No han infectado tu dispositivo con el programa espía Pegasus ni tienen vídeos íntimos tuyos, es un fraude
Nos habéis consultado a través de nuestro servicio de WhatsApp por un mensaje de correo electrónico cuyo remitente asegura que ha infectado los dispositivos del receptor con el sistema de ciberespionaje Pegasus. El texto continúa explicando al usuario que tiene grabaciones íntimas suyas y que se las enviará a todos sus contactos si no le hace una transferencia de 1.700 dólares (1.540 euros). Es falso. Se trata de un fraude del que el Instituto de Ciberseguridad Nacional (INCIBE) ha alertado y al que llaman "sextorsión": una amenaza que consiste en difundir grabaciones íntimas que no existen.
El mensaje por el que nos habéis consultado llega al usuario como si se hubiera enviado desde su propia dirección de correo electrónico con el asunto "has sido hackeado". El texto dice en inglés: "Hola pervertido, te he mandado este mensaje desde tu cuenta de Microsoft. Quiero informarte de una malísima situación para ti. Sin embargo, puedes beneficiate de esta si actúas con prudencia". El remitente pregunta al usuario si conoce "Pegasus, un programa espía que se instala en ordenadores y teléfonos" que permite "a los hackers vigilar la actividad de los propietarios de los dispositivos". A continuación, alerta de que le ha grabado "viendo vídeos pornográficos muy controvertidos" y amenaza: "Todos los números de tu lista de contactos recibirán de repente estos vídeos" a no ser que el receptor le haga una transferencia de 1.700 dólares (1.540 euros) en criptomonedas. Finalmente, advierte al usuario de que no conteste al email ni contacte con la policía.
El mensaje de correo electrónico que dice que ha infectado tus dispositivos con el programa espía Pegasus es un fraude. El Instituto Nacional de Ciberseguridad (INCIBE) ya alertó en mayo de 2024 a los usuarios de que este correo es una "estafa conocida como sextorsión" que consiste en "la amenaza de difundir grabaciones que en realidad no existen". INCIBE explica que "el objetivo es generar preocupación y alarma en la víctima, para que, por miedo a posibles repercusiones, realice el pago solicitado".
La técnica que utilizan los ciberdelincuentes para llevar a cabo este fraude se llama "spoofing". Según explica INCIBE, se trata de una "suplantación de identidad" que consiste en un "ciberataque en el que un ciberdelincuente se hace pasar por una fuente confiable (entidades bancarias, instituciones públicas, proveedores, clientes, compañías telefónicas, aplicaciones, etc.)". El objetivo es hacerse "con datos privados y credenciales sin que los afectados lo sepan y así poder filtrarlos, chantajearles, propagar malware a través de archivos adjuntos, o enlaces infectados, robar dinero, etc.".
¿Qué debes hacer si has recibido este correo y realizado el pago?
Desde INCIBE indican que si has recibido el correo electrónico, pero no has realizado el pago, "clasifícalo como correo no deseado y elimínalo". Desde esta entidad aseguran que, en este caso, puedes estar tranquilo porque "no has sido infectado por un malware, por lo que los ciberdelincuentes no poseen" esas supuestas grabaciones. "Simplemente están utilizando técnicas de ingeniería social con el objetivo de engañarte", afirman. También aconsejan que evites "hacer cualquier pago al extorsionador o establecer comunicación con él respondiendo al correo".
En caso de que haber efectuado el pago, INCIBE recomienda seguir los siguientes pasos:
- Recauda evidencias del fraude. Haz capturas de pantalla y conserva evidencias. Es importante que te pongas en contacto con las Fuerzas y Cuerpos de Seguridad del Estado para realizar una denuncia.
- Testigos online. Utilízalos para recopilar estas evidencias. Estos certifican evidencias digitales en una fecha y hora determinada, o el contenido de una web, o el envío de un correo electrónico a una persona específica. Este tipo de herramientas basan su funcionamiento en el uso de firmas digitales para acreditar de manera inequívoca una prueba.
- Haz "egosurfing". Verifica que no se haya publicado la información que proporcionaste practicando egosurfing. Consiste en utilizar las redes sociales y los buscadores de Internet, como Google, incluyendo términos de búsqueda como nombre, apellidos, DNI, etc., para localizar información en páginas webs y otras plataformas.
- Ejerce tu derecho al olvido. En el caso de encontrar estos datos en Internet, se puede ejercer el derecho al olvido. Este procedimiento lo puedes encontrar en la Agencia Española de Protección de Datos.