videos intimos phishing

Nos lo hemos encontrado estos últimos años con un número cada vez mayor de víctimas.

De pronto, una persona recibe un correo aparentemente enviado desde su misma cuenta en la que se le informa que han conseguido «hackearle» el dispositivo, y debido a ello, han obtenido varias imágenes y vídeos íntimos que no dudarán en exponer públicamente a nuestros conocidos si no pagamos un rescate antes de 48 horas, que normalmente se pide que se haga mediante bitcoin.

Si has recibido esto, ya te digo yo que se trata de un fraude.

Que es mentira.

Ni te han comprometido el dispositivo, ni mucho menos tienen imágenes sensibles tuyas.

Es una campaña que lleva años activa, y que últimamente ha cobrado mucha fuerza en países de habla hispana, como es el caso de España.

Es más, al poco de escribir este artículo (y antes de publicarlo) un cliente de CyberBrainers me escribía para pedirme consejo ya que «le habían hackeado todos sus dispositivos», con un email exactamente igual que este, solo que en inglés.

Cómo funciona el timo de «Tengo fotos o vídeos íntimos tuyos, y si no pagas un rescate los publicaré»

Básicamente, y como te contaba, el timo suele comenzar con un email que envía supuestamente tu propia cuenta de correo, al ser aparentemente el emisor tú mismo.

Por supuesto, esto ya es mentira. Simplemente están emulando mediante un ataque de SPF Spoofing, que la cuenta emisora del correo es la misma que la que lo recibe.

E incluso, en algunos casos, ni tan siquiera se molestan tanto, poniendo únicamente de nombre la dirección de correo de la víctima. Como la mayoría de usuarios no se fijan si eso es un nombre, o la dirección de correo, les engañan.

Es decir, se trata de un ataque de ingeniería social más aplicado al envío de campañas de phishing por email. Por aquí explicamos en este tutorial las 3 maneras de identificar si un correo es real o es un fraude, y como ves, en este caso, y de aplicar estos tres puntos, ya nos daríamos cuenta de que se trata de un timo.

Pero sigamos.

El asunto del email es lo que más cambia en las diferentes campañas activas. En algunas ponen algo así como «Tiene un pago pendiente. Debe liquidar su deuda», y en otros van al grano con asuntos del tipo «Tenemos contenido sexual explícito suyo. O paga o lo haremos público».

Lo que apenas cambia es el cuerpo del email, que suele contener el siguiente texto (o uno bastante parecido):

timo robo videos intimos

Radiografía de la campaña de phishing

Vamos a analizarlo (y desmentirlo) paso por paso:

¡Hola!

Desafortunadamente, tengo malas noticias para usted.

Hace aproximadamente unos meses conseguí acceder a todos los dispositivos que utiliza para navegar por Internet, y desde entonces he estado observando todas sus actividades en la red.

Hasta aquí, nada que señalar. Lo que dice parece más de una película de Hollywood que otra cosa, pero continuemos.

Así es como han sucedido los hechos:

Hace algún tiempo, les compré a unos hackers el acceso especial a varias cuentas de correo electrónico (hoy en día esto se puede hacer fácilmente a través de Internet).

Esto, realmente, podría llegar a ocurrir, ya que como he explicado en más de una ocasión en charlas y por estos lares, realmente la amplia mayoría de cibercriminales no tienen ni idea de informática. Simplemente compran herramientas creadas por terceros que a golpe de click permiten realizar los actos criminales.

A esto viene llamándose el Malware As A Services, y como decía, es hoy en día el formato de negocio de la industria.

Como es evidente, eso también me permitió peder acceder sin problemas a su cuenta de correo electrónico ([AQUÍ PONEN LA CUENTA DE LA VÍCTIMA]).

Esta parte es importante porque, de todo el texto, es el único punto donde el mensaje se personaliza. Si te fijas, en todo lo demás siempre usan frases que funcionan tanto si la víctima es un hombre como una mujer, por eso de que no tienen ni idea de quién va a abrir el correo. Y aquí lo único que tienen que hacer es configurar en la herramienta de envío masivo que utilizan para realizar esta campaña de phishing, que en este espacio pongan el correo de la víctima, para aparentar que en efecto no es un email masivo (cosa que claramente lo es).

Una semana después, procedí a instalar un virus troyano en los sistemas operativos de todos los dispositivos que utiliza para acceder a su correo electrónico. Lo cierto es que me resultó bastante fácil porque abrió algunos enlaces de los correos electrónicos de su bandeja de entrada. La genialidad está en la sencillez.

Gracias a este software, puedo acceder a todos los controladores de sus dispositivos (como la cámara de vídeo, el micrófono, el teclado, etc.). Puedo descargar fácilmente todos sus datos, fotos, historial de navegación, etc. en mis servidores. Puedo acceder a todas sus cuentas de redes sociales, messengers y correo electrónico, así como al historial de chats y las listas de contactos. Mi virus actualiza constantemente sus firmas (ya que está controlado por un controlador), y como resultado pasa desapercibido para el antivirus.

Así que a estas alturas ya entenderá por qué nunca me ha detectado hasta recibir este correo…

Aquí simplemente está diciendo un conjunto de tonterías técnicas que no tienen sentido.

Hay muy pocos troyanos que afecten por igual a diferentes sistemas operativos (y lo normal es que el usuario, como mínimo, tenga un smartphone con Android/iOS y un ordenador con Windows/MacOS), además de ser terriblemente caros (y por tanto, no suelen ser usados para campañas masivas).

Lo de los controladores ya es de coña (¿antivirus que cambiar sus firmas gracias a que «están controlados por un controlador»?, ¿spyware que accede a todo simplemente al clicar en un enlace?).

De nuevo, esto solo es posible en spywares muy pero que muy avanzados, como es el caso de Pegasus, y cuyo coste hace inviable que se utilicen para el grueso de la sociedad.

Es más, por estos lares ya analizamos cómo infectan los spyware comerciales, y claramente hay que hacer bastante más que simplemente clicar en un enlace para que, en efecto, puedan acceder a todo ese contenido, sobre todo en dispositivos móviles.

Gracias a la información que he recopilado sobre usted, he descubierto que le encantan los sitios web para adultos y que los visita con frecuencia. Está claro que disfruta mucho navegando por páginas porno y viendo vídeos muy excitantes que le producen una satisfacción inimaginable. Sinceramente, no he podido resistirme a grabar algunas de sus pervertidas sesiones en solitario y las he recopilado en varios vídeos, en los que aparece masturbándose y corriéndose al final.

De nuevo, una obviedad. Prácticamente toda la sociedad adulta (y no adulta, si me apuras, también) ha consumido porno en los últimos meses, un intervalo de tiempo tan largo como uno quiera pensar.

Hay que recordar, por cierto, que la mayoría de cámaras web tienen un LED en el lateral que alerta cuando la cámara está en funcionamiento, y no se puede amañar para que se apague más que nada porque pertenece al mismo circuito eléctrico que la propia cámara (cuando se manda la señal, la misma electricidad que hace funcionar la lente activa el LED). Por lo que hoy en día es bastante complicado espiar a alguien con la cámara de un dispositivo de escritorio sin que este se dé cuenta.

En móviles, sin embargo, sí sería posible. Pero, de nuevo, requiere bastante más pasos iniciales que simplemente, como decía, darle click a un enlace que hace unos meses te envió. Tienes que aceptar que esa app maliciosa tenga acceso a la cámara, micrófono, archivos locales, agenda, acceso a SMS… también requiere que la aplicación funcione por encima de otras (lo cual hay que configurar en Ajustes del Sistema…). Vamos, que no es algo que pase desapercibido para una víctima.

Por si aún duda de mi palabra, debe saber que con solo unos clics de ratón podría distribuir todos esos vídeos a sus compañeros, amigos e incluso familiares. Además, puedo subirlos a Internet para que cualquiera pueda acceder a ellos. Estoy seguro que lo último que querrá es que ocurra algo así, teniendo en cuenta las cosas tan pervertidas que aparecen en los vídeos que se suele ver (seguro que ya me entiende), ya que sería un completo desastre para usted.

Esto, si en efecto tuviera contenido sensible nuestro (cosa que ya te digo que en este caso en particular es mentira), sí podría cierto.

De hecho, es así como funcionan las campañas de desprestigio reputacional, y aquellas otras basadas en la pura extorsión.

La semana pasada, por ejemplo, estuvimos ayudando a un chico desde EliminamosContenido que había sido víctima del fraude de la novia rusa, y al destapar nuestro equipo el engaño, los cibercriminales lo extorsionaban para que pagase o le enviarían los vídeos que tenían de él (que él le envió a la supuesta chica semanas antes) a sus amigos y familiares.

¿Sabías que es posible eliminar tu huella digital de Internet?

Datos personales expuestos sin consentimiento, comentarios difamatorios sobre tí o tu empresa, fotos o vídeos subidos por terceros donde apareces… En Eliminamos Contenido te ayudamos a borrar esa información dañina que hay en Internet de forma rápida y sencilla.

El timo en sí

Sin embargo, podemos solucionarlo de la siguiente manera:

Me hará una transferencia de 1390€ (el equivalente en bitcoins según el tipo de cambio en el monedero de transferencia), y cuando reciba la transferencia, eliminaré todos esos vídeos lascivos sin dudarlo. Y después podemos fingir que nada de esto ha sucedido nunca. Además, le garantizo que desactivaré y eliminaré todo el software dañino de todos sus dispositivos.

No se preocupe, soy un hombre de palabra.

En realidad es un buen trato y por muy poco dinero, sobre todo teniendo en cuenta todo el tiempo que he estado vigilando su perfil y su tráfico. Si todavía no conoce el proceso de compra y transferencia de bitcoins, podrá encontrar toda la información necesaria en Internet.

Mi monedero de bitcoin es el siguiente: [DIRECCIÓN DEL MONEDERO]

Tiene 48 horas, y la cuenta atrás comienza justo después de abrir este correo electrónico (2 días para ser exactos).

Aquí está el timo en sí.

Para evitar que este supuesto «hacker» (de hacker tiene poco, pero bueno…) difunda esos supuestos vídeos (que no tiene), hay que pagarle a una cartera de Bitcoin el equivalente a 1390€, y en menos de 48 horas.

Esto del tiempo, como ya he explicado en más de una ocasión, se hace precisamente para que la víctima no pueda pensar con calma y darse cuenta de lo absurdo que resulta todo. Que actúe en caliente, con el miedo en el cuerpo, porque está demostrado que es donde mayor posibilidad de éxito tienen los timos.

Además, nos intenta convencer de que:

  • Es una persona de palabra: Claro, no hay mejor persona en la que confiar que una que te está extorsionando…
  • Que además es poco dinero para todo el trabajo que ha estado realizando: Vamos, que casi te está haciendo un favor. Porque ya sabemos que enviar un email masivamente lleva taaaanto tiempo…

No olvide tener en cuenta y abstenerse de hacer lo siguiente:

> No intente responder a mi correo electrónico (este correo se ha generado en su bandeja de entrada junto con la dirección de respuesta).

> No intente llamar a la policía ni a otros servicios de seguridad. Es más, ni se le ocurra contárselo a sus amigos. Si lo descubro (dadas mis habilidades me resultaría muy fácil, ya que controlo y vigilo todos sus sistemas constantemente), publicaré inmediatamente el vídeo en el que sale haciendo cochinadas.

> No intente localizarme, sería completamente inútil. Las transacciones de criptomonedas siempre son anónimas.

> No intente reinstalar el sistema operativo de sus dispositivos ni deshacerse de ellos. No tendría sentido, puesto todos sus vídeos privados ya están guardados en servidores remotos

Aquí hay bastante de lo que hablar:

  • No respondas a este mail: Más que nada porque si respondes, como lo ha configurado para que parezca que se envía desde la misma cuenta, seguramente te estarás respondiendo a ti mismo. Algo muy fácil de realizar en cualquier plataforma de email marketing, y por supuesto en todas las plataformas de fraude vía email.
  • No avises a nadie: Por supuesto, no vaya a ser que la policía me acabe pillando y se me acabe el chiringuito. Tú paga y calladito, ya sabes, que si no como soy omnipresente sabré que lo has hecho :).
  • Las criptomonedas son siempre anónimas, así que no podrás localizarme: Otra tontería. Es más, hace poco demostraba cómo la mayoría de estos caraduras acaban pillándolos precisamente porque no son capaces de ofuscar la identidad de sus carteras, sobre todo en el momento en el que tienen que blanquear ese dinero y transformarlo en moneda FIAT.
  • No reinstales nada: Más que nada porque, como tampoco tengo nada de ti, no podré seguir estafándote al estar tú más tranquilo.

Cosas que pueden preocuparle:

> Que no recibe el dinero que me ha transferido. Tranquilo, podré rastrear la transferencia en cuanto la haga, ya que monitorizo incesantemente sus actividades.

> Que siga distribuyendo sus vídeos después de haberme enviado el dinero. Créame, no me interesa seguir causándole molestias una vez que reciba el dinero. Además, si esa fuera mi intención, ¡lo habría hecho hace mucho tiempo!

De nuevo, dos sentencias más que intentan arrojar confianza en un acuerdo en el que claramente la víctima no está por la labor (y por razones obvias) de confiar.

Recordemos que incluso si fuera real (que no es el caso), el que pagues no significa que el problema haya pasado. Es más, en la mayoría de timos, una vez pagas, buscarán la excusa para pedirte que pagues más.

Es algo que por ejemplo vemos mucho en las campañas de phishing (como esta), y también en las campañas de ransomware a empresas.

¿Qué debo hacer si he sido víctima de este fraude?

Pues lo mejor que puedes hacer es presentarte ante la policía y explicarles el caso.

Ellos te dirán lo mismo que te estoy diciendo yo: Que es un fraude, que todo es mentira, y que por supuesto no pagues, ya que no va a pasar absolutamente nada.

A lo sumo, volverán a escribirte amenazándote de que te queda aún menos tiempo, pero ya está.

No tienen ningún vídeo tuyo, y ni siquiera saben quién eres (se envía masivamente a miles de potenciales víctimas), así que ya está.

Y en el caso de que ya hayas caído en el timo, ponte en contacto con nosotros, a ver si tenemos manera de recuperar el dinero (no siempre es posible, la verdad).

Otros timos que deberías conocer: