«Le informo de que tenemos control sobre su cuenta y sobre todos sus dispositivos». Ese es el comienzo del mensaje que están recibiendo miles de personas dentro de una campaña fraudulenta de correos electrónicos detectada por los expertos del Instituto Nacional de Ciberseguridad (Incibe). El nivel de la alerta está calificado como «alto». El ciberdelincuente destaca en su mensaje que dispone de fotos o vídeos sexuales íntimos en los que aparece el destinatario y que si no paga, esos archivos serán distribuidos a todos sus contactos y publicados en las redes sociales. Pero todo es mentira. En realidad no han accedido a la cuenta de la víctima ni poseen ese material sensible. Es la ciberestafa conocida como sextorsión, en la que el atacante envía un mensaje que pretende asustar a la víctima para que no tenga tiempo de reflexionar y pague lo antes posible.

Aunque hay otras modalidades, en esta campaña fraudulenta los ciberestafadores adjuntan un número de cuenta y exigen el pago de 750 dólares en bitcoines. En el mensaje se amenaza al usuario con que dispone de solo 48 horas para efectuar el pago y le dicen que una vez hecho, el vídeo y las fotos se borrarán. Antes, el ciberdelincuente advierte que tiene «total acceso al PC o a cualquier otro dispositivo» del usuario. Y añade: «Eso significa que puedo verlo siempre que quiera con solo encender la cámara y el micrófono sin que usted se dé cuenta. Además, también tengo acceso a su lista de contactos y a sus correos electrónicos».

El Incibe ha lanzado esta alerta a través de la Oficina de Seguridad del Internauta (OSI) advirtiendo del riesgo de responder a uno de esos mensajes que están siendo enviados de forma masiva a ordenadores y teléfonos móviles. No hay límites. Los afectados son «todos los usuarios que hayan recibido el correo electrónico y que hayan cedido al chantaje», dicen desde el operador nacional de ciberseguridad.

La solución es fácil si se ha recibido un correo de ese tipo: borrar el mensaje sin abrirlo. En realidad ese es el mejor método para no caer en la ingeniería social que utilizan los ciberdelincuentes y que no es otra cosa que intentar ganarse la confianza de sus víctimas o engañarlas mediante diversas técnicas.

Desde el Incibe avisan que «bajo ningún concepto» se debe pagar al extorsionador ni tampoco es recomendable tratar de ponerse en contacto con él contestando al correo, porque de esa forma se puede saber que la cuenta del usuario está activa y podrían utilizarla para futuros fraudes.

En el caso de que se haya efectuado el pago, la oficina de ciberseguridad recomienda recopilar todas las pruebas posibles del fraude, como capturas de pantalla del correo fraudulento, y contactar cuanto antes con la Policía Nacional o la Guardia Civil, que tienen equipos especiales de respuesta a estos incidentes de ciberseguridad. El Incibe también dispone de un teléfono de ayuda, el 017, en el que cualquier usuario puede realizar consultas sobre ciberseguridad o ataques informáticos. Pero la principal recomendación de los expertos es desconfiar de cualquier correo electrónico extraño que proceda de alguien con el que no se tiene ningún contacto ni de amistad ni laboral.

Leer más: Las mafias del ciberdelito se especializan

José Manuel Pan

Del «smishing» al «ransonware»

La sextorsión es una de las técnicas más utilizadas por los ciberdelincuentes porque hace caer a mucha gente en el engaño ante la amenaza de hacer públicos vídeos o fotos de carácter íntimo. Pero hay muchos más métodos de ingeniería social que las mafias utilizan para chantajear a las víctimas o, en el peor de los casos, para acceder a sus cuentas. La ciberseguridad también ha traído nuevas definiciones con las que hay que estar familiarizados.

smishing

Mensajes SMS al móvil. Método similar al phishing, en el que también se utilizan envíos masivos, pero en este caso hechos al móvil con mensajes SMS.

phising

Envío masivo de correos. Su objetivo es pescar víctimas. Mediante esta técnica se envían miles de correos electrónicos con archivos adjuntos que están infectados con el objetivo de tomar el control de ordenadores o móviles.

vishing

Llamada telefónica. El ciberestafador va más allá del correo electrónico y realiza una llamada de teléfono en la que se hace pasar por representante de alguna una organización o de una empresa de confianza para que la víctima revele datos personales. En muchas ocasiones, los estafadores suelen suplantar a entidades bancarias.

baiting

El truco del dispositivo. Consiste en dejar a la vista, aparentemente olvidado, un dispositivo extraíble, como por ejemplo un USB o un CD, para que alguien lo coja, se lo lleve y lo introduzca en un ordenador para comprobar lo que contiene. Si lo ejecuta, su dispositivo quedará infectado.

sim swapping

Duplicado de la tarjeta. Este es uno de los métodos más dañinos. El estafador se hace con los datos de la tarjeta SIM del móvil y consigue hacer un duplicado. De esa forma logra usurpar la identidad del titular del teléfono y se autentica en su banco, con lo que pasa a tener el control de todas sus cuentas.

ransonware

Bloqueo de las cuentas. El ransomware es un tipo de malware que se introduce en los equipos y dispositivos móviles que están conectados a Internet. El ataque con este sistema impide el acceso a la información tras bloquear las cuentas y los archivos. Generalmente, los ciberestafadores cifran los archivos para que todo quede bloqueado y, a continuación, piden un rescate para que la información vuelva a ser accesible o no sea divulgada. Uno de los últimos ataques conocidos de ransomware fue cometido en el Concello de Cangas, donde el bloqueo de los archivos impidió el pago de las nóminas a los funcionarios durante varios días.

---

---

---