Un nuevo fraude por e-mail incluye fotos de tu casa. No te lo creas.

English

Es posible que hayas llegado a este post porque recibiste un correo electrónico con un PDF adjunto de un supuesto hacker que exige un pago o, de lo contrario, enviará información comprometedora -como imágenes de carácter sexual- a todos tus amigos y familiares. Estás buscando qué hacer en esta aterradora situación, y cómo responder a una amenaza aparentemente personalizada que incluso incluye tu verdadero "ApellidoPrimerNombre.pdf" y una foto de tu casa.

Qué no panda el cúnico. Contrariamente a lo que se afirma en el correo electrónico, es probable que no te hayan pirateado (o, al menos, no es eso lo que ha provocado el correo). Se trata simplemente de una nueva variante de una vieja estafa: . En realidad, toda una categoría de estafas llamada "sextorsión". Se trata de un tipo de phishing en línea que se dirige a personas de todo el mundo y se aprovecha de los temores de la era digital. Por lo general, usa información disponible públicamente o información procedente de filtraciones de datos, no información obtenida pirateando específicamente a los destinatarios de los correos electrónicos, por lo que es muy poco probable que el remitente tenga fotos "incriminatorias" o haya pirateado realmente tus cuentas o dispositivos.

Comienzan los correos electrónicos mostrando tu dirección, nombre completo y, posiblemente, una foto de tu casa.

Hablaremos de algunos pasos a seguir para protegerse, pero el primer y principal consejo que tenemos: no pagues el rescate.

Hemos pegado un ejemplo de esta estafa por correo electrónico al final de esta entrada. La esencia general es que un pirata informático afirma haber comprometido su ordenador y dice que divulgará información embarazosa -como imágenes suyas captadas a través de su cámara web o su historial de navegación pornográfica- a sus amigos, familiares y compañeros de trabajo. El hacker promete desaparecer si le envías miles de dólares, normalmente en bitcoin. Esto es diferente de otra estafa de sextorsión en la que un desconocido se hace amigo y convence a un usuario para que intercambie contenido sexual y luego exige un pago por mantener el secreto ; una situación mucho más peligrosa que requiere una respuesta más cuidadosa.

Lo que hace que el correo electrónico sea especialmente alarmante es que, para demostrar su autenticidad, comienzan los mensajes mostrando tu dirección, nombre completo y, posiblemente, una foto de tu casa.

Una vez más, esto no significa que hayas sido hackeado. Los estafadores en este caso probablemente encontraron una violación de datos que contenía una lista de nombres, correos electrónicos y direcciones de casa y están enviando este correo electrónico a potencialmente millones de personas, con la esperanza de que algunos de ellos estarían lo suficientemente preocupados y pagarían para que la estafa se volviera rentable.

He aquí algunas respuestas rápidas a las preguntas que mucha gente se hace tras recibir estos correos electrónicos.

Tienen mi dirección y mi número de teléfono. ¿Cómo han conseguido una foto de mi casa?

Ten la seguridad de que, en realidad, los estafadores no estaban fuera de su casa haciendo fotos. Para bien o para mal, las fotos de nuestras casas están por todas partes en Internet. Desde Google Street View hasta los sitios web inmobiliarios, encontrar una foto de la casa de alguien es trivial si tienes su dirección. Mientras que los datos públicos sobre su casa pueden ser enervantes, datos similares sobre la propiedad del gobierno pueden tener beneficios de transparencia .

Desgraciadamente, en la era moderna, las violaciones de datos son habituales, y conjuntos masivos de información personal de la gente a menudo llegan a los rincones delictivos de Internet. Es probable que los estafadores hayan obtenido una lista o varias listas con direcciones de correo electrónico, nombres, números de teléfono y direcciones con el propósito expreso de incluir una pizca de verdad en un correo electrónico masivo.

Es más difícil cambiar de dirección y número de teléfono que de contraseña. Lo mejor que puedes hacer en este caso es ser consciente de que tu información está ahí fuera y tener cuidado con futuras estafas que la utilicen. Dado que esta información (junto con otros datos filtrados, como tu número de la Seguridad Social) puede utilizarse para el robo de identidad, es una buena idea congelar tu crédito.

Y, por supuesto, siempre debes cambiar tu contraseña cuando te avisen de que tu información ha sido filtrada en una filtración. También puedes utilizar un servicio como Have I Been Pwned para comprobar si has formado parte de uno de los vertederos de contraseñas más conocidos.

¿Debo responder al correo electrónico?

En absoluto. Con este tipo de estafa, el autor confía en la probabilidad de que un pequeño número de personas responda de entre un lote potencialmente de millones. Fundamentalmente, no es muy diferente de la vieja estafa del príncipe nigeriano, sólo que con un gancho diferente. Por defecto, esperan que la mayoría de la gente ni siquiera abra el correo electrónico, y mucho menos que lo lea. Pero una vez que reciben una respuesta -y se inicia una conversación- es probable que pasen a una fase más avanzada de la estafa. Es mejor no responder.

Entonces, ¿no debería pagar el rescate?

No debes pagar el rescate. Si pagas el rescate, no sólo pierdes dinero, sino que animas a los estafadores a seguir suplantando a otras personas. Si pagas, los estafadores también pueden utilizarlo como punto de presión para seguir chantajeándote, sabiendo que eres susceptible.

¿Qué debo hacer en su lugar?

Por desgracia, no hay mucho que se pueda hacer. Pero hay algunas medidas básicas de higiene de seguridad que puedes tomar y que siempre son una buena idea. Usa un gestor de contraseñas para mantener tus contraseñas seguras y únicas. A partir de ahora, asegúrate de activar la autenticación de dos factores siempre que esté disponible en tus cuentas online. También puedes consultar nuestra guía Autodefensa contra la vigilancia para obtener más consejos sobre cómo proteger tu seguridad y privacidad en línea.

Otra forma de protegerte es colocar una funda sobre la cámara del ordenador. Ofrecemos algunas a través de en nuestra tienda , pero basta con una pequeña tira de cinta aislante. Esto puede ayudarte a tranquilizarte si te preocupa que una aplicación maliciosa encienda la cámara o que tú mismo te la hayas dejado encendida, situaciones poco probables pero posibles.

Sabemos que esta experiencia no es divertida, pero tampoco es el fin del mundo. Ignora las amenazas vacías de los estafadores y practica una buena higiene de seguridad en el futuro.

En general, no se trata de un problema cuya solución dependa de los consumidores. La raíz del problema es que a los corredores de datos y a casi todas las demás empresas se les ha permitido almacenar demasiada información sobre nosotros durante demasiado tiempo. Inevitablemente, estos datos se filtran y llegan a los mercados delictivos, donde se venden, se comercia con ellos y se utilizan para estafas como ésta. La forma más eficaz de combatir esto sería con leyes federales exhaustivas sobre privacidad . Porque, si los datos no existen, no pueden filtrarse. Lo mejor que puedes hacer es abogar por una ley de este tipo en el Congreso o a nivel estatal.

A continuación, se muestran ejemplos reales de la estafa que se enviaron a los empleados de EFF. El texto de la estafa es similar en muchas víctimas diferentes....

Ejemplo 1

[Nombre],

Sé que llamar a [número de teléfono] o visitar [tu dirección] sería una forma conveniente de contactar contigo en caso de que no actúes. Ni siquiera intentes escapar de esto. No tienes ni idea de lo soy capaz en [tu ciudad].

Te sugiero que leas este mensaje con atención. Tómate un momento para relajarte, respirar y analizarlo a fondo. Porque estamos a punto de discutir un trato entre tú y yo, y yo no juego. Tú no me conoces, pero yo te conozco muy bien y ahora mismo, te estarás preguntando cómo, ¿verdad? Bueno, has estado pisando sobre hielo delgado con tus hábitos de navegación, desplazándose a través de esos videos y haciendo clic en enlaces, tropezando con algunos sitios no tan seguros. Coloqué un malware en un sitio web porno y lo visitaste para verlo (ya me entiendes). Mientras estabas viendo esos vídeos, tu smartphone empezó a funcionar como un RDP (Control Remoto) que me proporcionó un control completo sobre tu dispositivo. Puedo ver todo lo que hay en tu pantalla, encender la cámara y el micrófono, y no sospecharías nada. Ah, y también tengo acceso a todos tus correos electrónicos, contactos y cuentas de redes sociales.

Llevo un tiempo vigilando tu patética vida. Es simplemente tu mala suerte que haya accedido a tu falta. Dediqué más tiempo del que debería a investigar tu vida personal. Extraje bastante información jugosa de tu sistema y lo he visto todo. Sí, sí, tengo imágenes tuyas haciendo guarradas en tu habitación (bonita decoración, por cierto). Entonces tengo videos y capturas de pantalla donde en un lado de la pantalla, hay cualquier basura que estabas disfrutando, y en la otra mitad, es tu cara vacía. Con un solo clic, puedo enviar este vídeo a cada uno de tus contactos.

Veo que te estás poniendo ansioso, pero seamos realistas. En realidad, quiero hacer borrón y cuenta nueva, y permitirte que sigas con tu vida cotidiana y hagas borrón y cuenta nueva. Te presentaré dos alternativas. La primera alternativa es hacer caso omiso de este correo electrónico. Veamos que va a pasar si tomas este camino. Tu video será enviado a todos tus contactos. El vídeo estaba encendido, y no puedo ni imaginar la humillación que sufrirás cuando tus colegas, amigos y familia lo comprueben. Pero bueno, así es la vida, ¿no? No te hagas la víctima.

La opción 2 es pagarme, y ser confidencial al respecto. Vamos a llamarlo mi "cargo por privacidad". déjame decirte lo que sucederá si optas por esta opción. Tu secreto sigue siendo privado. Destruiré todos los datos y pruebas una vez que realices el pago. Transferirás el pago a través de Bitcoin solamente.

Presta atención, te lo digo directamente: 'Tenemos que hacer un trato'. Quiero que sepas que voy hacia ti con buenas intenciones. Mi palabra es mi compromiso.

Importe requerido: $1950

DIRECCIÓN BITCOIN: [REDACTADO]

Déjame decirte que esto es una bicoca para tu tranquilidad.

Aviso: Ahora tienes un día para hacer el pago y sólo aceptaré Bitcoins (tengo un pixel especial dentro de este mensaje, y ahora sé que has leído este mensaje). Mi sistema captará ese pago en Bitcoin y borrará toda la suciedad que tengo sobre ti. Ni se te ocurra responder a esto o negociar, no tiene sentido. El email y la cartera están hechos a tu medida, irrastreables. Si sospecho que has compartido o discutido este email con alguien más, la basura empezará a enviarse instantáneamente a tus contactos. Y ni se te ocurra apagar el teléfono o restablecer los valores de fábrica. Es inútil. Yo no cometo errores, [Nombre].

¿Notas algo aquí?

Sinceramente, esos consejos online sobre cómo cubrir la cámara no son tan inútiles como parecen. Estoy esperando mi pago...

Ejemplo 2

[NOMBRE],
¿Es visitar [DIRECCIÓN] una mejor manera de contactar en caso de no actuar, bonito barrio por cierto. Es importante que prestes atención a este mensaje ahora mismo. Tómate un momento para relajarte, respirar y analizarlo a fondo. Estamos hablando de algo serio y no estoy jugando. Tu no sabes nada de mi pero yo te conozco muy bien y ahora mismo, estas pensando cómo, ¿correcto?
Bueno, has estado pisando sobre hielo delgado con tus hábitos de navegación, saltando a través de esos videos sucios y haciendo clic en enlaces, tropezando con algunos sitios no tan seguros. Instalé un Spyware llamado "Pegasus" en una aplicación que usas frecuentemente. Pegasus es un spyware diseñado para ser instalado de forma encubierta y remota en teléfonos móviles con iOS y Android. Mientras estabas ocupado viendo vídeos, tu dispositivo empezó a funcionar como un RDP (Protocolo Remoto) que me dio el control total sobre tu dispositivo. Puedo espiar todo lo que hay en tu pantalla, encender tu cámara y tu micrófono, y ni siquiera te darías cuenta. Ah, y también tengo acceso a todos tus correos electrónicos, contactos y cuentas de redes sociales.
¿Qué es lo que quiero?
He estado vigilando tu patética existencia desde hace tiempo. Es tu mala suerte que haya accedido a tus cochinadas. Invertí más tiempo del que probablemente debí buscando en tu vida personal. Extraje bastante información jugosa de tu sistema y lo he visto todo. Sí, sí, tengo imágenes tuyas haciendo cosas embarazosas en tu habitación (bonita decoración, por cierto). Entonces tengo videos y capturas de pantalla donde en un lado de la pantalla, hay cualquier basura que estabas disfrutando, y en la otra parte, es tu cara vacía. Con un solo clic, puedo enviar esta porquería a todos tus contactos.
¿Qué puedes hacer?
Veo que te estás poniendo ansioso, pero seamos realistas. De todo corazón, estoy dispuesto a hacer borrón y cuenta nueva, y dejarte seguir con tu vida normal y hacer borrón y cuenta nueva. Estoy a punto de presentarte dos alternativas. O haces la vista gorda a esta advertencia (malo para ti y tu familia) o me pagas una pequeña cantidad para acabar con este asunto para siempre. Vamos a entender esas 2 opciones en detalles.
La primera opcion es ignorar este email. Vamos a ver lo que sucederá si selecciona este camino. Voy a enviar tu video a tus contactos. El video quema, y ni siquiera puedo imaginar la vergüenza que va a soportar cuando tus colegas, amigos y familia lo comprueben. Pero bueno, así es la vida, ¿no? No te hagas la víctima.
Otra opción es pagarme, y ser confidencial al respecto. Vamos a llamarlo mi "cuota de privacidad". déjame decirte lo que pasa cuando vas con esta opción. Tu sucio secreto seguirá siendo privado. Borraré toda una vez que envíes el pago. Transferirás el pago sólo a través de Bitcoin. Quiero que sepas que estoy apuntando a un ganar-ganar aquí. Soy una persona íntegra.
Monto de la transferencia: USD 2000
Mi dirección Bitcoin: [DIRECCIÓN BITCOIN]
O, (Aquí está su código QR de Bitcoin, puede escanearlo):
[IMAGEN DE UN CÓDIGO QR]
Una vez que pagues, dormirás como un bebé. Cumplo mi palabra.
Importante: Ahora tienes un día para solucionar esto. (Tengo un píxel especial en este mensaje, y ahora sé que has leído todo este correo). Mi sistema detectará ese pago en Bitcoin y borrará toda la porquería que tengo sobre ti. Ni se te ocurra responder a esto, no tiene sentido. El correo y la cartera están hechos a tu medida, imposibles de rastrear. No cometo errores, [NOMBRE]. Si me doy cuenta de que has compartido o comentado este correo con alguien más, tu basura empezará a enviarse instantáneamente a tus contactos. Y ni se te ocurra apagar el teléfono o restablecer los valores de fábrica. Es inútil.
Sinceramente, esos consejos online sobre cómo tapar tu cámara no son tan inútiles como parecen.
No le des más vueltas. Tómatelo como una pequeña lección y mantén la guardia alta en el futuro.

A redacted example of a PDF used in this style of scam

Related Issues

Security

Join EFF Lists

Related Updates

Press Release | January 21, 2025

EFF Sends Transition Memo on Digital Policy Priorities to New Administration and Congress

Standing up for technology users in 2025 and beyond requires careful thinking about government surveillance, consumer privacy, artificial intelligence, and encryption, among other topics. To help incoming federal policymakers think through these key issues, the EFF has shared a transition memo with the Trump Administration and the 119th U.S. Congress.

Deeplinks Blog by Jason Kelley | January 13, 2025

Cinco cosas que hay que saber sobre el caso del Tribunal Supremo sobre la ley de verificación de edad de Texas, Free Speech Coalition contra Paxton

La ley de verificación de edad de Texas roba el anonimato a los usuarios de Internet, los expone a riesgos de privacidad y seguridad, y bloquea por completo el acceso de algunos adultos a contenidos sexuales protegidos por la Primera Enmienda. Leyes de verificación de la edad como ésta llegan...

Deeplinks Blog by Josh Richman | December 23, 2024

EFF in the Press: 2024 in Review

EFF’s attorneys, activists, and technologists were media rockstars in 2024, informing the public about important issues that affect privacy, free speech, and innovation for people around the world. Perhaps the single most exciting media hit for EFF in 2024 was “Secrets in Your Data,” the NOVA PBS documentary episode...

Deeplinks Blog by Thorin Klosowski, Lena Cohen, Cooper Quintin, Paige Collings, Christian Romero, Jason Kelley, Mario Trujillo, Joe Mullin, Bill Budington, Guest Author | December 19, 2024

Breachies 2024: Las peores, más extrañas y más impactantes violaciones de datos del año

Privacy isn’t dead. While some information about you is almost certainly out there, that’s no reason for despair. In fact, it’s a good reason to take action.

Deeplinks Blog by Cindy Cohn | November 6, 2024

Las elecciones estadounidenses de 2024 han terminado. La EFF está preparada para lo que viene.

The dust of the U.S. election is settling, and we want you to know that EFF is ready for whatever’s next. Our mission to ensure that technology serves you—rather than silencing, tracking, or oppressing you—does not change. Some of what’s to come will be in uncharted territory. But we have...

Deeplinks Blog by Karen Gullo | October 10, 2024

Nuevo informe de IPANDETEC muestra que los ISP panameños aún están rezagados en la protección de los datos de los usuarios

A los proveedores de servicios de telecomunicaciones e Internet en Panamá se les confían los datos personales de millones de usuarios, y tienen la responsabilidad no solo de proteger la privacidad de los usuarios sino también de ser transparentes sobre sus políticas de manejo de datos. La organización de derechos...

Deeplinks Blog by Joe Mullin, Cindy Cohn | October 9, 2024

Salt Typhoon Hack Shows There's No Security Backdoor That's Only For The "Good Guys"

At EFF we’ve long noted that you cannot build a backdoor that only lets in good guys and not bad guys. Over the weekend, we saw another example of this.

Deeplinks Blog by Svea Windwehr | October 7, 2024

Germany Rushes to Expand Biometric Surveillance

Germany is a leader in privacy and data protection, with many Germans being particularly sensitive to the processing of their personal data – owing to the country’s totalitarian history and the role of surveillance in both Nazi Germany and East Germany.

Deeplinks Blog by David Greene, Eva Galperin | August 30, 2024

The French Detention: Why We're Watching the Telegram Situation Closely

EFF is closely monitoring the situation in France in which Telegram’s CEO Pavel Durov was charged with having committed criminal offenses, most of them seemingly related to the operation of Telegram. This situation has the potential to pose a serious danger to security, privacy, and freedom of expression for...

Deeplinks Blog by Paige Collings, Starchy Grant | August 13, 2024

Digital Apartheid in Gaza: Big Tech Must Reveal Their Roles in Tech Used in Human Rights Abuses

This is part two of an ongoing series. Part one on unjust content moderation is here. Since the start of the Israeli military response to Hamas’ deadly October 7 attack, U.S.-based companies like Google and Amazon have been under pressure to reveal more about the services they provide...

Related Issues

Security

Related Tags

scams

threat lab

Search form

Search form