho, esa misma contraseña la utilizó de manera corporativa en la empresa hace un tiempo, pero la tuvo que modificar por la política de contraseña que tenemos, que obliga a un cambio periódico.
Cuando recibió el correo, esta persona estaba blanca, ¿como podían tener su contraseña «estos hackers»?, y además, la conversación conmigo fue con apuro, incluso teniendo confianza me comentaba: «oye que no he hecho cosas raras delante del ordenador…»
La explicación es más sencilla de lo que parece, lo primero de todo tener en cuenta que jamás debemos caer en cualquier tipo de extorsión de este tipo u otro similar. En caso de duda, lo mejor es hacer como hizo esta persona, consultar con un especialista de tu empresa, o con otros externos, al caso, recientemente nos hicimos eco del servicio gratuito 017 de Incibe para resolver este tipo de dudas.
Por otro lado, está el tema de la contraseña, cómo han podido interceptarla. La primera idea es pensar en un ataque sofisticado hacia tu persona, pero en general nada más lejos de la realidad, simplemente han tenido que obtenerla de un listado de cuentas robadas, fácilmente localizables en la dark web.
Y es que la realidad, es que prácticamente todos los grandes de internet han sufrido robo de datos e identidades a lo largo de su historia: Microsoft, Yahoo, Facebook, Dropbox, Linkedin, Adobe, Sony, eBay… y también más pequeños o cercanos, como recientemente Wallapop.
Cuando se han producido esos robos, los delincuentes han obtenido cuentas de correo y contraseñas. Imaginemos que por ejemplo, solemos utilizar la misma contraseña para todos los servicios de internet, y esta se ve comprometida en una de estas brechas de seguridad. Lo normal es que la entidad que sufrió el robo, nos informase de lo ocurrido, y nos instara a cambiar nuestra contraseña de acceso. Pero es probable, que cambiásemos sólo esa, olvidando el resto de sitios dónde la utilizamos habitualmente. Un recurso muy interesante, es:
En esta web podemos meter nuestras direcciones de correo electrónico, tanto personales como profesionales, y nos dirá si se han visto comprometida en algún momento, indicando además la fecha y entidad que sufrió el robo.
En el ejemplo del correo anterior, los datos de esa persona se vieron comprometidos en una brecha de Linkedin, Adobe y 2 listados con origen indeterminado.
¿Cómo paliar este tipo de robo de credenciales?
Pues hay muchos métodos, probablemente los más importantes son:
- Evitar utilizar la misma contraseña en varios lugares.
- Utilizar contraseñas complejas.
- Hacer uso de gestores de contraseñas, tal y como hablamos en artículos anteriores.
- Modificar nuestra contraseña periódicamente, adoptar políticas obligatorias de cambio y complejidad en el ámbito corporativo.
- Utilizar mecanismos de doble factor de autenticación, ya sea a través de smartphone o cuenta secundaria.
- Beneficiarnos de servicios gratuitos como https://haveibeenpwned.com/, que nos permite además recibir avisos por e-mail, en caso de que aparezcamos en cualquier tipo de base de datos relacionadas a robo de datos.
