La Oficina de Seguridad del Internauta (OSI) del Instituto Nacional de Ciberseguridad (Incibe) ha alertado de una masiva campaña de correos electrónicos fraudulentos que buscan extorsionar a los destinatarios, solicitándoles un pago en un monedero virtual de bitcoin a cambio de no divulgar supuestas grabaciones íntimas.
El ciberdelincuente menciona en el correo electrónico que a través de un software malicioso ha conseguido espiar al destinatario del correo obteniendo información personal, como vídeos y fotos íntimas. Si la víctima no desea que se difunda ese tipo de contenido por la red, deberá hacer un pago.
Este tipo de estafa, conocida como sextorsión, se basa en la amenaza de difundir grabaciones que en realidad no existen. El objetivo es generar preocupación y alarma en la víctima, para que, por miedo a posibles repercusiones, realice el pago solicitado.
Se han detectado varios tipos de asunto en estos correos electrónicos:
- “Quiero informarte sobre una situación muy mala para ti”
- “Su pago está pendiente”
- “Esperando el pago”
- “xxxxxxxxxxxxxxx[at]xxxxxxx.
xxx[.]xx”
También se puede observar en el campo del remitente, que se simula el envío desde la misma cuenta de correo del receptor al que va dirigido.
El estafador suele empezar explicando que lleva tiempo espiando a la víctima gracias a un software malicioso con el que tiene acceso total al dispositivo de esta persona. De esta manera, ha conseguido acceder a material de todo tipo, extrayendo su información personal y consiguiendo fotos y vídeos íntimos.
En ese momento, el ciberdelincuente informa a su víctima de que con algunos clics de ratón puede difundir todo ese material a todos sus contactos, pero para que esto no ocurra le ofrece una solución. Esta consiste en efectuar una transferencia, de una cantidad determinado, a un monedero de criptomonedas bitcoin, y que una vez haya recibido la confirmación del pago, se compromete a eliminar todo el contenido que había extraído y desaparecerá de su vida para siempre.
Este es uno de los ejemplos mencionados del tipo de correo que puede llegar a recibir una presunta víctima de este fraude, en el que el estafador directamente le dice que ha utilizado el software malicioso Pegasus.
En este otro ejemplo le informa de que ha obtenido acceso a todo su buzón de correo y a todo su equipo a través de un software malicioso.
Al revisar el detalle de la cuenta, observamos que se trata de una billetera digital sin fondos, la cual ha sido reportada como fraude en una ocasión.
Al revisar el detalle de la cuenta, observamos que se trata de una billetera digital sin fondos, la cual ha sido reportada como fraude en una ocasión.
Hay otras plataformas que almacenan reportes que, de momento, no han sido comunicados, pero podrían serlo próximamente.
Solución
Si has recibido el correo electrónico, pero no has realizado el pago, clasifícalo como correo no deseado y elimínalo. No has sido infectado por un malware, por lo que los ciberdelincuentes no poseen dichas grabaciones. Simplemente están utilizando técnicas de ingeniería social con el objetivo de engañarte.
Evita hacer cualquier pago al extorsionador o establecer comunicación con él respondiendo al correo. Al hacerlo, estarías confirmando que tu cuenta se encuentra activa y podría ser usada en futuros intentos de fraude. Si has efectuado el pago utilizando la criptomoneda bitcoin, es crucial que sigas las recomendaciones que te proporcionamos a continuación:
- Realiza y conserva capturas de pantalla y otras evidencias de las que dispongas del fraude. Es importante que te pongas en contacto con las Fuerzas y Cuerpos de Seguridad del Estado para formalizar una denuncia.
- Para recopilar las evidencias mencionadas puedes hacer uso de testigos online.
- En los próximos meses, verifica que no se haya publicado información que pudiste haber proporcionado practicando egosurfing.
- Frente a la posibilidad de encontrar datos personales tuyos en Internet, redes sociales o motores de búsqueda, tienes la opción de ejercer tu derecho al olvido. Los procedimientos a seguir para ello, puedes encontrarlos en la Agencia Española de Protección de Datos.