El Instituto Nacional de Ciberseguridad (Incibe) ha advertido sobre una nueva estafa por correo electrónico que chantajea a las víctimas con la difusión de supuestas grabaciones íntimas si no realizan un pago en un monedero virtual de 'bitcoins'.
Se trata de un tipo de estafa que se encuadra dentro de la 'sextorsión' que utiliza la técnica de mail spoofingy y que, a pesar de que lleva bastante tiempo actuando, continúa extendiéndose y cobrándose víctimas.
El ciberdelincuente suplanta la dirección de correo electrónico de un dominio privado del remitente para engañar a la víctima y hacerle creer que ha conseguido instalar un troyano en su dispositivo. A través de la extorsión incita a sus potenciales víctimas a abonar una cantidad de dinero a una cuenta monedero de bitcoin, a cambio de que este no publique información intima o privada de la víctima que supuestamente ha ido recabando a lo largo del tiempo.
En ocasiones los ciberdelincuentes remiten el correo electrónico desde lo que parece ser la propia dirección de la víctima. Es decir, suplantan su propia dirección haciéndole creer que se ha enviado desde su cuenta.
“Llevo unas cuantas semanas vigilándole” o “tengo total acceso a una PC o a cualquier otro dispositivo. Eso significa que puedo verle siempre que quiera frente a la pantalla” son algunas de las frases que se pueden leer en el correo malicioso con intención de asustar a la víctima. Así, explican que han estado presuntamente observando a la víctima y aseguran haber obtenido imágenes comprometidas.
A lo largo del correo, el ciberdelincuente le explica a su víctima que, tras haber comprado credenciales a un supuesto hacker, ha conseguido los datos necesarios de la víctima para acceder a sus dispositivos e infectarlos con un software espía con el que ha recabado información y ha grabado vídeos íntimos de la víctima.
Tras explicar la situación, exige que se le realice un pago en bitcoines a una cuenta monedero en un plazo de 2 días (48 horas), con la amenaza de publicar el contenido íntimo que ha recopilado de sus dispositivos. La urgencia de este mensaje complica que la víctima analice la situación y provoca que esta se lance a realizar el pago lo antes posible o si no, enviará los supuestos vídeos a sus contactos de correo electrónico y a sus redes sociales.
El Incibe hace hincapié en que no hay que hacer el pago, simplemente marcar el correo como 'spam' y eliminarlo. En el caso de haber pagado, uno debe guardar todas las pruebas posibles del fraude (mensajes, capturas de pantalla, etc.) y ponerse en contacto con las Fuerzas y Cuerpos de Seguridad del Estado e interponer una denuncia. Además, recomiendan chequear durante los siguientes meses que no se haya publicado información sobre cada uno buscando su nombre en Google y redes sociales (en el caso de que se haya publicado algún tipo de información, puedes pedir que se borren ejerciendo tu 'derecho al olvido' según lo regulado en el Reglamento General de Protección de Datos).
