¡Me han “hackeado” el correo electrónico! Tranquilidad…

No, éste no es el típico artículo con consejos de “qué hacer en caso de que nos hackeen el e-mail”, es que me lo han hackeado de verdad. Pero tranquilidad, se trataba de una cuenta de correo electrónico que registré hace unos ocho años, y jamás he llegado a usar para nada. Eso sí, el mensaje que he recibido del hacker pidiéndome un rescate para que no se aireen mis vergüenzas está bastante elaborado. Estoy seguro de que más de uno habrá pagado, ya que no soy el único que ha recibido un e-mail similar. Por si sirve de aviso a navegantes, voy a poneros el mensaje, y comentarlo:

Hello!

I have very bad news for you.
03/08/2018 – on this day I hacked your OS and got full access to your account *****************
On this day your account ***************** has password: ***********

Para quien no sabe inglés: recibo un e-mail en el que se me dice que han hackeado mi sistema operativo, y han conseguido acceso completo a mi cuenta de correo electrónico. Para demostrarlo, el mensaje incluye la clave, que resulta ser CORRECTA.

Cuando he recibido el e-mail estaba esperando en Notaría acompañando a una cliente para la firma de su testamento. Obviamente, leo esto en el móvil, y no me lo tomo a chufla: MI CLAVE ESTÁ AHÍ, así que es cierto que alguien ha logrado acceder a mi correo electrónico. Y además dice haber accedido mediante el hackeo de mi sistema operativo, no a través del servidor de correo. Es decir, dice que ha entrado en el PC de mi despacho. O en el PC de casa. O en mi portátil. O en mi móvil. Creo que no tengo nada más que lleve SO. Mi TV no es “smart”, no sé si las normalitas también llevan SO.

Ahora mismo tengo bien claro que se estaba marcando un farol, seguid leyendo para entenderlo, pero en una primera lectura, mientras leía barajaba la posibilidad de que fuera cierto, y que alguno de mis equipos estuviera comprometido. Y lo más importante: los archivos. Ante la posibilidad de perderlos, mientras leía repasaba mentalmente los dispositivos en los que puedo encontrar una copia de respaldo suficientemente actualizada. Estaba relativamente tranquilo. Creo que ninguno de los presentes en la sala de espera de Notaría ha notado nada raro en mi comportamiento.

Esta incertidumbre me ha durado apenas unos segundos, hasta que me he dado cuenta de que me hablaba de una cuenta de correo electrónico que HACE OCHO AÑOS QUE NO USO PARA NADA. Para absolutamente nada. No he accedido a ella desde ningún equipo en años, ni siquiera la tengo configurada en el cliente de correo. De hecho, jamás le he dado demasiado uso, la configuré para una historia que luego no llegó a fraguar. Si he recibido el e-mail en mi móvil es porque en su día configuré un reenvío en la cuenta, para que todo lo que recibiera en la misma se redirigiera a mi cuenta principal (algo que hago siempre). Ninguno de mis equipos arrastra configuraciones de hace tanto tiempo, con lo cual es IMPOSIBLE que en ninguno de mis equipos se pueda encontrar la configuración de acceso de ESA CUENTA. Por lo tanto, si ha averiguado la clave de esa cuenta, no es porque previamente me haya hackeado ningún equipo.

¡TE PILLÉ! No, amigo, no me has hackeado ningún equipo. Simplemente has averiguado la clave de esa cuenta de correo electrónico, no sé si por fuerza bruta o mediante un ataque de diccionario. Cualquiera de los dos tipos de ataque habría sido factible, porque la clave era realmente MALA. Demasiado corta, compuesta sólo por letras en minúsculas, y lo más grave, que aunque no se trata de una palabra fácil de deducir, es altamente probable que pueda encontrarse en algún diccionario. Por lo tanto, sí, me has hackeado la cuenta de correo electrónico, reconozco mi GRAVÍSIMA metedura de pata. Pero no te pases de listo, chaval. Más allá de haber averiguado la clave de esa cuenta de correo electrónico que hace ocho años que no uso, no tienes nada.

So, you can change the password, yes.. But my malware intercepts it every time.

Me dice que aunque cambie la clave, volverá a averiguarla, porque el malware que supuestamente ha instalado en alguno de mis dispositivos detectará el cambio. No cuela, chaval. Ya te he dicho en el anterior párrafo que sé que no me has instalado nada raro, que lo único que tienes es la clave del correo electrónico. Así que he cambiado la clave por una DECENTE, con números, letras mayúsculas y minúsculas, signos, y una longitud suficiente como para que me cueste teclearla cada vez que tenga que entrar. Espero no olvidarla.

How I made it:
In the software of the router, through which you went online, was a vulnerability.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS of your device.

Me dice que primero ha hackeado mi router, y cuando me he conectado a través de él, ha aprovechado para instalar un troyano en mi sistema operativo.

Empecemos por explicar que ESO NO ES UN TROYANO. Quienes metieron el caballo en Troya no fueron los atacantes (griegos), sino los defensores (troyanos), pensando que introducían algo inocuo. En informática, un troyano es un malware que se introduce aprovechando una vulnerabilidad humana, es decir, el engaño: es el propio usuario el que instala un programa dañino, sin saber que lo es, y después el malware se encarga de abrir las puertas de acceso al sistema.

Cuando es el propio atacante el que mete el malware en la fortaleza aprovechando una vulnerabilidad informática no puede llamarse troyano. Los griegos no usaron arietes para derribar puertas débiles, ni socavaron la base de las murallas donde no disponían de cimientos firmes, ni se colaron por grietas…

¿Por qué habla entonces de un troyano un tío que debería saber qué es un troyano? No olvidemos que ha tenido la destreza suficiente como para averiguar una clave de correo electrónico mediante fuerza bruta o diccionario. Yo no sabría cómo hacerlo. Supongo que utiliza el término porque el mismo tiene un efecto psicológico potente: todo el mundo ha oído hablar de troyanos aún sin saber muy bien qué son, y su sola mención genera miedo. O eso espera. Todo el mensaje consiste en un hábil intento de manipulación. Aunque no suficientemente hábil.

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

Dice que ha hecho una copia (volcado) de todo mi disco duro, y tiene toda mi agenda, mi historial de visitas, todos los archivos, números de teléfono y direcciones de todos mis contactos… Aquí es donde mis sospechas que aún estaban en nebulosa se confirman: si te has molestado en escarbar tanto en mis comunicaciones, ¿cómo es que escribes a una dirección de correo electrónico que no uso desde hace ocho años? ¿No habría sido más lógico que me enviaras el e-mail a mi cuenta principal, desde la que envío y recibo e-mails a diario? Es más, me podrías haber enviado un mensaje por WhatsApp, eso sí que me habría acojonado. Pero mucho.

A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I’m talk you about sites for adults.

Dice que hace un mes su intención era bloquear mi equipo, y pedirme una pequeña cantidad de bitcoins a modo de rescate, pero entonces vio las webs que visito regularmente, y se quedó impactado. Habla de “webs para adultos”. Ehem. Habla de porno.

La idea es MUY BUENA. ¿Cuánta gente consume porno en Internet? Mucha, podemos suponer. Y de esa mucha gente, ¿qué porcentaje vería preocupante que se publicara lo que ve en Internet? Una vez más, juega con el miedo. Qué pena que en esta ocasión haya pinchado en hueso…

I want to say – you are a BIG pervert. Your fantasy is shifted far away from the normal course!

Espera, que no sólo dice haber descubierto que visito webs de adultos… es que ADEMÁS dice que soy un pervertido, porque mis fantasías se alejan mucho de lo normal. No sé qué decirte, a mí no me van las cosas raras… pero si tú lo dices, majo…

No, venga, en serio: en esta parte he visto un punto de conciencia en el hacker: el que no tenga gustos raros enseguida se dará cuenta de que es todo un cuento, pero el que guste de cosas atipicas, o incluso ilegales, probablemente terminará de tragar el anzuelo, y entrará en pánico. De algún modo, el hacker se ve a sí mismo como una especie de Robin Hood, que sólo roba a los malos.

And I got an idea….
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!

Esta parte es buenísima… dice que ha unido las capturas de las webs adultas que dice que visito con las fotos que dice que me ha hecho usando la cámara de mi dispositivo que dice que ha hackeado. El resultado debe de ser curioso.

Si me lo estuviera creyendo, esto reduciría los dispositivos potencialmente infectados a dos: el portátil y el móvil. Ninguno de los PCs de sobremesa tiene webcam. Y es físicamente imposible que haya accedido a esa cuenta de correo de hace ocho años a través de mi portátil o mi móvil, porque el más viejo de los dos tiene año y medio, y jamás han olido siquiera la clave de acceso de la cuenta. Y digo más: en mi portátil tengo la cámara web tapada con una pegatina desde que lo compré. En el móvil no. Tiene que ser el móvil. O todo una mentira muy gorda. ¡HAGAN SUS APUESTAS!

I’m know that you would not like to show these screenshots to your friends, relatives or colleagues.

 

Dice suponer que no me gustaría que ese pedazo de documento gráfico llegara a los ojos de mis amigos y colegas. De existir, sinceramente, no me gustaría un pelo. Si me hubiera avisado, aunque sea me habría peinado para salir bien en la foto. Con la suerte que tengo, ¡seguro que me ha pillado con los ojos cerrados! O peor aún, entornados.

I think $851 is a very, very small amount for my silence.

Ostrás, pedrín… 851 dólares me pide, que al cambio de hoy son casi 750 eurazos, algo más que el SMI mensual para 2018. Todo a cambio de su silencio.

Besides, I have been spying on you for so long, having spent a lot of time!

A ver, entendamos el motivo de la cifra… es que este personaje ha invertido un montón de tiempo en espiarme. Si me cobra menos ya no le sale a cuenta. Que la delincuencia cibernética tiene sus costes: gorritos de lana, neones verdes…

Pay ONLY in Bitcoins!
My BTC wallet: 1GR7rJfntdcbfhKT1s33RDby4z5ex1ou4Z

You do not know how to use bitcoins?

Enter a query in any search engine: “how to replenish btc

wallet”.

It’s extremely easy

Me pide que le pague en bitcoins (BTC), la moneda virtual o criptomoneda más utilizada. En el historial de su wallet se puede comprobar que en tres días ha recibido un total de 5 transferencias, por un montante total de 0,79 BTC, que en este momento, con una cotización del BTC cercana a los 3.500 euros, equivale a más de 2.700 euros. No es mala cifra, teniendo en cuenta que va de farol…

For this payment I give you a little over two days (exactly 55 hours).
As soon as this letter is opened, the timer will work.

Me da 55 horas (algo más de dos días) para proceder al pago. El tiempo empezará a contar en cuanto abra el e-mail. Esto es como los anuncios del teletienda: llama AHORA para aprovechar esta oferta, no vaya a ser que dentro de un rato se te pase la tontería y te des cuenta de que esto es una trola. Debo creerme que es capaz de monitorizar la lectura del e-mail, si ha sido capaz de controlar mi móvil (ya habíamos descartado los PCs de sobremesa y el portátil). Cof, cof…

After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically.

Si pago, su virus (¿no habíamos quedado en que era un troyano?) y las capturas de pantalla se autodestruirán automáticamente. Supongo que quiere que pague, y tenga la certeza de que ha funcionado porque las imágenes no aparecen por ningún lado. Una prueba irrefutable de que ha funcionado a la altura de la piedra espanta-tigres. Sabe que no lo comentaré con amigos y familiares: oye, ¿a ti te ha funcionado pagar los bitcoins para que no publiquen tus fotos comprometedoras? Como la homeopatía, a mí me ha funcionado.

If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your “enjoys”.

¡Oh, pánico! ¡Si no le pago me bloqueará el móvil, y todos mis contactos recibirán las imágenes! Lo que más me aterra es quedarme sin móvil. No os imagináis el nivel de dependencia que he desarrollado respecto de este maldito invento del diablo.

I hope you understand your situation.
– Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server)
– Do not try to contact me (you yourself will see that this is impossible, I sent this email from your account)
– Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server.

Sólo le ha faltado decir all your data are belong to us, para darme a entender que NO PUEDO HACER NADA para evitar la extorsión. Que estoy jo**do de co**nes. Estoy a punto de llorar…

P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment!
This is the word of honor hacker

Que me da su palabra de honor de hacker de que tras el pago me dejará en paz. Si ya sé que me vas a dejar en paz… pero no porque los hackers respetáis la palabra dada, sino porque tu farol no da más de sí.

I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation.

Al final va a resultar que esto es sólo una campaña publicitaria de los fabricantes de antivirus… incluso está cumpliendo una labor social al ayudar a concienciar sobre la necesidad de mantener nuestros equipos seguros. ¡Gracias, Robin Hood cibernético!

Do not hold evil! I just do my job.
Good luck.

Que sólo hace su trabajo, dice. Y pretenderá que me haga gracia. Pues mira, no tiene ni puñetera gracia que intentes timarme con algo tan BURDO. La próxima vez cúrratelo un poco más. Habría molado que el engaño durara unos minutos más, que me forzaras a mirar mi saldo bancario para ver si puedo permitirme el pago, que me obligaras a mirar cómo usar BTC… y que justo en el momento de confirmar la operación, me dijera a mí mismo “¡pero qué idiota eres, si es una bola!”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CommentLuv badge