Cuidado: estafa amenaza con publicar un video tuyo viendo porno y usa tu contraseña para convencerte

No iba a publicar esto, pero creo que puede ser de ayuda para alguien. La cantidad de filtraciones que ocurren desde viejos servicios o bases de datos poco protegidas deberían preocuparnos; más aun cuando te dedicas, como en mi caso, al periodismo de tecnología y tratas de estar actualizado en estos temas. A pesar de los años que tengo hablando de este tema, no niego que tuve algo de miedo al inicio.

Esto ocurrió el 25 de noviembre. En medio del proceso de redacción de notas para NIUSGEEK, recibí en Outlook un correo sospechoso. Debo decir que, a pesar de tener un correo empresarial designado recientemente, esta cuenta la tuve entre el 2000 y el 2004, mientras trabajaba en una radio musical dentro del grupo. En ese vendaval de correos diarios que llegan a la redacción, uno llamó mi atención por el asunto: tenía mi contraseña.

Si, en el mero SUBJECT aparecía la palabra “goldra1”, una contraseña que usaba mucho en mis primeras incursiones en la web. Y llegaba a mi correo empresarial.

Al abrir el correo, me topé con un PDF que tenía mi contraseña como nombre, y protegido con un código de tres dígitos, que fueron parte del mensaje enviado. Al darle clic al PDF puse esa secuencia y pude abrir el documento. Aquí empieza todo.

El PDF está en inglés, pero es bastante claro:

 Hola,

Sé tu contraseña (mira el asunto de este correo), sé sobre tu vida diaria, sé sobre tus actividades en Internet, pero tú no sabes nada sobre mí. Debes estar preguntándote “Cómo es que tiene este email”, ¿verdad? Instalé un malware en un sitio porno y ¿adivina qué? Entraste a este sitio por diversión (ya sabes a qué me refiero). Mientras estabas mirando porno, tu navegador comenzó a ejecutar un keylogger + RDP, que me dio acceso a tu pantalla y la cámara web. Luego, mi software recolectó todos los contactos de Facebook, Messenger y correo. Luego, creé un video a doble pantalla. La primera parte muestra el video que estabas viendo (buen gusto, lol) y la segunda parte muestra la grabación de tu cámara (y eres tú)

Tienes dos opciones:

La primera es ignorar este correo. En ese caso, enviaré la grabación a todos tus contactos. Imagina la humillación que vas a sentir por esto. No olvideos que esto también afectará tu relación.

La otra es que me pagues 1000 dólares. Llamémoslo una donación. En ese caso, borraré tu video y toda la información que tenga sobre ti (incluida la lista de contactos) y nunca volverás a saber de mí. Podrás continuar tu vida como si nada hubiese pasado.

Puedes pagar vía Bitcoin. Si no sabes qué es eso, busca en Google “cómo comprar bitcoins”. Puedes usar sitios como Bitsmap, Coinbase y otros.

Si piensas ir con la policía, buena suerte. He cuberito mis pasos para que este correo no pueda ser trackeado. Tienes 48 horas para pagarme. Tengo un pixel de Facebook en este correo para saber si leíste mi correo. Si quieres pruebas, contesta este correo y enviaré tu video a 4 de tus contactos.

Como lees, puede asustar a cualquiera.

Vamos por partes. Para empezar, creo que somos varios los que hemos visto porno en algún momento en Internet, y eso genera una reacción inmediata de miedo y preocupación. Sin embargo, hubo un detalle que llamó mi atención rápidamente en este correo: la contraseña.

Hace más de 15 años que no uso esa palabra para mis servicios básicos: Gmail, Facebook, Instagram, Twitter, cualquiera. Y, como acostumbro, casi todos tienen contraseñas distintas y cuentan con verificación de dos pasos, incluyendo Amazon y Uber.

Si este hacker hubiera tenido mi contraseña, debería tener la más reciente. En este caso, seguro ha sido una contraseña de mixmail, latinchat o alguno de esos servicios que asocié a alguna vieja cuenta de yadayada.com o cualquier servicio que haya usado entre el 2000 y 2004.

La pregunta es ¿realmente alguien pudo haber grabado mi cara a distancia?

No niego que me trajo a la mente al estupendo episodio “Shut up and Dance” de Black Mirror. Si no lo has visto, mira aquí de qué trata:

Sin embargo, es alta la probabilidad de que una persona pueda acceder a privilegios del sistema con un ejecutable, y no necesariamente una porno. Puede ser una canción, un juego, un PDF, un GIF, cualquier cosa que pueda añadir algo de metadatos y que permita alojar un software que se ejecuta al accionar el contenido. Y puede ocurrir en una PC como en un teléfono.

Volvamos a las contraseñas. De acuerdo con ESET, el 30% de usuarios usa 2 o 3 contraseñas para todos los servicios que usa en Internet, y esto levanta más las alarmas. Si siempre usas las mismas contraseñas para todo, posiblemente creas en este correo:

¿Qué hice? Nada.

Simplemente borré el correo. Bueno, lo archivé para hacer esta nota y luego lo borré. Consultando en Internet, pude notar que esta modalidad de estafa es común, y que llega de manera aleatoria. Para Brian Krebs, periodista especializado en seguridad informática, “este tipo de estafas se perfecciona cada día, los perpetradores comenzarán a usar contraseñas más recientes y relevantes – y quizás retazos de datos personales que puedan encontrar en Internet – para convencer a la gente que la amenaza de hack es real”.

Es probable, reitero, que el estafador haya accedido a una vieja base de datos y haya probado suerte con miles de cuentas. La estadística más reciente señala que se perpetra un ataque cada 39 segundos en el mundo y obtienen información cada 75 segundos.

¿Qué recomiendo hacer?

Cambia tus claves. Si tu contraseña tiene más de 3 meses, deberías cambiarla.

No uses la misma clave para todo. Ni dos ni tres. Una contraseña distinta por servicio.

Claves largas y con varias cosas. 3N*Sv-C1m4*L05-$nD3S-So5t3Ng4n es una clave poderosa y lleva de problemas para un hacker.

Usa verificación de dos pasos en los servicios que lo permitan. Yo tengo este sistema activado en varios servicios web: Evernote, Amazon, Microsoft, Google, Facebook, Instagram, Twitter, Netflix, Ubisoft, STEAM, Apple, Uber y hasta WhatsApp.

Revisa la información que publicas sobre ti en Internet. En tus redes aparece tu primera mascota, el nombre de tus padres, tu color favorito, la canción con la que te enamoraste. Todo.

Usa un antivirus. Con una protección extra en tu teléfono o PC, podrás estar más tranquilo ante cualquier amenaza.

No pagues. Si en algún momento secuestran tu información debido a ransomware o cualquier otra técnica, procura no caer en pánico. Nadie te garantiza que el problema termine cuando pagues.

Haz una copia de seguridad de todos tus archivos siempre. Si alguien secuestra tu información, siempre es bueno tener una copia de respaldo a la mano, y que pueda ser alimentada periódicamente.