Los amigos de lo ajeno, cada vez más, pululan por el espacio
virtual de la Red a la caza de incautos que piquen en sus anzuelos que al ser
electrónicos les cuestan poco y pueden lanzar por millares. Por lo general
suelen ser muy burdos y a poco que sigamos unas reglas elementales detectaremos
el fraude, nos provocará una sonrisa y pensaremos: «otro más, no se cansan».
Pero nadie está a salvo de «picar» en alguna ocasión: yo mismo he caído un par
de veces en engaños que no han tenido consecuencias graves, ya que uno de ellos
me supuso 1 euro en mi VISA virtual, que tuve que cancelar a continuación, y el
otro no llegó a mayores.
Siempre hay una vuelta de tuerca y la prueba es un correo
que he recibido esta semana de un tal Allyn Graessle, —el Oscuro le confunda
como diría un buen egipcio—. La regla BÁSICA número uno es NI SIQUIERA abrir un
correo cuya procedencia desconozcamos. Los filtros de SPAM y de CORREO NO
DESEADO, que deberemos tener mimados y activados en nuestro gestor de correo,
no siempre detectan todos los correos «malos», con lo que este que comento se coló
en mi bandeja de entrada. Bueno, como desconozco al remitente, con no abrirle y
echarle a la papelera asunto solucionado. Pero… un momento, la palabra que
figura en el asunto, «DingoDingo» no
es una palabra cualquiera e hizo que me saltaran las alarmas. No se trataba de
un correo más, este era especial.
El correo venía en inglés, yo diría que en un inglés bastante
correcto. Una de las claves para detectar correos peligrosos es prestar
atención al lenguaje y la redacción utilizada. Los malos suelen estar construidos
con traductores automáticos y dejan mucho que desear. Pero este no, no era
sospechoso. A continuación, pongo la traducción al español del texto del
correo:
"DingoDingo" es tu contraseña. No me conoces y estás pensando por qué recibiste este correo electrónico, ¿verdad?
Coloqué “malware” en el sitio web de pornografía y adivinen qué, tu visitaste este sitio web para divertirte (ya sabes a qué me refiero). Mientras estabas viendo el video, tu navegador web actuó como un RDP (Escritorio remoto) y un “keylogger” que me proporcionó acceso a tu pantalla de visualización y a tu cámara web.
Justo después de eso, mi software reunió a todos tus contactos de tu cuenta de Messenger, Facebook y correo electrónico. ¿Qué fue exactamente lo que hice? Hice un video en pantalla dividida. La primera parte grabó el video que estabas viendo (tienes buen gusto, jajaja), y la siguiente parte grabó tu cámara web (¡Estás haciendo cosas desagradables!).
¿Qué debes hacer?
Bueno, creo que $1400 es un precio justo para nuestro pequeño secreto. Realiza el pago a través de Bitcoin a la dirección que se indica a continuación, si no sabes como hacerlo, busca "cómo comprar Bitcoin" en Google).
WeznM5IGlk7wM2C0q1Qw (Case sensitive. Use Copy & Paste)
Importante:
Dispones de 24 horas para realizar el pago. (Tengo un píxel de “unique” en este mensaje de correo electrónico, y ahora mismo sé que has leído este correo electrónico). Si no recibo el pago, enviaré tu video a todos tus contactos, incluidos familiares, compañeros de trabajo, etc. No obstante, si me pagas, borraré el vídeo inmediatamente. Si quieres evidencia, responde con "¡Sí!" y enviaré tu grabación de video a tus 5 amigos. Esta es una oferta no negociable, así que no pierdas mi tiempo y el tuyo respondiendo a este correo electrónico.
A cualquier persona no muy curtida en esto de las redes se
le habrían puesto cuando menos los pelos como escarpias en el caso de que la
palabrita de marras, DingoDingo fuera
realmente su clave de correo, máxime cuando muchas personas tienen la mala
costumbre de utilizar la misma palabra clave para todos sus accesos en la red.
En mi caso, DingoDingo no era una
palabra clave de acceso, pero si tenía que ver con otra cosa que luego revelaré.
Por todo lo anterior, tuve claro desde el primer momento que
se trataba de un correo enviado por alguien que de alguna forma había crackeado información personal mía y
estaba tratando de utilizarla para sacarme unos dineros. Yo no tengo cuentas en
Messenger o Facebook, pero sí en correos electrónicos y en uno de ellos había
utilizado la palabrita DingoDingo. Tampoco tengo cámara en mi ordenador fijo —en
el portátil la tengo tapada— y ni mucho menos se me ocurre acceder a páginas
porno y hacer tonterías delante de la pantalla, así que el amigo Allyn ha
errado el tiro y solo acertado en lo fácil: correo electrónico.
Desde hace varios años se conocen ataques a grandes
corporaciones que han conseguido hacerse con datos personales, correos electrónicos
y hasta códigos de tarjetas de pago. Y otros muchos que no se saben, porque las
grandes empresas son reticentes a reconocer que sus sistemas han sido
violentados, y otras incluso muchas veces ni se enteran de que se les han
colado hasta la cocina. Hay una página web accesible desde este enlace donde
podemos poner nuestro correo electrónico y comprobar si ha sido hackeado o crackeado y en que empresas. Adobe,
Sony, Yahoo, LinkedIn, Bitly, 8Fit, MyHeritage y otras muchas aparecen entre
las reconocidas, pero es de suponer que muchas otras han caído bajo las garras
de los avanzados husmeadores de la Red.
Ya es una costumbre que ha caído en desuso por su
ineficacia, pero en el pasado una de las formas de recuperación de contraseñas era
establecer una pregunta personal y una respuesta que deberíamos facilitar. En
mi caso lo hice mal, porque, aunque no utilizaba la misma contraseña en dos
sitios, si utilizaba la misma pregunta en varios de ellos. La pregunta era: ¿Mi
amigo tenía dos perros gemelos? Y la respuesta era, ya lo habrá adivinado, DingoDingo. Así que lo que en inglés se
denomina «Password hints», frase de
recuperación, ha sido cazada en alguna ocasión en alguna de mis cuentas. Aunque
ya lo supondrá el lector, ni la pregunta ni la respuesta son las reales que yo
utilicé en su día, no pierda el tiempo en jugar con ellas.
Este tipo de correos llevan tiempo y caen bajo la denominación
genérica de sextorsión, —«sextortion»
en inglés—, y aluden al chantaje con contenidos sexuales a través de internet.
En estos días de junio de 2019 ha saltado a la luz pública con el caso del suicidio de una
empleada de IVECO que compartió hace años un vídeo de contenido sexual que ha
sido distribuido a compañeros de empresa a través de Whatsapp, un delito penado
por la ley y que esperemos lleve a algunos a responder ante la justicia y a los
demás a pensar un poco antes de colaborar a reenviar este tipo de vídeos.
Es muy conveniente de vez en cuando darse una vuelta por la
página del INCIBE para estar al tanto de lo que se cuece en el mundillo de la Red. También es
conveniente tener un buen antivirus en nuestro ordenador. También es
conveniente no utilizar la misma palabra clave para varios cometidos… ¿Cuánto
hace que no cambia el pin de su teléfono, la palabra clave de su banco o de su
correo electrónico?
Entradas
