Las amenazas y extorsiones por e-mail para convencerte de que realices algún tipo de pago (o que cedas tus datos bancarios, lo que viene a ser lo mismo) están a la orden del día. Pero confieso que esta fue la primera vez que me encontré en la situación de ser el receptor de la amenaza. Así os cuento mi experiencia, y explico por qué pasé de preocuparme a tomármelo a pitorreo.
Fase I: Susto inicial
Hace unos días, recibí en mi bandeja de correo un e-mail titulado "Esperando su pago". Lo abrí sin mirar el remitente, y me encontré con esta primera línea:
"Hola. Este correo lo esta recibiendo desde sus propios equipos. Eso se debe a que tengo acceso total a su buzon 'xxx@yyy.zzz' y a todos sus dispositivos".
Fue entonces cuando comprobé el remitente. Y efectivamente, era la propia cuenta que estaba leyendo. De primeras, eso te deja muy mal cuerpo. Y la cosa no mejoró con las siguientes líneas:
"Llevo unas cuantas semanas vigilandole. ¿No tiene idea de cómo es esto posible? Usted [¿visitó?] un sitio en que fue infectado con un software de mi creacion. Por si no sabe como funciona, voy a explicarselo. Con la ayuda de este software, tengo total acceso a una PC o a cualquier otro dispositivo".
Es obvio que no sé cómo funciona, porque lo has creado tú, no yo, máquina. A estas alturas del e-mail ha quedado claro que el hacker es imbécil, pero su amenaza todavía puede ser creíble…
Fase II: Te pillé
A partir de aquí la cosa empieza a ser menos creíble, porque el 'hacker', en un intento de asustarme aún más, empieza a venirse demasiado arriba:
"Eso significa que puedo verle siempre que quiera frente a la pantalla, con solo encender la camara y el microfono sin que usted se de cuenta. Ademas, también tengo acceso a su lista de contactos, mensajes de whats app y a todos sus correos electronicos".
Si empiezas a dar detalles técnicos para impresionar, muchacho, más te vale que tengan algún sentido:
"“Pero mi equipo tiene un antivirus activo, ¿como fue posible? ¿Por que no he recibido ningun aviso?” La respuesta es simple: mi software utiliza controladores propios, lo que me permite actualizar su actividad cada dos horas y de esta manera no sea detectado , y por ende su antivirus se mantiene inactivo".
Es decir, ¿qué tienen que ver los 'controladores propios' (¿de qué?) con la capacidad de detección? ¿O la periodicidad de las comprobaciones? Pero aún no había llegado lo mejor… a aquí es donde el superhacker éste se cae con todo el equipo:
"Le informo que cuento con un video en el que sale masturbandose, y del lado derecho el video que estaba viendo mientras se masturbaba. ¿En que puede perjudicarle esto?
Con una sola pulsacion de raton, puedo enviar el video a todas sus redes sociales y contactos de correo electronico. Tambien puedo compartir todos sus mensajes de correo electronico asi como sus conversaciones de messenger y de whats app".
¿Verdad que no, inspector?
Ay, y pensar que unas líneas más arriba estaba preocupado… Empecemos por el final: si alguien me estuviera vigilando de verdad, sabría que sencillamente no uso Messenger —nunca, para nada—, pero sí otras aplicaciones de mensajería que no menciona. Parece que me conoce poco.
Luego, la parte de lo del vídeo… había varias razones por las que yo sabía que esto era falso, pero abordaré sólo la más relevante para tratar aquí de cara a la ciberseguridad: excepto que esté en plena videoconferencia, mi webcam siempre permanece, bien desconectada (la mayor parte del tiempo, y la opción más recomendable), bien sobre la mesa y enfocando a la pared.
Además, si lo que trataba de hacer el hacker era asustarme para que no tuviera ningún otro remedio que pagar, ¿por qué andarse con misterios y vaguedades? ¿Por qué no decir "El día X del mes Y te grabé cuando visualizabas ese vídeo en el que aparecía tal y cual cosa".
Eso sí haría que el usuario pillado in fraganti se defeque de miedo, pero el texto del e-mail es poco más que un '¡Alguien ha hecho algo…!' bastante infantil.
Fase III: El jaquer pasa la gorrita tras el espectáculo
"Si desea evitar que todo esto suceda solo debe transferir bitcoins por valor de 750 USD a mi dirección bitcoin (si no tiene ni idea de cómo hacerlo, puede abrir el navegador y simplemente buscar: “Comprar bitcoins”). Mi dirección bitcoin (monedero BTC) es… parte 01: xxxx; parte 02: xxxx".
Echando un vistazo a blockchain.com, compruebo que por esas mismas fechas otras dos personas realizaron pagos por una cantidad similar a dicha dirección de bitcoin. Casi 1.500 euros ganados en un momento sólo por escribir un e-mail de amenazas regulero, no está mal:
Luego siguen unas cuantas instrucciones más para asegurarse de que sé realizar el pago —es curioso que aquí sí se ponga a dar detalles concretos—, y finalmente prosigue con sus amenazas:
"Una vez que realice el pago automaticamente recibire un aviso de que usted ya lo efectuo, yo borrare el video de inmediato, y se acabo, no volvera nunca a saber de mi. Tiene solo dos dias (48 horas) para completar esta transaccion. Cuando Usted abra este mensaje de correo, recibire una notificación y mi temporizador se pondra en marcha".
¿Y cómo sabrías que el pago lo he realizado yo, y no cualquiera de las otras personas que hayas amenazado? Mejor aún, ¿cómo recibirás tal notificación de que he abierto el correo? O sea, quiero decir… que me has mandado un email en texto plano:
"Presentar una queja o denuncia no le va a servir de nada, ya que este mensaje no puede ser rastreado, al igual que mi identificador de pagos. Llevo años dedicándome a esto y creame. Nunca cometo errores. Si advierto que ha mostrado este mensaje a cualquier otra persona, distribuire inmediatamente su video, tal como se lo he indicado. El tiempo comienza a correr en este momento."
Madre mía, ¿pero de qué película de sobremesa de fin de semana te has escapado, crack?
El epílogo
"Pero, Marcos, todo eso está muy bien, pero te recuerdo que recibiste un e-mail en tu cuenta procedente de tu misma cuenta, pero que tú no habías escrito. ¿Cómo es eso posible si no tenía acceso a tu equipo, como él dice?".
En primer lugar, cuando lo piensas con un poco de calma, eso de "te estoy enviando este e-mail" desde tu propio equipo carece de sentido: sólo necesita acceder a mi cuenta de correo en la nube. Lo contrario sería más complicado para él y sólo aumentaría las probabilidades de ser detectado.
"Bueno, vale, pero sigue teniendo acceso a tu cuenta. ¿Eso no es grave?". Sí, lo sería… si estuviera accediendo de verdad a mi cuenta. Cosa que, en realidad, nunca hizo.
Eso ya deja claro que ambos e-mails no han salido de la misma cuenta. Vale, eso no resuelve la razón por la que aparezco como remitente… pero eso es una suerte que yo mismo escribiese hace unas semanas un artículo sobre esa misma técnica, la conocida como 'mail spoofing': 'No te fíes de ese e-mail ni aunque conozcas al remitente: puede falsificarse… pero con este truco puedes salir de dudas'.
En dicho artículo explicaba por qué el 'remite' de nuestros mails no es infalible, y señalaba una herramienta de Google que permite desentrañar la 'cabecera' de un e-mail (no es visible directamente, pero puede accederse a la misma desde tu cliente de correo), en la que se especifica un servidor de procedencia y un tiempo de retraso en la entrega.
Si el primero no coincide con el servidor de su servicio de e-mail, y si el segundo muestra periodos de tiempo muy amplios (por encima de unos pocos segundos), la suplantación será obvia. Veamos los resultados del e-mail de marras:
Me atrevería a asegurar que '1024.su' (extensión de dominio de la Unión Soviética, aún en uso en Rusia) no es el servidor de Protonmail, mi proveedor de correo. Y más de un día de retraso en la entrega posiblemente computa como un caso extremo de obviedad en la suplantación.
Dos últimos consejos
Otro de mis artículos anteriores, 'Mucho cuidado con estas amenazas que llegan a tu WhatsApp: la estafa del proxeneta/sicario ha vuelto' evidenciaba dos cosas relacionadas con las extorsiones online que se aplican también en este caso:
- La mala conciencia es mala consejera en estos casos. Si das con un estafador farsante… pero te queda la duda de 'si será verdad que tiene esa grabación' porque previamente habías incurrido en ciertas prácticas (consumo de prostitución en aquel caso, consumo de pornografía delante de la webcam en éste), terminarás pagando 'por si acaso'.
- Suele ser muy mala idea pagar: una vez que el delincuente sabe que tiene en su poder (o que tú crees que tiene en su poder) algo por lo que sabe que estás dispuesto a pagar, lo más probable es que siga extorsionándote (tenga de verdad el vídeo o no).
Os recordamos que, hace tres años, ya abordamos una estafa similar, y en aquel momento la Oficina de Seguridad del Internauta recomendó a los usuarios que hubieran recibido este correo o uno similar que lo ignorasen y no contestasen.
Imagen principal | Generada por IA
En Xataka | Ahora me arrepiento de lo que subí de mí a internet cuando era adolescente
Ver 12 comentarios