El guitarrista y tecladista de Radiohead, Jonny Greenwood, contó en su cuenta de twitter que ‘’un hacker’’ había robado archivos de un minidisc con material inédito, y que luego extorsionó a la banda por el pago de 150 mil dólares a cambio de no divulgar el material en internet. Lo anterior es un ejemplo de […]
El guitarrista y tecladista de Radiohead, Jonny Greenwood, contó en su cuenta de twitter que ‘’un hacker’’ había robado archivos de un minidisc con material inédito, y que luego extorsionó a la banda por el pago de 150 mil dólares a cambio de no divulgar el material en internet. Lo anterior es un ejemplo de ciberextorsión, y que es más común de lo que pensamos. Si compartiste fotos desnud@, probablemente pensaste sin querer en este término. Te explicamos en qué consiste a continuación.
Por Gabriela Sepúlveda B.
Si nos enfocamos en el término de extorsión, el cual se indica como ”la conducta por la que se obliga a una víctima, por medio de violencia o intimidación, a realizar u omitir algún acto en perjuicio propio o ajeno, normalmente de carácter económico”; podremos entender en gran parte a que nos referimos con ciberextorsión. La distinción radica en que la intimidación o violencia se aplica a través de los medios digitales. En este caso, la víctima y el atacante no tienen contacto directo más allá del realizado vía .net
Lo más probable es que con la descripción dada anteriormente se te haya venido a la mente el típico caso de alguien que obtiene información sensible de la víctima y amenaza con publicar algo intimidante. Pero si ampliamos la mirada entenderemos que la forma de intimidar a una persona, a través de distintos medios informáticos, nos da un amplio espectro de tipos de ciberextorsión. Dentro de las conductas más comunes encontramos:
En todos estos casos lo que busca el atacante es que la víctima pague un rescate económico pero, como podemos notar, lo que va cambiando es el medio por el cual se hace la intimidación o amenaza.
Probablemente no habíamos pensando en el ransomware como un tipo de ciberextorsión pura, ya que siempre su nombre lo relacionamos inmediatamente con el concepto de malware. Y claro, es un tipo de malware, pero que lo que busca es secuestrar el ordenador de su víctima para así poder extorsionarla por un rescate monetario.
Entonces, recordemos un poco este concepto. El Ransomware o ‘Malware de rescate’, es un tipo de malware que impide a los usuarios poder acceder al sistema o archivos personales de un equipo, y exige el pago de un rescate para que se libere el acceso a ellos. El origen de este malware se remonta a finales de los 80, cuando los pagos se debían efectuar por correo (postal). Si bien, hoy por hoy, el pago se pide en tarjetas de crédito, ésto ha ido disminuyendo, y su lugar ha sido tomado por el pago en criptomonedas.
A grandes rasgos, podemos encontrar 3 tipos de Ransomware:
En este tipo de ciberextorsión, la víctima es chantajeada con una imagen o video de sí misma desnuda o realizando actos sexuales. Estas imágenes generalmente son obtenidas por realizar la práctica de sexting (envío de mensajes, fotos o vídeos de contenido erótico y sexual personal a través del móvil mediante aplicaciones de mensajería instantánea o redes sociales, correos electrónicos u otro tipo de herramienta de comunicación). Las amenazas van desde el pago de dinero, hasta la obligación de ésta para tener relaciones sexuales con alguien.
A propósito de lo que sucedió con Radiohead, en donde el guitarrista y tecladista, Jonny Greenwood, contó en su cuenta de twitter que alguien había robado archivos de un minidisc con material inédito, y que luego extorsionó a la banda por el pago de un alto monto de dinero a cambio de no divulgar el material; caemos en la cuenta de que estos ataques no son sólo a nivel personal, sino que también los podemos encontrar a nivel organizacional.
Bajo este punto se hace indispensable tener políticas y procedimientos claros respecto no sólo a que hacer frente a estas situaciones, sino que también a cómo evitarlas. Y es en este último punto cuando se hace fundamental tener un buen plan de capacitación de los empleados, con tal de que no caigan en situaciones que terminan con el robo de información sensible que luego pueda ser utilizada para cometer el acto de ciberextorsión.
Lo ocurrido en el sitio web de citas, Ashley Madison, podría ser considerado uno de los más grandes casos de ciberextorsión. Y es que los cientos de GB de datos robados, que incluían los datos personales de los usuarios, muchos casados (Se llegó a hablar de 39 millones de infieles); fueron filtrados y así usados por numerosos ciberdelincuentes para ciberextorsionar a los usuarios del sitio.
Otro caso que fue visto en varias partes del mundo fue el de un correo, tipo spam, en donde se le aseguraba al destinatario que se poseía un video sexual suyo luego de haber infectado al equipo con un tipo de malware. A cambio se pedía una alta suma de dinero. Por suerte la masificación de éste caso sirvió para que la mayoría de las personas estuvieran atentas a este tipo de mensajes.
Como hemos podido ver, la ciberextorsión tiene su origen cuando un atacante es capaz de aprovecharse de alguna vulnerabilidad que le permita infectar con un ransomware (y así secuestrar el equipo), o infectar con un malware (y así realizar el robo de información personal o credenciales). Por lo que nuestra estrategia de defensa tiene que ir enfocada a evitar estas infecciones y sus consecuencias.
Como siempre solemos decir, es bueno recordar ciertas recomendaciones que nos ayudarán a no caer en las trampas de los ciberdelincuentes que puedan derivar en casos de ciberextorsión, no solo a nivel personal, sino que también a nivel organizacional:
Una falla de seguridad encontrada en Gatekeeper, un sistema de seguridad de macOS que escanea y aprueba las aplicaciones de ejecución descargadas de Internet, está siendo abusada con el malware OSX/Linker.