Hace seis semanas, una joven (que usa el nombre ficticio de Zed) estaba en una reunión de trabajo cuando recibió un mensaje en Facebook de una amiga lejana.
“Hola, cariño”, comenzaba.
Su amiga le pedía que votara por ella en un concurso de modelos por internet.
Ella aceptó. Y, entonces, ocurrió el desastre.
Al agregar su dirección de correo electrónico al sistema de votaciones de la competición, había causado un colapso tecnológico, le dijo su “amiga”.
Tenía que darle la contraseña de su email para poder solucionarlo rápidamente y recuperar los votos.
Zed tenía dudas. Pero su amiga le rogó que lo hiciera, alegando que su carrera estaba en juego.
(El estafador) dijo que se sintió feliz cuando hackeó mi cuenta, que me lo tenía merecido
Zed, víctima de spear-phishing
Todavía en la reunión y sin poder llamar a su amiga, le dio sus datos de acceso en un arranque de confianza.
El problema es que quien le hablaba no era, en realidad, su amiga, sino alguien que había accedido a su cuenta y se estaba haciendo pasar por ella.
Se trata de una técnica que usan los estafadores digitales y que recibe el nombre de spear phishin”.
¿Qué es el “spear phishing”?
“Los estafadores digitales se valen de trucos psicológicos para engañar a sus víctimas y que confíen en ellos, y así poder obtener información sensible”, dice Paul Bischoff, de la empresa de seguridad informática Comparitech, con base en Reino Unido.
Dar tus contraseñas por internet puede jugarte una mala pasada.
“El spear phishing es menos habitual que el phishing (suplantación de la identidad) pero es mucho más peligroso”, dice el experto.
“El atacante recopila información personal sobre su víctima para hacerse pasar por ella y que parezca creíble”.
¿Cómo puedes protegerte?
Sé cauto: no compartas nunca las credenciales (código de usuario y clave de acceso) de tus cuentas digitales.
Habilita la verificación en dos pasos (una segunda clave, además de la contraseña).
Comprueba todas las opciones de seguridad de tus cuentas de Gmail, Hotmail, Apple, Amazon, Yahoo, Facebook,Twitter y otras redes sociales.
En cuestión de minutos, Zed observó con horror cómo le bloqueaban el acceso de cada una de sus cuentas, además de su Apple iCloud, donde tenía almacenados todos sus datos, incluida una foto de su pasaporte, detalles de su cuenta bancaria y algunas fotos explícitas.
El hacker también se hizo con el control de todos sus documentos de identidad, pues estaban vinculados a la cuenta de correo a la que ahora tenía acceso.
Además, el cibercriminal activó una capa adicional de seguridad (verificación en dos pasos) y restableció la contraseña de todas sus cuentas.
La persona que engañó a Zed dijo que había hackeado las cuentas de “miles de mujeres”.
A Zed le llamó un hombre desde Pakistán.
“Comenzó la llamada diciendo que no quería ningún drama, que no quería hacerme llorar. Quería que le hablara como a un profesional”, explica Zed.
Parecía joven. Tal vez era un estudiante universitario, pensó.
“Vida inmoral”
El hombre le acusó de llevar una vida inmoral.
Había visto sus fotografías ysabía que había fumado y salido con chicos, y que era una joven sexualmente activa.
Le preguntó qué pensarían sus padres sobre eso y se enfureció cuando ella le respondió que ya lo sabían.
“Dijo que había hackeado las cuentas de miles de mujeres”, explica Zed.
“Y que se había sentido mal respecto a una decena o docena de ellas porque no pudo encontrar nada en ellas que estuviera ‘mal’”.
Pero Zed no formada parte de ese grupo.
Le ofrecí dinero. Le pregunté si podía pagar. Me dijo: ‘No me hables de dinero’. Parecía enojado
Zed, víctima de spear-phishing
“Dijo que se sintió feliz cuando hackeó mi cuenta, que me lo tenía merecido”.
Le dijo que publicaría en su página de Facebook, en donde Zed tiene más de 1.000 contactos, sus fotos explícitas.
“Le ofrecí dinero. Le pregunté si podía pagar. Me dijo: ‘No me hables de dinero’. Parecía enojado”, recuerda Zed.
Lo que quería era que le sedujera sexualmente a través de la cámara de la computadora.
Zed se negó.
Este tipo de estafadores roban la identidad digital de personas de confianza de sus víctimas.
“O lo haces para mí o lo haces para todo el mundo”, le dijo. Y, entonces, publicó una de sus fotos en Facebook.
Zed ya se lo había contado a su novio y a sus padres, quienes reunieron a un grupo de amigos para reportar la actividad en la red social.
En 15 minutos, la foto había sido eliminada por Facebook. Pero Zed todavía recibía mensajes de algunos contactos.
“Un amigo que es como mi hermano me envió un mensaje. Me dijo que él no había visto la foto, pero sí un amigo suyo”.
“Pensé que era mejor no darle demasiadas vueltas a cuánta gente vio las fotos o no”, dice Zed.
Lo último que le dijo el estafador fue: “Que tengas una buena vida”.
“Me pareció que la única razón por la que lo hacía era para hacer de ‘policía moral’ con las mujeres y obligarles a que hicieran cosas para él”, cuenta la joven.
“Quería crear una galería de fotos explícitas de mujeres. Ese parecía ser su objetivo”.
El hombre no quería dinero. Era un estafador sexual.
Zed no se considera una persona ingenua respecto al mundo digital.
Es una veinteañera de origen indio que trabaja en la industria de los medios de comunicación en la costa este de Estados Unidos.
“He sido una experta en tecnología y en internet casi toda mi vida, pero nunca comprendí realmente lo que la gente es capaz de hacer hasta ahora”, admite.
Venganza digital
Recuperar el control de sus cuentas fue complicado.
Le costó un mes conseguir su Apple ID de nuevo, tras rellenar un formulario de los ingenieros de la empresa.
Si les das a los estafadores un pequeño resquicio para colarse, se adentrarán rápidamente en tu vida digital
Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, Reino Unido
También recuperó el acceso a Gmail y Facebook, pero no lo logró con Snapchat ni con su dirección de Hotmail (su cuenta principal que había usado durante más de 13 años).
Todavía usa iCloud, pero ya no almacena allí archivos privados. Y ha activado la verificación en dos pasos en todas sus cuentas.
“Veo útil el valor de guardar allí las cosas, pero nunca más proporcionaré ningún tipo de información”, dice Zed.
La joven decidió compartir su historia en el sitio web Reddit, luego de tratar de encontrar a otras personas que pudieran haber sido estafadas por el mismo hombre.
“Me sorprendió mucho no poder encontrar absolutamente nada”, explica.
“Esperaba que poder hablar sobre ello solucionara el problema y motivara a otros a compartir sus historias. Y también sentí que era la única forma de vengarme de él”.
Los hackers son especialistas a la hora de encontrar nuevas estrategias para engañar a los internautas.
Alan Woodward, experto en ciberseguridad de la Universidad de Surrey, Reino Unido, dice que “es muy fácil caer en este tipo de estafas”.
“Uno puede saber mucho sobre tecnología pero los estafadores son especialistas a la hora de encontrar nuevas estrategias”, cuenta Woodward.
“Sé que suena obvio, pero uno nunca debería dar su nombre de usuario y contraseña a nadie. Si les das a los estafadores un pequeño resquicio para colarse, se adentrarán rápidamente en tu vida digital”.
Hasta donde sabe Zed, el estafador todavía no fue atrapado. “Existen cibercriminales de todo tipo”, dice Woodward.
“Y su objetivo no es siempre obtener dinero. Vengarse o, simplemente, hacer daño, es una tendencia creciente”.