Site icon Panda Security Mediacenter

Qué hacer con los chantajes de phishing

Cómo protegerse de los chantajes de Internet

Suele comenzar con un correo electrónico que contiene un mensaje como éste: “Hemos pirateado su dispositivo y le hemos grabado viendo pornografía”, para después exigir el pago de una cantidad de dinero en bitcoin. Es lo que se conoce generalmente como ‘chantaje de webcam’ o sextorsión y lo normal es que ese mail vaya directamente a la carpeta de ‘No deseados’ de tu correo electrónico. Millones de correos de este tipo se envían a lo largo del año, aunque su número parece haber aumentado en los últimos meses.

En realidad muy pocas personas le prestan atención y realizan el pago solicitado, pero los criminales continúan utilizando este timo dado que el costo de enviar millones de correos es básicamente cero. Así que incluso unos pocos pagos significan beneficios para ellos.

El gancho

En vista de que los correos electrónicos aleatorios no suelen tener mucho éxito, los chantajistas han buscado nuevas formas de personalizar sus ataques. La técnica más común es el email spoofing, en el que el correo muestra un remitente falso. Así pueden afirmar que te lo han enviado desde una tus direcciones, sin que en realidad hayan conseguido acceso.

En una segunda variante de este sistema, el mail puede incluir una de tus contraseñas o parte de tu número de teléfono, que los hackers han obtenido. Los obtienen de grandes repositorios donde se vuelcan las contraseñas expuestas por grandes brechas de seguridad, que han desvelado los detalles de miles de millones de usuarios. Por ejemplo en 2017 Yahoo admitió que sus brechas de datos comprometieron 3.000 millones de cuentas. Otras ataques similares fueron las de Marriott International (500 millones de clientes), LinkedIn (164 millones), Adobe (153 millones), eBay (145 millones), PlayStation Network (77 millones), Uber (57 millones) y Ashley Madison (31 millones).

Contraseñas

Hay bastantes probabilidades de que una de tus contraseñas haya sido expuesta en una o más de estas brechas. Puedes comprobarlo introduciendo tus direcciones de correo en la web, Have I been pawned?, que reconoce más de 5,7 millones de cuentas pirateadas de 339 sitios web atacados. Si tu dirección de correo electrónico aparece en HIBP entonces debes cambiar la contraseña que hayas usado para todos los sitios implicados en violaciones de datos. Si usaste la misma contraseña para cualquier otro sitio -lo que supone una mala idea- también deberías cambiar esas claves.

Por otro lado la herramienta Pwned Passwords te revela si una de sus contraseñas no es segura, en cuyo caso también debes cambiarla. Aunque puede que aún no haya sido comprometida, es cuestión de tiempo. Algunas son demasiado comunes: la contraseña ‘12345’ ha sido expuesta 2,3 millones de veces, ‘secreta’ 221.972 veces, ‘dios’ 32.804 veces y ‘arcticmonkeys’ 649 veces.

Qué hacer en caso de phishing

La mejor manera de lidiar con el phishing y otros ataques de spam es eliminarlo en cuanto lo veas. No los abras, no respondas, no descargues ningún documento adjunto, no hagas clic en ningún enlace, no introduzcas ninguna información en sitios web al que redirijan y, sobre todo, no envíes dinero. Muchos de estos correos electrónicos incluirán una imagen transparente de un solo píxel que se conoce como beacon. Al abrir el correo, ésta puede enviar un diminuto archivo image.gif a un servidor remoto, para que los spammers sepan que han encontrado una dirección de correo electrónico activa (aunque Gmail y otros servicios analizan las imágenes para evitar este problema).

Denunciar el scam

Informar de intentos de phishing es simple, aunque no es obligatorio; algunas personas reciben varios correos electrónicos de phishing al día, y es poco probable que informen de todos ellos.

Sin embargo conviene hacerlo, al menos de vez en cuando, para que las autoridades puedan identificar y frenar esta actividad fraudulenta. En la web oficial de la Policía Nacional, por ejemplo, encontrarás una sección para denunciar Fraudes en Internet, dedicada a toda “Comunicación sobre uso fraudulento de tarjetas de crédito en Internet, fraudes en subastas y comercio electrónico y estafas en la red”. Incluido el Phishing.

Exit mobile version