Cómo reaccionar a un chantaje a través de un correo que muestra una de tus contraseñas

Hace unos días, nuestros compañeros de ESET Latinoamérica avisaban en el blog WeLiveSecurity de la propagación de una serie de correos en los que se amenazaba con difundir un supuesto vídeo grabado desde uno de nuestros dispositivos, que habría sido comprometido por un delincuente. Tras detectar varios casos similares entre usuarios españoles, vamos a analizar en qué consiste esta amenaza.

El correo amenazante

Todo empieza con la recepción de un correo en inglés desde una dirección desconocida y que tiene como particularidad que en asunto aparecen credenciales de acceso a algún servicio online (nombre de usuario y contraseña). Esto suele causar un impacto considerable entre aquellos usuarios desprevenidos, sensación que suele agravarse conforme se sigue leyendo este correo.

En el email se nos indica que nuestro misterioso remitente ha conseguido un software en una página de contenido pornográfico que le permite tomar el control sobre lo que estamos viendo y también sobre la webcam. Así mismo, este delincuente nos indica que también ha recopilado información como nuestros contactos, cuentas de redes sociales y nuestra cuenta de correo. Por último, se nos indica que se ha grabado tanto lo que estábamos viendo como a nosotros a través de la webcam.

Obviamente, tras recibir un correo así a más de uno pueden entrarle sudores fríos pensando en qué sitios web ha visitado recientemente y, sobre todo, en qué condiciones pueden haberle grabado. El delincuente lo sabe y amenaza con difundir un vídeo mostrando lo que supuestamente estábamos viendo y lo que se ha grabado desde la webcam de nuestro dispositivo.

La buena noticia para todos los usuarios que estuvieran temiendo por su reputación entre sus contactos es que no existe dicho vídeo, y lo único de lo que disponen estos extorsionadores es de un usuario y una contraseña filtrados desde alguna base de datos perteneciente a algún servicio online al que nos hayamos registrado.

Analizando la estrategia

Por desgracia, los extorsionadores han utilizado esta técnica porque son conocedores del creciente número de casos de sextorsión, tanto entre adultos como entre menores. De la misma forma que vimos correos similares pero que amenazaban con cifrar los datos de los ordenadores de nuestra empresa, los delincuentes han visto ahora la posibilidad de conseguir dinero fácilmente sin ni siquiera utilizar un malware.

Para ello utilizan la ingeniería social y el miedo a que nuestros secretos salgan a la luz y se difundan entre nuestros contactos. El único mérito de estos extorsionadores ha sido el de recopilar datos entre los millones de credenciales que se han filtrado en los últimos años desde todo tipo de servicios online y preparar un correo bastante bien escrito (aunque bastante genérico) para tratar de convencer al mayor número de usuarios de que estaban ante una amenaza real cuando no es así.

Como apunte interesante, vemos que la cantidad de dinero solicitada es más del doble de la que se pedía en los correos analizados por nuestros compañeros de ESET Latinoamérica. No sabemos si estas cantidades fluctúan dependiendo de a quien se le envía el mensaje (o de donde viva) o si están puestas al azar con la esperanza de que alguien muerda el anzuelo e ingrese la cantidad requerida.

Lo que sí podemos decir es que, al menos en las muestras analizadas, el éxito ha sido nulo, tal y como puede observarse en las transacciones realizadas a la cartera controlada por los extorsionadores:

Una vez aclarado este punto y calmados los nervios, muchos usuarios seguirán sin entender cómo un perfecto desconocido pudo ponerse en contacto con ellos para extorsionarles y, además, proporcionó datos privados como las credenciales de acceso a algún servicio online utilizado por la víctimas, lo que nos lleva al punto verdaderamente importante de este caso.

¿Qué hacer si descubrimos que nuestras credenciales han sido robadas?

Lamentablemente, actualmente no es nada raro que alguna de nuestras credenciales de acceso a uno de los muchos servicios online al que nos hemos registrado a lo largo de los años se haya visto comprometida y filtrada. Esto es algo con lo que nos toca lidiar hasta que se implemente de forma generalizada un sistema de autenticación mejor que el clásico “nombre de usuario y contraseña”.

Hasta entonces, es probable que casos como el que hoy analizamos se vuelvan a repetir o, incluso peor aún, que alguien tome el control de alguno de nuestros perfiles por no haber mantenido una política de contraseñas seguras. Para evitarlo vamos primero a responder a la pregunta que muchos os estaréis haciendo y que no es otra que: “¿Cómo narices sabían mi contraseña?”.

Para responder a esta pregunta vamos a utilizar alguno de los servicios que informan sobre robos y filtraciones masivas de credenciales acontecidos durante los últimos años. Uno de los más conocidos es Have I been pwned? y desde ahí se puede comprobar si nuestro correo electrónico se ha visto afectado por alguna filtración de datos.

Tanto si hemos sido afectados como si no, es muy recomendable cambiar nuestra contraseña por una que sea segura y, sobre todo, no reutilizarla en otros servicios. Esto nos evitará que, bien usando técnicas de fuerza bruta o revisando entre los millones de credenciales filtradas, alguien pueda acceder a nuestros perfiles sin nuestro consentimiento.

El segundo paso que debemos realizar es comenzar a utilizar el doble factor de autenticación en todos aquellos sitios que lo permitan. No solo representa una barrera adicional muy robusta, sino que además es muy sencilla de utilizar en nuestro día a día, puesto que podremos utilizar nuestro smartphone para generar los códigos temporales que necesitaremos para acceder a nuestras cuentas mediante mensajes de texto o aplicaciones gratuitas como Google Authenticator.

Si no sabes qué servicios permiten la implementación del doble factor de autenticación puedes consultarlo en la siguiente web:

https://twofactorauth.org/

Además, esta medida de seguridad viene de perlas por si nos roban las credenciales, ya que por mucho que las intenten introducir, por ejemplo, en nuestra cuenta de Gmail, no podrán acceder al no disponer de ese código que se genera o recibís en vuestro móvil.

Por último, si como a la mayoría de nosotros te resulta difícil recordar todas y cada una de las contraseñas que utilizas, puedes usar aplicaciones como los gestores de contraseñas. Hay muchos donde elegir y cada usuario puede utilizar aquel que mejor se adecue a sus necesidades. Entre los más conocidos encontramos Lastpass, 1Password, Keepass, DashLane, RoboForm o Keeper, por mencionar solo unos cuantos.

Asimismo, si dispones de una licencia de ESET Smart Security Premium, dispondrás también de una utilidad de gestión de contraseña además de la protección antivirus y otras funcionalidades como el navegador seguro para Banca Online y el cifrado de carpetas y unidades USB, todo desde un único programa.

Conclusión

El caso que hemos analizado hoy trata de aprovecharse de las vulnerabilidades humanas en lugar de utilizar un malware real para conseguir su propósito. Esto nos puede servir para recordar la importancia que tiene actualmente una gestión adecuada de nuestras contraseñas, ya que, de lo contrario, podemos vernos envueltos en serios problemas como los que tuvieron hace unos años varios artistas de Hollywood.

Josep Albors

Aplicaciones de banca fraudulentas en Google Play filtran los datos de las tarjetas de crédito robadas