La Ciberextorsión, una amenaza actual y recurrente

El guitarrista y tecladista de Radiohead, Jonny Greenwood, contó en su cuenta de twitter que ‘’un hacker’’ había robado archivos de un minidisc con material inédito, y que luego extorsionó a la banda por el pago de 150 mil dólares a cambio de no divulgar el material en internet. Lo anterior es un ejemplo de ciberextorsión, y que es más común de lo que pensamos. Si compartiste fotos desnud@, probablemente pensaste sin querer en este término. Te explicamos en qué consiste a continuación.

Por Gabriela Sepúlveda B.

Si nos enfocamos en el término de extorsión, el cual se indica como »la conducta por la que se obliga a una víctima, por medio de violencia o intimidación, a realizar u omitir algún acto en perjuicio propio o ajeno, normalmente de carácter económico»; podremos entender en gran parte a que nos referimos con ciberextorsión. La distinción radica en que la intimidación o violencia se aplica a través de los medios digitales. En este caso, la víctima y el atacante no tienen contacto directo más allá del realizado vía .net

La ciberextorsión tiene más de una variante

Lo más probable es que con la descripción dada anteriormente se te haya venido a la mente el típico caso de alguien que obtiene información sensible de la víctima y amenaza con publicar algo intimidante. Pero si ampliamos la mirada entenderemos que la forma de intimidar a una persona, a través de distintos medios informáticos, nos da un amplio espectro de tipos de ciberextorsión. Dentro de las conductas más comunes encontramos:

  • Bloqueo de equipos y/o smartphones
  • Secuestro de sesiones de cuentas
  • Amenazas de publicación de información personal sensible
  • Solicitud de información bancaria bajo amenazas

En todos estos casos lo que busca el atacante es que la víctima pague un rescate económico pero, como podemos notar, lo que va cambiando es el medio por el cual se hace la intimidación o amenaza.

Ransomware, la ciberextorsión por excelencia

Probablemente no habíamos pensando en el ransomware como un tipo de ciberextorsión pura, ya que siempre su nombre lo relacionamos inmediatamente con el concepto de malware. Y claro, es un tipo de malware, pero que lo que busca es secuestrar el ordenador de su víctima para así poder extorsionarla por un rescate monetario.

Entonces, recordemos un poco este concepto. El Ransomware o ‘Malware de rescate’, es un tipo de malware que impide a los usuarios poder acceder al sistema o archivos personales de un equipo, y exige el pago de un rescate para que se libere el acceso a ellos. El origen de este malware se remonta a finales de los 80, cuando los pagos se debían efectuar por correo (postal). Si bien, hoy por hoy, el pago se pide en tarjetas de crédito, ésto ha ido disminuyendo, y su lugar ha sido tomado por el pago en criptomonedas.

A grandes rasgos, podemos encontrar 3 tipos de Ransomware:

  • Scareware. Este es de los menos agresivos, ya que en teoría no hay un secuestro real del ordenador, sino más bien son falsas alertas que buscan introducir miedo en la víctima para que instale programas ilegítimo con otros fines.
  • Ransomware de Cifrado. Este es el más agresivo, ya que secuestra y cifra los archivos del sistema. Es importante comprender que pagar el rescate no te da ninguna garantía de que puedas recuperar tus archivos.
  • Bloqueo de Pantalla. Su nivel de agresividad es medio, ya que lo que se impide es el acceso a los archivos, por medio de una pantalla de bloqueo, pero los archivos no han sido cifrados.

Sextorsión

En este tipo de ciberextorsión, la víctima es chantajeada con una imagen o video de sí misma desnuda o realizando actos sexuales. Estas imágenes generalmente son obtenidas por realizar la práctica de sexting (envío de mensajes, fotos o vídeos de contenido erótico y sexual personal a través del móvil mediante aplicaciones de mensajería instantánea o redes sociales, correos electrónicos u otro tipo de herramienta de comunicación). Las amenazas van desde el pago de dinero, hasta la obligación de ésta para tener relaciones sexuales con alguien.

Los ataques no son solo a nivel personal…

A propósito de lo que sucedió con Radiohead, en donde el guitarrista y tecladista, Jonny Greenwood, contó en su cuenta de twitter que alguien había robado archivos de un minidisc con material inédito, y que luego extorsionó a la banda por el pago de un alto monto de dinero a cambio de no divulgar el material; caemos en la cuenta de que estos ataques no son sólo a nivel personal, sino que también los podemos encontrar a nivel organizacional.

Bajo este punto se hace indispensable tener políticas y procedimientos claros respecto no sólo a que hacer frente a estas situaciones, sino que también a cómo evitarlas. Y es en este último punto cuando se hace fundamental tener un buen plan de capacitación de los empleados, con tal de que no caigan en situaciones que terminan con el robo de información sensible que luego pueda ser utilizada para cometer el acto de ciberextorsión.

Algunos casos a no olvidar

Lo ocurrido en el sitio web de citas, Ashley Madison, podría ser considerado uno de los más grandes casos de ciberextorsión. Y es que los cientos de GB de datos robados, que incluían los datos personales de los usuarios, muchos casados (Se llegó a hablar de 39 millones de infieles); fueron filtrados y así usados por numerosos ciberdelincuentes para ciberextorsionar a los usuarios del sitio.

Otro caso que fue visto en varias partes del mundo fue el de un correo, tipo spam, en donde se le aseguraba al destinatario que se poseía un video sexual suyo luego de haber infectado al equipo con un tipo de malware. A cambio se pedía una alta suma de dinero. Por suerte la masificación de éste caso sirvió para que la mayoría de las personas estuvieran atentas a este tipo de mensajes.

El origen de todo y algunas recomendaciones

Como hemos podido ver, la ciberextorsión tiene su origen cuando un atacante es capaz de aprovecharse de alguna vulnerabilidad que le permita infectar con un ransomware (y así secuestrar el equipo), o infectar con un malware (y así realizar el robo de información personal o credenciales). Por lo que nuestra estrategia de defensa tiene que ir enfocada a evitar estas infecciones y sus consecuencias.

Como siempre solemos decir, es bueno recordar ciertas recomendaciones que nos ayudarán a no caer en las trampas de los ciberdelincuentes que puedan derivar en casos de ciberextorsión, no solo a nivel personal, sino que también a nivel organizacional:

  1. Educar a los empleados, y/o educarte a tí mismo es el paso fundamental para mantenerse informado de los riesgos que conlleva abrir enlaces desconocidos y/o descargar archivos maliciosos.
  2. Establecer políticas de ciberseguridad en la empresa definirá las reglas que los empleados deben seguir para un uso seguro de los activos informáticos.
  3. Establecer protocolos de seguridad que permitan saber cómo actuar frente a estos tipos de ataque y como poder mitigarlos (Por ejemplo, el pago del rescates es totalmente contraproducente, mientras que la recomendación de mantener copias de seguridad es fundamental).
  4. Mantener nuestro sistema actualizado.
  5. Pero lo principal es evitar acciones que nos puedan poner en peligro, como lo son hacer sexing, o descargar archivos maliciosos o abrir enlaces desconocidos.