“Sextorsión”, la nueva estafa por mail que revela tus contraseñas y fotos privadas

En los últimos días se conocieron una serie de correos electrónicos ligados a una práctica conocida como “sextorsión”, que consiste e chantajear a las víctimas usando presuntos asuntos sexuales ligados a su actividad en la web. Los correos que circulan ahora afirman que el destinatario fue hackeado y se grabaron videos de sus actividades frente a la computadoraLo más sorpresivo es que en el asunto del correo se muestra la contraseña verdadera del usuario. Sin embargo, todo se trata de un engaño pensado para que los usuarios paguen un rescate por un material inexistente.

 ¿Qué es la “sextorsión”?

Es un tipo de extorsión relativamente reciente que funciona a través de internet y consiste en amenazar a los usuarios con revelar fotos, videos o información sobre su intimidad que se obtuvieron después de un supuesto hackeo. A cambio, pueden pedir contenidos, favores sexuales, o dinero.

En algunos casos, el extorsionador actúa después de conseguir imágenes sexuales o de desnudos de la víctima. En otros, amenazan con revelar sus consumos pornográficos en la web o aseguran que tienen videos realizados a través del hackeo de sus webcams (aunque no sea cierto).

Los extorsionadores envían un mail con un mensaje que reza “sabemos que esta es tu contraseña”.  La frase con esa información real suena verdadera amenazante ya que le brinda credibilidad al resto del mail, que sigue las fórmulas típicas de las “sextorsiones”.

 ¿Cómo funciona?

Al analizar la dirección de correo de la víctima utilizado en la campaña se verifica que se filtró en algunas brechas de información que sufren algunos servicios a los cuales estaba suscripta.  Este correo fue utilizado en servicios como Adobe, Bitly, LinkedIn, Myspace y Tumblr, los cuales fueron comprometidos y criminales terminaron robando información valiosa, como usuarios y contraseñas, que luego fueron publicadas en distintos sitios de Internet.

La realidad es que se trata de una campaña de ingeniería social. Es decir que no existía ningún video, ningún malware y lo único que había por parte del atacante era una contraseña que había obtenido de alguna de las múltiples fugas de información que dejan a millones de usuarios a nivel mundial expuestos a diversos tipos de ataques.