Nuevos correos de extorsión suplantan a las fuerzas policiales e incluyen un teléfono de contacto

La suplantación de la identidad de algún cuerpo policial para asustar a los usuarios y conseguir que caigan en las trampas preparadas por los delincuentes no es, precisamente, algo nuevo. Aun así, casos recientes demuestran que los criminales siguen utilizando esta estrategia para conseguir nuevas víctimas e incluso las amenazas con acusarles de haber consumido contenido relacionado con la pornografía infantil.

Una técnica que vuelve

Como ya hemos dicho, esta suplantación de identidad es algo que se ha convertido en tradición y, si echamos la vista atrás unos años, veremos como, ya en 2010 se utilizaba el nombre de las Fuerzas y Cuerpos de Seguridad del Estado para enviar correos maliciosos que descargaban malware.

Sin embargo, el auténtico auge de esta utilización fraudulenta del nombre de las fuerzas policiales de varios países de todo el mundo se produjo pocos tiempo después con la popularización del conocido como “Virus de la Policía”, el precursor del modelo de ransomware utilizado actualmente por los delincuentes.

En el periodo de tiempo que este tipo de amenazas estuvieron propagándose de forma muy activa por todo el mundo pudimos observar numerosas variantes. Las iniciales se centraban en sistemas Windows y bloqueaban la pantalla de sus víctimas acusándoles de ser poco menos que unos terroristas pedófilos y zoofílicos, por lo cual tenían que pagar una multa si no querían afrontar consecuencias legales. Además, en algunos casos también se instalaba malware en el sistema de la víctima.

Además de en sistemas Windows, también vimos algún intento por parte de los delincuentes de extender este tipo de amenazas a macOS. En estos casos, no obstante, el bloqueo se producía desde el navegador Safari y no desde el propio sistema, algo que permitía a la víctima restaurar el funcionamiento habitual de su equipo con mayor facilidad.

Sin embargo, la evolución más importante se produjo cuando empezaron a utilizar las mismas técnicas pero en dispositivos Android. A mediados de 2014 los delincuentes decidieron trasladar todo lo aprendido durante los años previos a los smartphones con el sistema operativo de Google y, mediante engaños, conseguían que los usuarios instalasen aplicaciones fraudulentas que bloqueaban la pantalla del dispositivo (llegando a cifrar los datos almacenados en algunos casos) y mostrando un mensaje suplantando a una fuerza policial y exigíendo el pago de un rescate.

Sextorsión y suplantación de las autoridades

Actualmente y con el envío de correos amenazantes siendo una práctica habitual desde hace algo más de un año, los delincuentes vuelven a reutilizar esta vieja técnica para intentar que sus víctimas muerdan el anzuelo y paguen la cantidad solicitada. Hemos de recordar que estos correos no suelen adjuntar ninguna amenaza (con alguna excepción) y se basan en la ingeniería social y el miedo provocado en los usuarios para conseguir que alguno termine pagando.

Estos correos empezaron como un chantaje a pagar para evitar que se difundiese un supuesto video y fotografías de la víctima visitando webs con contenido pornográfico. El delincuente indica que el sistema de la víctima fue infectado por un malware y, gracias a él, se habrían obtenido las imágenes comprometedoras. Además, para hacer más creíble la historia, en las primeras variantes de estos correos se adjuntaban en el asunto contraseñas usadas por la víctima en servicios online que fueron comprometidos tiempo atrás.

Durante varios meses, esta estrategia les funcionó razonablemente bien a los delincuentes, sin obtener grandes beneficios pero tampoco sin invertir muchos recursos en propagar estos correos. No obstante, conforme se corría la voz entre los usuarios de que estas imágenes comprometedoras no existían, los criminales tuvieron que cambiar ligeramente la estrategia. En algunos casos optaron por amenazar desde direcciones de correo corporativas suplantadas para hacer creer que habían conseguido acceder a los servidores de la empresa de la víctima.

En otros casos, haciéndose pasar por un terrorista, amenazaban con hacer estallar una bomba en el edificio de la empresa de la víctima o incluso prometían arruinar la reputación de una página web si no se realizaba el pago exigido. También empezamos a ver la utilización del nombre y emblemas de agencias gubernamentales como la CIA para hacer más convincentes estos correos, algo que ha derivado en los casos más recientes.

El caso comentado por un usuario de Reddit hace unos días nos vuelve a recordar las amenazas lanzadas por las versiones antiguas del “Virus de la Policía”. En ellas, se acusa al usuario de ver, tener y compartir material relacionado con la pornografía infantil y se nos alerta de las consecuencias penales que eso supone. Sin embargo, el “agente” encargado de la investigación, que casualmente está a punto de retirarse, quiere ganarse un dinero extra y ofrece un trato para que se le pague una cantidad Bitcoins y él se olvidará completamente de este asunto.

Como vemos, todo un regreso al pasado en cuanto a la estrategia utilizada, pero adaptándola a la situación actual de las amenazas. No obstante, esta amenaza está peor elaborada que la original, lo cual no deja de ser curioso. El único punto interesante de este caso es que los delincuentes incluyen un número de teléfono, número al que los investigadores de Bleeping Computer no dudaron en llamar y se encontraron con una voz femenina grabada indicando que no se encontraban disponibles y que dejaran un mensaje.

Un último apunte interesante es que los tres usuarios que contactaron con estos investigadores confirmaron que el supuesto agente de policía que contactó con ellos por email pertenecía a la fuerza policial del estado donde ellos viven. Esto indicaría que los delincuentes estarían realizando un envío dirigido a ciertos usuarios en base a información relacionada con su domicilio usando datos filtrados en alguna brecha de seguridad.

Conclusión

No es extraño ver como los delincuentes reciclan técnicas que han tenido éxito en el pasado. Sin embargo, en esta ocasión la amenaza es menos elaborada que la original, lo cual puede ser una prueba de cierta desidia por parte de los delincuentes o simplemente que, viendo el retorno de inversión obtenido, no consideran necesario dedicar más recursos.

En cualquier caso, debemos ser capaces de reconocer estas técnicas para evitar caer en este tipo de trampas. Ejemplos como los mencionados en este artículo son una prueba de que un usuario concienciado es perfectamente capaz de reconocer este tipo de amenazas y eliminarlas de su buzón de entrada.

Josep Albors

El temido exploit para la vulnerabilidad BlueKeep en Windows podría está de camino