En los últimos meses hemos podido leer noticias de brechas en la seguridad de muchos servicios online que se unen a otros históricos de años anteriores. Son muchas las listas de usuarios que se han liberado: Ticketfly, Adobe, Yahoo, LinkedIn, MySpace, Uber, Ashley Madison, Dropbox, … y en muchos casos también se han liberado las contraseñas en plano.
Si tenemos la precaución de no reutilizar la misma contraseña en varios servicios y las cambiamos con frecuencia, no tiene por qué ser demasiado grave una de estas brechas. Sin embargo, los estafadores no paran de buscar nuevos métodos de aprovecharse de los usuarios. Es fácil encontrar listas de correos electrónicos y contraseñas publicadas en plano y, aunque hace tiempo que las hayamos cambiado, todavía pueden utilizar esa información contra nosotros con un poco de ingeniería social.
En esta semana me han llegado varios correos que tratan de engañar al usuario usando esas listas publicadas. Aquí tenemos un ejemplo:
En el asunto del correo ponen la contraseña que han encontrado en la lista, lo que hace que le prestes atención porque la reconoces como una de tus contraseñas, aunque hace tiempo que la hayas cambiado. Este es el gancho para que pienses que es cierto lo que te cuentan a continuación. Afirman haberte pillado viendo porno en una página, de la que no dicen el nombre (hay que dar detalles, pero no muchos, no sea que la página en la dicen que nos han pillado no sea una que nunca hayamos visitado), y en la que ellos han instalado un malware que ha infectado tu navegador y les ha dado acceso vía escritorio remoto a tu equipo. Ese malware también les ha permitido controlar tu webcam para grabarte en esa situación comprometida. Igualmente incluye un keylogger y han podido obtener la lista de todos tus contactos de redes sociales y correo electrónico, así como messenger.
Para no enviar un correo a todos tus contactos con un vídeo en el que aparece la grabación de tu webcam y el sitio que estabas visitando te piden un rescate que oscila entre 1900$ y 2900$ dependiendo de quién te haya enviado el correo. Te dan un plazo de 24 horas para ingresar el equivalente en bitcoins en un wallet, que también cambia dependiendo del correo desde el que te escriban. Si les haces el ingreso destruirán el vídeo y está claro que no tenemos motivos para dudar de la honestidad de estos scammers, ¿verdad?. Si no pagas, lo enviarán a todos tus contactos.
Hay que reconocer que el gancho es bueno porque, ver que en el asunto de un correo electrónico que te envía un desconocido aparece una de tus contraseñas puede sorprenderte y predisponerte a creer lo que leas a continuación. La historia está bien construida, aunque tenga algunas lagunas, y con una campaña masiva podrían conseguir un buen número de víctimas. Afortunadamente, en el momento de escribir estas líneas los wallets de bitcoin de estos correos aún no han recibido ninguna transacción, por lo que nadie ha pagado aún y esperemos que siga así.