¡Chantaje por correo electrónico! Como les explicábamos en años anteriores, un ciberdelincuente envió cientos de miles de correos electrónicos maliciosos con el objetivo de extorsionarte. Se trata de una extendida estafa de correo electrónico con bitcoin que consiste en hacerte creer que tu ordenador fue infiltrado durante una visita a un sitio web pornográfico.
En esgeeks.com hemos catalogado más de 70 variantes de esta estafa que explota el miedo de los usuarios, una táctica conocida como scareware. Se trata de una extorsión 2.0.
El chantaje por correo electrónico es una estafa en la que un ciberdelincuente envía un email masivo afirmando haber hackeado tu dispositivo y grabado contenido íntimo. Amenaza con publicarlo si no se realiza un pago, generalmente en Bitcoin. Sin embargo, estas afirmaciones son falsas y se basan en el engaño para explotar el miedo del usuario.
Actualización de este artículo publicado en octubre de 2018: Actualmente, hemos registrado 1.200 versiones de esta estafa basada en el “bluff” (engaño).
Has recibido un correo electrónico, un chantaje o una sextorsión que afirma que un ciberdelincuente ha infiltrado tu WhatsApp, tu Facebook o tu ordenador. Un mensaje fraudulento que indica que tu información íntima ha sido copiada y que será publicada en internet si no transfieres dinero. Esta es una estafa que comenzó a gran escala en abril de 2018. En ese momento, te explicamos que los mensajes mostraban tu contraseña o datos personales, información que los atacantes recopilaban de filtraciones masivas de datos.
Durante todo el verano, aparecieron decenas de variantes de esta estafa, aprovechándose de los miedos, el desconocimiento o los secretos de los internautas.
Los ciberdelincuentes se mantienen actualizados sobre la actualidad mediática. Hemos identificado 77 variantes de estos correos. Algunos de ellos utilizan noticias recientes para dar credibilidad a la amenaza: una vulnerabilidad en WhatsApp, un hackeo de Facebook. En la totalidad de los casos, el atacante no posee tus datos. No ha infiltrado tus sistemas, ni ha robado tus vídeos, fotos o accesos a la cámara web.
El aspecto más preocupante es que numerosos internautas han pagado por miedo. Por ejemplo, en septiembre del año pasado, pudimos identificar varios cientos de transacciones. Uno de los extorsionadores por correo logró obtener 2,5 bitcoins. En total, para las 77 versiones rastreadas en ese momento, se registraron pagos por más de 25 BTC, una suma financiera muy significativa. Este es el motivo principal del correo electrónico con chantaje y pago de bitcoin: la rentabilidad para el atacante.
Técnicas de engaño en el chantaje por correo
Los estafadores utilizan principalmente la ingeniería social, afirmando falsamente haber infiltrado tu equipo y webcam para generar miedo y forzar un pago. Los estafadores no han inventado nada nuevo.
De hecho, nos enfrentamos a un caso de “copycat” (imitación), simples copiones de una fórmula que funciona.
Primero, el correo electrónico. Te indica que durante una visita a un sitio para adultos, tus datos y tu ordenador fueron infiltrados. Si bien es cierto que existen vectores de ataque sofisticados, como los drive-by downloads que explotan vulnerabilidades de día cero en navegadores no actualizados, este tipo de estafas no se basa en ellos. El método más común de infección sigue requiriendo una acción directa por tu parte, como ejecutar un archivo malicioso. La afirmación del atacante es, casi con total seguridad, un engaño.
Acceso a la cámara web
No, el atacante no ha accedido a tu webcam. El segundo método que utiliza el delincuente para infundir miedo es: “Hemos interceptado vídeos y fotos a través de tu webcam“. Los correos de los atacantes se dirigen a sistemas Mac, iPhone, PC, etc.
Interceptar imágenes a través de un iPhone actualizado, por ejemplo, es una tarea de alta complejidad. La probabilidad de que un ciberdelincuente común logre acceder remotamente a la cámara es extremadamente baja, ya que requeriría herramientas y conocimientos avanzados, a menudo solo al alcance de actores a nivel estatal mediante spyware sofisticado. Sin mencionar la necesidad de almacenar y catalogar todo ese material y luego identificar a las personas en las imágenes. En resumen: es un engaño.
Tus datos personales en el correo del atacante
¿Ves tu correo electrónico, tu contraseña o tu fecha de nacimiento en el correo amenazante con bitcoin? Este ha recuperado esa información de bases de datos de sitios web previamente comprometidos. Frecuentemente mostramos este tipo de repositorios distribuidos en el mercado negro (black market). Son bases de datos filtradas en internet. Los delincuentes simplemente catalogan los contenidos. ¡Ni siquiera saben quién eres! En resumen: es un engaño.
Spoofing de dirección de correo electrónico
Esta técnica, conocida como spoofing, permite suplantar la identidad del remitente para hacerte creer que el correo fue enviado desde tu propia cuenta, pero es un truco sencillo. Recibes un correo que parece enviado desde tu propia dirección.
El spoofing es una técnica tan antigua como el propio internet. Aunque existen medidas técnicas como SPF, DKIM y DMARC para combatir la suplantación, esta táctica sigue siendo efectiva para los estafadores. Aquí también se aplica la ingeniería social. El atacante juega con la duda, especialmente porque afirma haber enviado el correo desde tu propia cuenta, lo que refuerza el miedo y la idea de que tu correo ha sido hackeado.
Existen decenas de sitios web que ofrecen servicios de “Fake Mail” (envío de correos falsos). Basta con introducir tu dirección de correo para que creas que tú eres el autor del mensaje. El spoofing de correo electrónico (Address Spoofing) consiste en suplantar la identidad del remitente. En resumen: es un engaño.
