Una nueva forma de extorsión, con algo de obscenidad y mucho de delirio

Ariel Torres
Ariel Torres LA NACION
Te filmaron in fraganti mirando videos para adultos, pero eso no es lo peor
Te filmaron in fraganti mirando videos para adultos, pero eso no es lo peor Crédito: SHUTTERSTOCK
(0)
5 de octubre de 2018  • 17:14

La estafa, que al menos desde julio circula en inglés, ahora empieza a llegar en español, cortesía de los traductores automáticos. Algunos errores obvios, como el de mezclar el con el usted (en inglés no existe esa diferencia), lo delatan. Y son síntoma de que toda esta ingeniería social está automatizada, lo que debería hacernos dudar de su veracidad.

La construcción de la trampa es de lo más interesante. Hay un número de versiones, pero, en general, el pirata, con el estilo campechano que los caracteriza y que les otorga a estos mensajes un toque de humor delirante, asegura que tiene nuestra contraseña (¿una sola, en serio?). En efecto, la que nos proporciona es una de nuestras contraseñas; o, al menos, lo fue en algún momento. En otra variante, que me remitió un lector, dice que tiene control de nuestra cuenta de correo electrónico y que envía el mensaje desde dicha cuenta; algo que, en apariencia, es así. Pero solo en apariencia.

Luego nos informa que nos ha filmado, usando la cámara de nuestra computadora, mientras visitábamos un sitio para adultos; a continuación, entre paréntesis, como si realmente hiciera falta, especifica: (material pornográfico). Obviamente, sería diferente si hablara de un sitio de estudios forenses o de mecánica cuántica. Pero bueno, nunca está de más dejar las cosas claras cuando hacemos negocios. Que de eso se trata, como se verá pronto.

Enseguida abunda en detalles técnicos acerca de cómo logró comprometer nuestra máquina, convertir el navegador en un software de Escritorio remoto y, por supuesto, hackear el antes mencionado sitio para adultos. Pero, detrás de toda esa cháchara, se esconde el hecho de que nunca nos dice cuál es ese sitio con, aclaremos, material pornográfico. Es una maniobra típica de la ingeniería social. Dejan huecos que la víctima llena con sus propios miedos, experiencias y deseos. Pero, con una mano en el corazón, la amenaza sería un poco más creíble si el pirata dijera exactamente cuál sitio estuvo mirando su víctima. ¿Por qué? Porque podría obtener fácilmente ese dato del historial del navegador. ¿No asegura acaso haberse metido en la máquina? Esto me explicaba el otro día un experto en seguridad informática, y tiene razón. Pero no. El estafador no aclara el punto. Muy raro todo.

Por último, y como era de esperarse, nos exige una suma de dinero en bitcoins para no difundir el dichoso video. En el ejemplo que me envió el lector eran $ 250. Pero no aclara si son pesos o dólares. Cortesía también de los traductores automáticos. En inglés, los dólares usan el mismo signo que los pesos aquí. De todos modos, dada la sensibilidad de todo el asunto, lo más probable es que no nos pongamos a regatear.

Irrelevante

No sé si es totalmente obvio, pero esta nueva estafa se basa en el supuesto de que tu máquina tiene una cámara. Bueno, claro, si la hackeó, debe saberlo. Pero es al revés. Para que estas trampas funcionen deben enviar millones de anzuelos. Así que es muy improbable que se hayan tomado el trabajo de escribir el código para verificar que la máquina tiene una cámara antes de enviar el mensaje extorsivo. Simplemente, los piratas apuntan a la mayoría de los usuarios, que hoy usa una notebook, y todas ellas vienen con cámara. Pues bien, el hecho de que el ataque esté automatizado y sea al voleo significa una sola cosa: no tienen ningún video de vos mirando nada.

Ahora bien, ese vestigio de certeza se desploma porque te muestra una contraseña que usás (o alguna vez usaste) o te manda el mensaje (aparentemente, y sólo aparentemente) desde tu propia cuenta de correo. ¿Qué hacer? ¿Le mandás los 250 pesos o dólares por si acaso? ¿O no hacés nada?

Este es el punto más flojo de la argumentación. El que tenga un video comprometedor es, a estas alturas, por completo irrelevante. Si es verdad que accedió a nuestra computadora o a nuestro mail, hay ahí otras cosas que, sin ser bochornosas, pueden ser usadas para robarnos dinero, suplantar nuestra identidad y otras delicadezas. Pero, como de costumbre, la ingeniería social apunta a los miedos más primitivos. Lo que demuestra, una vez más, que el sujeto no tiene nada (excepto una antigua contraseña y una dirección de correo electrónico). Digamos, sería bastante más contundente si te enviara los números de tu tarjeta de crédito y te pidiera dinero para no vender esos datos en el mercado negro.

Fuera de foco

No menos estratosférico es el temita del video. ¿Alguna vez hicieron videoconferencia con la notebook? Correcto. Si realmente lograron filmarnos (y es perfectamente posible hacerlo, sobre eso no hay ninguna duda), puede que hayan tomado nuestro rostro, en especial con ultrabooks más bien pequeñas. Pero en otros casos, solo van a obtener un tedioso video del techo, un cuadro, una biblioteca o una repisa. Y todo esto depende de nuestra estatura, nuestro equipo, la forma en que lo usamos, la altura de la silla, etcétera. Con entera franqueza, le daría algún crédito si en el mail dijera "tengo filmada su frente mientras visitaba un sitio para adultos". Es verdad que no causaría el mismo efecto, concedido.

No iré más lejos, por pudor, pero alcanza con pensar en cuán incriminatoria podría ser la grabación, incluso si consiguieron tomar tu rostro. Exacto. Nada incriminatoria. Por eso el pirata dice que ha creado un video en el que se ve tu cara a la par del sitio para adultos que (presuntamente) estuviste viendo. La escena alcanza para causarte pánico. Aunque el video haya sido tomado mientras mirabas el noticiero.

Múltiple factor

Pero siempre hay un pero. ¿Cómo obtuvo nuestra contraseña? En general, se trata de claves que usábamos hace mucho tiempo, es verdad, ¿pero cómo la obtuvo? Simple: las compañías pierden a manos de los piratas millones de nombres de usuario y sus correspondientes contraseñas.

OK, ¿entonces hay que salir corriendo a cambiar todas las contraseñas? ¿Hay que ponerle cinta adhesiva opaca a la cámara de nuestra notebook? No, para lo primero (al menos, en lo inmediato). Sí para lo segundo, aunque con reservas.

Las contraseñas son vox populi hoy entre los piratas. Muchas (demasiadas) compañías que ofrecen servicios por Internet han demostrado ser incapaces de proteger este patrimonio, que es mercancía corriente en la dark web. El sitio Have I Been Pawned, creado por Troy Hunt, experto en seguridad y director regional de Microsoft, contabiliza más de 5400 millones de cuentas comprometidas ( pawned, en la jerga). Así que en lugar de salir corriendo a cambiarlas (algo que, eventualmente no es mala idea, pero no tanto como para cancelar una velada romántica, excepto que justo sea la contraseña de tu cuenta principal de correo electrónico), lo mejor sería implementar la autenticación de múltiple factor en todos los servicios donde esto sea posible; especialmente en tu cuenta de correo principal. Es decir, esa adonde te mandan el código de recuperación de, digamos, Netflix, Twitter o Dropbox.

Una pudorosa cintita

Respecto de la cámara, sí, una cinta opaca o translúcida no está de más. O un accesorio como el que envió estos días la compañía Fortinet; se trata de una ventanita corrediza de plástico que se adhiere a la pantalla de la notebook y permite obturar la cámara a voluntad. Pero hay un número de salvedades.

Primero, también hay cámaras en el smartphone y la tablet. Además, como somos una especie visual, tendemos a asustarnos más si nos dicen que nos filmaron o fotografiaron in fraganti. Pero, en la vida cotidiana, ¿no es mucho más revelador lo que conversamos? Hagan el experimento. Dejen el celular filmando y van a ver que fuera del ventilador de techo y un par de zapatillas moviéndose cada tanto, el video no muestra nada de interés. El audio, en cambio, contiene todo lo que hemos estado conversando con amigos, nuestro cónyuge, colegas y demás. ¿Tapamos el micrófono? ¿Dónde está exactamente? ¿Funciona taparlo? ¿Podemos activarlo y desactivarlo fácilmente?

Cierto es también que las conversaciones cotidianas, salvo casos muy especiales, no son ni comprometedoras ni interesantes para un estafador. Hablamos de las cosas del día, de lo que haremos mañana o el fin de semana, de pequeños conflictos cotidianos, de quién va a sacar a pasear al perro, de lo que dicen en la tele o de las últimas sonatas para piano de Schubert. "¡Te grabamos con tu mujer hablando de si van a pintar el cuarto del nene este verano o no! ¡Paganos 250 dólares en bitcoins o lo haremos público!" No funciona. Definitivamente, no funciona.

Pero el hecho es que esta nueva estafa -delirante y mal traducida, aunque con ciertos datos con los que intenta probar su autenticidad- echa luz sobre un hecho indiscutible. Vivimos rodeados de sensores, y esos sensores pueden ser comprometidos subrepticiamente. ¿Deberíamos tomar esto en consideración? Ya lo creo que sí. Al final, al crear consciencia, estos maleantes podrían terminar haciéndonos un favor. Gracias por tanto, muchachos.

ENVÍA TU COMENTARIO

Ver legales

Los comentarios publicados son de exclusiva responsabilidad de sus autores y las consecuencias derivadas de ellos pueden ser pasibles de sanciones legales. Aquel usuario que incluya en sus mensajes algún comentario violatorio del reglamento será eliminado e inhabilitado para volver a comentar. Enviar un comentario implica la aceptación del Reglamento.

Para poder comentar tenés que ingresar con tu usuario de LA NACION.