Recibir algunos correos electrónicos puede producir vértigo. Pónganse en la situación de recibir un mensaje enviado por nuestra propia dirección electrónica, comunicando que hemos sido hackeados. A menos que ingresemos una cantidad económica en una cuenta monedero de bitcoin, se publicará información íntima o privada de la víctima que supuestamente se ha ido recabando a lo largo del tiempo. Muchos se pondrían nerviosos, quizás se precipitarían. Eso es precisamente lo que buscan los ciberdelincuentes y lo que debemos evitar a toda costa.
Los expertos en ciberseguridad de la Oficina de Seguridad del Internauta (OSI) han informado este jueves de la detección de una campaña de sextorsión que utiliza una técnica conocida como mail spoofing. De este modo, el ciberdelincuente suplanta la dirección de correo electrónico de un dominio privado del remitente para engañar a la víctima y hacerle creer que ha conseguido instalar un troyano en su dispositivo. A través de la extorsión incita a sus potenciales víctimas a abonar una cantidad de dinero, un chantaje al que cuesta resistirse.
El correo electrónico suele portar como asunto ‘Tiene un pago pendiente', aunque no se pueden descartar otras fórmulas o variantes de la misma. A lo largo del correo, el ciberdelincuente explica a su víctima que, tras haber comprado credenciales a un supuesto hacker, ha conseguido los datos necesarios de la víctima para acceder a sus dispositivos e infectarlos con un software espía con el que ha recabado información y ha grabado vídeos íntimos de la víctima. Le avisa de que no puede llamar a la policía ni pedir ayuda, y exige que se le realice un pago en bitcoines a una cuenta monedero en un plazo de 48 horas.
Los delincuentes que 'trabajan' en el medio digital se sirven de esta y otras artimañas de ingeniería social para conseguir su beneficio del temor que provoca en los usuarios, destacan desde el organismo público, que depende del Instituto de Ciberseguridad (INCIBE). Si se ha recibido un correo electrónico similar, debemos eliminar, y nunca reenviarlo o responder. «Esta amenaza por parte del ciberdelincuente no es real, es decir, no ha tenido acceso a tus dispositivos, por lo tanto, tampoco ha grabado ningún vídeo íntimo o privado».
Simplemente ha 'inventado' un mensaje de correo electrónico que imita nuestra propia dirección. Ese mensaje es el que el ciberestafador utiliza para tratar de engañarnos. A las víctimas del engaño la OSI les ofrece una serie de recomendaciones. «Si has pagado el importe del chantaje y pagado a la cuenta de bitcoines proporcionada por el ciberdelincuente, debes recoger todas las evidencias posibles del chantaje, es decir el correo electrónico, capturas de pantalla o posibles mensajes por los que hayan contactado contigo durante el pago».
Esas evidencias serán útiles para que las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) pongan coto al estafador, y para ello es pertinente presentar una denuncia en cualquier comisaría. Además, es aconsejable bloquear toda posible comunicación del ciberdelincuente, así como comprobar la información publicada sobre uno mismo, una práctica que se conoce con el nombre de egosurfing. De este modo será más fácil detectar un eventual contenido que comprometa la propia privacidad, y así ejercer los derechos legalmente previstos en este caso.