El mes pasado publicamos un artículo donde analizamos una campaña de sextorsión que estaba circulando a través del correo electrónico, en la que los cibercriminales enviaban un correo con la contraseña de los usuarios en el asunto en un intento por demostrar que tenían sus datos personales y que la extorsión que detallaban en el cuerpo del correo era real.

Asustados al ver en su bandeja de entrada un correo en inglés que decía “sé que tu contraseña es *****”, muchos de los usuarios que lo abrieron se encontraron con un intento de extorsión en la que los ciberdelincuentes aseguraban a la víctima que tenían en su poder un video de ellos mirando pornografía que supuestamente obtuvieron luego de infectarlos con un malware que tomaba el control de su webcam.

Pese a que no había ningún video y se trataba de una campaña de ingeniería social en la que los estafadores utilizaron cuentas de correo, contraseñas y otros datos que fueron filtrados como consecuencia de brechas de seguridad que sufrieron plataformas como LinkedIn, Adobe, Bitly, Tumblr, entre otros, varios de los usuarios que recibieron el correo en la desesperación cayeron en la trampa y terminaron pagando en bitcoins a los cibercriminales; incluso a pesar de que muchas de las contraseñas que utilizaron los estafadores eran viejas.

De acuerdo a un artículo publicado por Motherboard, investigadores comprobaron que la campaña de sextorsión resultó muy rentable para quienes estaban detrás de ella. Según el CEO de la empresa de seguridad Banbreach, Suman Kar, los estafadores lograron sustraer el equivalente a USD 500.000 en bitcoins. A esta cifra llegaron luego de revisar cerca de 770 billeteras que utilizaron los cibercriminales como parte de la campaña, de las cuales unas 540 aproximadamente, no recibieron ningún depósito. Sin embargo, las restantes 230 billeteras analizadas recibieron más de 1000 depósitos que sumaron un total de 70.8 bitcoins.

La cifra es estimada, ya que según dijo Kar a Motherboard, no revisaron todas las billeteras, sino algunas de las que recopilaron de artículos de prensa, algunos ejemplos de correos que formaron parte de la campaña y comentario de usuarios, entre otros.

La campaña de sextorsión no solo amenaza con tener tu contraseña

A comienzos de agosto vimos ejemplos de correos que forman parte de esta campaña pero que en lugar de colocar la contraseña en el asunto colocaban el número telefónico. En el siguiente ejemplo que publicó en Twitter Troy Mursch en la cuenta Bad Packets Report, se puede apreciar este otro modelo de correo con la misma estafa.

Si recibiste un correo de este tipo o tu correo pudo haber sido filtrado en alguna brecha de seguridad (puedes comprobarlo en haveibeenpowned?), te recomendamos que modifiques tu contraseñas. Para ello, puedes seguir algunas de las recomendaciones que mencionamos en el post "Cómo crear una contraseña fuerte en un minuto".